網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練丨防守方案經(jīng)驗(yàn)分享

網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練丨防守方案經(jīng)

驗(yàn)分享2016年《網(wǎng)絡(luò)安全法》頒布，出臺(tái)網(wǎng)絡(luò)安全演練相關(guān)規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)“制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練"。網(wǎng)絡(luò)安全實(shí)戰(zhàn)化攻防演練作為國(guó)家層面促進(jìn)各個(gè)行業(yè)重要信息系統(tǒng)順利建設(shè)、加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)、提升應(yīng)急響應(yīng)水平等的關(guān)鍵工作,以實(shí)戰(zhàn)、對(duì)抗等方式促進(jìn)網(wǎng)絡(luò)安全保障能力提升，具有非常重要的意義。隨著大規(guī)模攻防演練行動(dòng)的開(kāi)展，如何有效地實(shí)施演練,提升紅藍(lán)攻防對(duì)抗演練效果，讓防守方在行動(dòng)時(shí)做出更加準(zhǔn)確的判斷成為了大量用戶的注重重點(diǎn)。融聯(lián)易云希望通過(guò)防守方案經(jīng)驗(yàn)的分享，協(xié)助客戶在實(shí)際工作中減少互聯(lián)網(wǎng)側(cè)的暴露面，加固網(wǎng)絡(luò)內(nèi)部的安全基線,全面提升其安全應(yīng)對(duì)能力，以降低安全事件的發(fā)生概率。此外，融聯(lián)易云同時(shí)希望能夠?yàn)榭蛻粼谥匾獣r(shí)期（如護(hù)網(wǎng)、重保等）提供專業(yè)的安全團(tuán)隊(duì)與客戶協(xié)同防護(hù)的經(jīng)驗(yàn)。攻擊角度看防守在攻防演練的過(guò)程中，我們從攻擊方的視角能夠了解到一些常見(jiàn)的攻擊手段（如弱口令攻擊、DDOS攻擊、暴力破解等），通過(guò)這些攻擊手段我們能夠在攻防演練中，充分檢驗(yàn)參演單位及目標(biāo)系統(tǒng)的安全防護(hù)、攻擊監(jiān)測(cè)和應(yīng)急處置能力。演練組織方通常會(huì)選擇具有豐富攻防經(jīng)驗(yàn)的安全專家組成攻擊隊(duì)開(kāi)展網(wǎng)絡(luò)攻擊，在確保不影響參演方正常業(yè)務(wù)的前提下，選擇一切可利用的資源和手段，釆用多變、靈活、隱蔽的攻擊手段力求取得最大戰(zhàn)果。參演單位作為防守方，面對(duì)“隱蔽”的網(wǎng)絡(luò)攻擊，只有了解攻擊方是如何開(kāi)展攻擊的，才能根據(jù)攻擊特點(diǎn)建立完善的安全防護(hù)體系，有效抵御網(wǎng)絡(luò)攻擊。一般而言，攻擊方在組織入侵攻擊時(shí)的具體步驟如下：首先制定攻擊策略，明確攻擊目標(biāo)及手段；其次規(guī)劃攻擊線路，使攻擊者分工合作，力爭(zhēng)在短時(shí)間內(nèi)取得最大戰(zhàn)果。攻擊步驟中常用的手段有信息收集、漏洞分析、滲透攻擊和后滲透攻擊。防守工作方案了解到攻擊方常見(jiàn)的攻擊手段后，為有效應(yīng)對(duì)攻防演練相關(guān)工作，攻防演練防守工作分成五個(gè)階段，分別是準(zhǔn)備階段、安全自查和整改階段、攻防預(yù)演練階段、正式演練防護(hù)階段和總結(jié)階段。第1階段：準(zhǔn)備階段在正式攻防演練開(kāi)始前，應(yīng)充分做好準(zhǔn)備階段工作，為后續(xù)演練工作其他階段提供有效的支撐。防守方案編制攻防演練工作應(yīng)按計(jì)劃逐步有效的進(jìn)行，參演單位應(yīng)在演練前，根據(jù)實(shí)際情況，完成攻防演練防守方案編寫(xiě)，通過(guò)演練防守方案指導(dǎo)攻防演練防守工作的開(kāi)展，確保演練防守工作的效果。