3月18日,邮政业科技创新战略联盟成员单位深信服安全专家参加了「网络安全实战攻防策略进阶闭门会」线上直播,分享了网络安全攻防演练的实践经验和新的攻防思路,助力各行业企业单位进一步提升攻防实战能力。
网络安全的本质是对抗。近年来,网络安全威胁呈现高级化和智能化发展趋势,新型技术攻击不断出现,关键信息基础设施领域面临新的安全风险与挑战。网络安全实战攻防演练因其是在真实网络环境中开展对抗,贴近事实、贴近实战,已成为检验关键信息基础设施系统网络安全防护能力的常态化方式和关键环节。
但从往年大量的实战案例来看,各组织单位在构建实战能力的过程中普遍存在以下问题:
1. 攻防演练现场管理工作混乱,多方人员难以形成合力;
2. 阶段性外援或单纯自运营模式,难以满足安全对抗常态需求;
3. 安全风险心中无底,未知威胁防御能力有限;
4. 缺乏对关键系统、关键路径的重点防护,容易导致“一着不慎满盘皆输”的情况。
针对以上问题,以及网络安全相关政策提出的网络安全监测预警、应急处置和检测评估等新的防控要求,深信服在原来“三二一”模式基础上,升级发布了“二四二”网络安全攻防实战演练防守方案,希望通过该方案帮助各企业单位更有策略、更有效地提升实战防御水平。
深信服“二四二”网络安全攻防实战演练防守方案
“二域协同”,构建常态化对抗运营
“二域”指现场(线下)和云端(线上)。通过线下线上协同,确保网络安全攻防演练期间指挥有序高效,同时借助云端运营能力,弥补阶段性外援或单纯自运营模式成本高、见效慢、无法沉淀为常态化安全能力的不足。
1. 现场挂图作战现场建立挂图作战指挥系统,基于安全事件借助SOAR技术联动帮助人员提升安全运营效率,更好更快地执行信息收集、分析、研判与处置的流程,以确保防御能力的有效性。
2. 云端协同作战1)建立安全运营中心,基于OODA循环主动、提供云端安全托管,全天候持续开展安全运营保障工作,实现内外协同;2)建立威胁监测及响应平台,结合安全大数据中心(云脑)基于威胁情报、恶意行为特征等与本地网&端联动,实现响应协同。
“四个重点”,提升安全基线
很多企业单位存在对敏感信息外泄情况以及系统在互联网暴露面现状无感知的情况,难以及时发现并收敛攻击入口点。另外,未公开漏洞利用、新型攻击威胁等未知威胁比例上升,传统的防御手段难以应对。因此,提升安全基线建设是网络安全实战攻防的重点。
1. 风险摸排1)内外部漏洞排查,及时发现内部失陷主机;2)主动搜索暴露在外的内部信息等。
2. 安全加固1)基于成熟安全模型,补齐缺失的安全软硬件;2)优化策略配置、升级安全措施、强化安全意识。
3. 监测防护1)通过NTA、CWPP等构建全网威胁监测响应能力;2)通过防火墙和终端安全构建纵深防御。
4. 快速响应1)及时入侵响应,快速验证被利用的漏洞;2)积极诱捕攻击者并溯源。
“二项加强”,强化关键点防护
堡垒机、域控系统等集权设备,以及容易被作为跳板的总部分支互联链路等关键路径是防守的关键,一旦被攻破或被利用可能导致全盘皆失。
1. 强化关键系统防护针对关键系统(认证服务器、集中管理平台、域控服务器等)提供强化的安全防护措施,如策略收紧等。
2. 强化关键路径防护针对关键路径提供强化的安全控制措施,如冗余异构,禁止无权限用户访问关键系统、细化下属单位与总部之间的访问控制,严格控制内部用户的VPN账号权限等。
深信服“二四二”模型可帮助实战演练的防守方有效开展实战防守工作,提升用户网络安全防御能力,真正实现“始于演练,精于实战”。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