防守工作啟動(dòng)會(huì)在攻防演練開(kāi)始前，應(yīng)組織各參演部門(mén)相關(guān)人員，召開(kāi)演練工作啟動(dòng)會(huì)。以啟動(dòng)會(huì)的形式明確演練防守工作的目的、工作分工、計(jì)劃安排和基本工作流程。通過(guò)啟動(dòng)會(huì)確定演練防守工作主要牽頭部門(mén)和演練接口人，明確演練時(shí)間計(jì)劃和工作安排，并對(duì)演練各階段參演部門(mén)人員的工作內(nèi)容和職責(zé)進(jìn)行宣貫。同時(shí)，建立演練工作中的溝通聯(lián)絡(luò)機(jī)制，并建立各參演人員的聯(lián)系清單，確保演練工作順利開(kāi)展。重要工作開(kāi)展針對(duì)攻防演練的重要工作梳理，確保能夠有效支撐后續(xù)演練。梳理內(nèi)容如下：網(wǎng)絡(luò)路徑梳理關(guān)聯(lián)及未知資產(chǎn)梳理專項(xiàng)應(yīng)急預(yù)案確認(rèn)安全監(jiān)測(cè)防御體系第2階段：安全自查和整改階段通過(guò)安全自查對(duì)目標(biāo)系統(tǒng)的安全狀況得以真實(shí)反映，結(jié)合整改加固手段對(duì)評(píng)估發(fā)現(xiàn)的問(wèn)題逐一進(jìn)行整改。設(shè)置必要的防御規(guī)則，基于最小權(quán)限原則制定，即僅僅開(kāi)放允許業(yè)務(wù)正常運(yùn)行所必須的網(wǎng)絡(luò)和系統(tǒng)資源。確保目標(biāo)系統(tǒng)在攻防預(yù)演練前所有安全問(wèn)題均已釆取措施得到處理。自查內(nèi)容如下：網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)架構(gòu)評(píng)估網(wǎng)絡(luò)安全策略檢查網(wǎng)絡(luò)安全基線檢查安全設(shè)備基線檢查主機(jī)安全檢查主機(jī)安全基線數(shù)據(jù)庫(kù)安全基線中間件安全基線主機(jī)漏洞掃描應(yīng)用系統(tǒng)安全檢查應(yīng)用系統(tǒng)合規(guī)檢查應(yīng)用系統(tǒng)源代碼檢測(cè)應(yīng)用系統(tǒng)滲透測(cè)試運(yùn)維終端安全策略運(yùn)維終端安全基線運(yùn)維終端漏洞掃描日志審計(jì)網(wǎng)絡(luò)設(shè)備日志主機(jī)日志中間件日志數(shù)據(jù)庫(kù)日志應(yīng)用系統(tǒng)日志安全設(shè)備日志備份效性檢查備份策略檢查備份系統(tǒng)有效性檢查安全整改加固基于以上安全自查發(fā)現(xiàn)的問(wèn)題和隱患，及時(shí)進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn)，切實(shí)加強(qiáng)系統(tǒng)的自身防護(hù)能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風(fēng)險(xiǎn)。第3階段：攻防預(yù)演習(xí)階段攻防預(yù)演練是為了在正式演練前，檢驗(yàn)安全自查和整改階段的工作效果以及防護(hù)小組能否順利開(kāi)展防守工作，而組織攻擊小組對(duì)目標(biāo)系統(tǒng)開(kāi)展真實(shí)的攻擊。通過(guò)攻防預(yù)演練結(jié)果，及時(shí)發(fā)現(xiàn)目標(biāo)系統(tǒng)還存在的安全風(fēng)險(xiǎn)，并對(duì)遺留風(fēng)險(xiǎn)進(jìn)行分析和整改，確保目標(biāo)系統(tǒng)在正式演練時(shí)，所有發(fā)現(xiàn)的安全問(wèn)題均已得到有效的整改和處置。預(yù)演習(xí)啟動(dòng)會(huì)由領(lǐng)導(dǎo)小組組長(zhǎng)牽頭，通過(guò)正式會(huì)議的形式，組織預(yù)攻擊小組和防護(hù)工作小組各成員單位和個(gè)人，啟動(dòng)攻防預(yù)演練工作，明確攻防演練隊(duì)伍組成，職責(zé)分工，時(shí)間計(jì)劃和工作安排。根據(jù)啟動(dòng)會(huì)決議內(nèi)容，應(yīng)將攻防預(yù)演練工作情況及所使用的攻擊IP地址等信息，向國(guó)家網(wǎng)絡(luò)安全相關(guān)主管部門(mén)（公安部、網(wǎng)信辦等）進(jìn)行備案說(shuō)明。授權(quán)及備案演練開(kāi)始前期，在對(duì)目標(biāo)系統(tǒng)進(jìn)行前期的安全準(zhǔn)備工作中，參演單位應(yīng)對(duì)第三方技術(shù)支撐單位進(jìn)行正式授權(quán)。同時(shí)第三方技術(shù)支撐單位應(yīng)向參演單位提供IP信息，參演單位將攻防預(yù)演練工作情況及所使用的攻擊IP地址等信息，向國(guó)家網(wǎng)絡(luò)安全相關(guān)主管部門(mén)（公安部、網(wǎng)信辦等）進(jìn)行備案說(shuō)明。確保演練各項(xiàng)工作，均在授權(quán)范圍內(nèi)有序進(jìn)行。預(yù)演習(xí)平臺(tái)預(yù)演練使用的攻防演練支撐平臺(tái)，攻擊人員的所有行為通過(guò)平臺(tái)進(jìn)行記錄、監(jiān)管、分析、審計(jì)和追溯，保障整個(gè)攻擊演練的過(guò)程可控、風(fēng)險(xiǎn)可控。同時(shí)，演練平臺(tái)提供實(shí)況展示、可用性監(jiān)測(cè)和攻擊成果展示三個(gè)圖形化展示頁(yè)面，在預(yù)演練期間可通過(guò)大屏進(jìn)行演示。攻擊實(shí)況展示可用性監(jiān)測(cè)攻擊成果展示預(yù)演習(xí)攻擊預(yù)演練攻擊由安全部門(mén)組織開(kāi)展，攻擊人員從互聯(lián)網(wǎng)對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊，攻擊中禁止使用DDoS攻擊等可能影響業(yè)務(wù)系統(tǒng)運(yùn)行的破壞性攻擊方式，可能使用的攻擊方式包括但不限于：Web滲透旁路滲透口令攻擊釣魚(yú)欺騙社會(huì)工程學(xué)預(yù)演習(xí)防守預(yù)演練防守工作由防護(hù)小組開(kāi)展，在預(yù)演練期間，防護(hù)小組中各部門(mén)應(yīng)組織技術(shù)人員開(kāi)展安全監(jiān)測(cè)、攻擊處置和應(yīng)急響應(yīng)等防守工作：業(yè)務(wù)監(jiān)測(cè)攻擊監(jiān)測(cè)事件處置應(yīng)急響應(yīng)修復(fù)整改預(yù)演習(xí)總結(jié)參加預(yù)演人員對(duì)演練過(guò)程中發(fā)現(xiàn)的問(wèn)題進(jìn)行總結(jié)，包括是否存在系統(tǒng)漏洞、安全設(shè)備策略是否有缺陷、監(jiān)測(cè)手段是否有效等，針對(duì)性提出整改計(jì)劃和方案，盡快進(jìn)行整改，同時(shí)通過(guò)攻防預(yù)演練發(fā)現(xiàn)的問(wèn)題改進(jìn)和完善安全自查和整改階段的工作，為后續(xù)工作積累經(jīng)驗(yàn)。第4階段：正式防護(hù)階段在正式防護(hù)階段，重點(diǎn)加強(qiáng)防護(hù)過(guò)程中的安全保障工作,各崗位人員各司其職，從攻擊監(jiān)測(cè)、攻擊分析、攻擊阻斷、漏洞修復(fù)和追蹤溯源等方面全面加強(qiáng)演練過(guò)程的安全防護(hù)效果。安全事件實(shí)時(shí)監(jiān)測(cè)當(dāng)開(kāi)啟正式防護(hù)后，防護(hù)小組組織各部門(mén)人員，根據(jù)崗位職責(zé)開(kāi)展安全事件實(shí)時(shí)監(jiān)測(cè)工作。安全部門(mén)組織其他部門(mén)人員借助安全防護(hù)設(shè)備（全流量分析設(shè)備、Web防火墻.IDS.IPS、數(shù)據(jù)庫(kù)審計(jì)等）開(kāi)展攻擊安全事件實(shí)時(shí)監(jiān)測(cè)，對(duì)發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn)，詳細(xì)記錄攻擊相關(guān)數(shù)據(jù)，為后續(xù)處置工作開(kāi)展提供信息。事件分析與處置防護(hù)小組根據(jù)監(jiān)測(cè)到安全事件，協(xié)同進(jìn)行分析和確認(rèn)。防護(hù)小組根據(jù)分析結(jié)果，應(yīng)釆取相對(duì)應(yīng)的處置措施，來(lái)確保目標(biāo)系統(tǒng)安全。通過(guò)遏制攻擊行為，使其不再危害目標(biāo)系統(tǒng)和網(wǎng)絡(luò)，依據(jù)攻擊行為的具體特點(diǎn)實(shí)時(shí)制定攻擊阻斷的安全措施，詳細(xì)記錄攻擊阻斷操作。演練工作小組應(yīng)針對(duì)攻擊演練中可能產(chǎn)生的攻擊事件,根據(jù)已經(jīng)制定的網(wǎng)絡(luò)安全專項(xiàng)應(yīng)急預(yù)案進(jìn)行協(xié)同處置，同時(shí)在明確攻擊源和攻擊方式后，保證正常業(yè)務(wù)運(yùn)行的前提下，能夠通過(guò)調(diào)整安全設(shè)備策略的方式對(duì)攻擊命令或IP進(jìn)行阻斷，分析確認(rèn)攻擊嘗試?yán)玫陌踩┒?，確認(rèn)安全漏洞的影響，制定漏洞修復(fù)方案并及時(shí)修復(fù)。第5階段：總結(jié)階段全面總結(jié)攻防演練各階段的工作情況，包括組織隊(duì)伍、攻擊情況、防守情況、安全防護(hù)措施、監(jiān)測(cè)手段、響應(yīng)和協(xié)同處置等，形成總結(jié)報(bào)告并向有關(guān)單位匯報(bào)。針對(duì)演練結(jié)果，對(duì)在演練過(guò)程中還存在的脆弱點(diǎn)，開(kāi)展整改工作，進(jìn)一步提高目標(biāo)系統(tǒng)的安全防護(hù)能力。工作簡(jiǎn)介對(duì)攻擊審計(jì)和現(xiàn)場(chǎng)清理，對(duì)重保情況進(jìn)行整體的總結(jié)，并制定有針對(duì)性、可落地的安全體系改進(jìn)建設(shè)指導(dǎo)方案。工作內(nèi)容保障結(jié)束后，開(kāi)展總結(jié)工作，報(bào)告中將詳細(xì)記錄保障過(guò)程、全面記錄運(yùn)行數(shù)據(jù)、深入總結(jié)保障經(jīng)驗(yàn)、總結(jié)重點(diǎn)突出數(shù)據(jù)和經(jīng)驗(yàn)，協(xié)助完善應(yīng)急響應(yīng)機(jī)制及預(yù)案，針對(duì)發(fā)現(xiàn)的安全漏洞及不足，制定技術(shù)方案進(jìn)行整改加固。可對(duì)以下方面進(jìn)行展開(kāi)總結(jié)，如：網(wǎng)絡(luò)安全體系的監(jiān)測(cè)、防護(hù)和響應(yīng)措施的功效；網(wǎng)絡(luò)攻擊的監(jiān)測(cè)預(yù)警能力;已有網(wǎng)絡(luò)安全防護(hù)措施是否能夠阻止、對(duì)抗外部攻擊；網(wǎng)絡(luò)安全組織隊(duì)伍的人員能力和協(xié)同能力；網(wǎng)絡(luò)安全運(yùn)維管理、機(jī)制和流程的有效性；網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的機(jī)制、流程、組織和資源保障。工作成果各類(lèi)安全報(bào)告，以及總體的匯總報(bào)告，報(bào)告內(nèi)容詳細(xì)描述安全風(fēng)險(xiǎn)及風(fēng)險(xiǎn)修復(fù)建議。對(duì)于攻防演練的及時(shí)總