Statistics
7
Views
0
Downloads
0
Donations
Support Statistics
¥.00 ·
0times
Text Preview (First 20 pages)
Registered users can read the full content for free
Register as a Gaohf Library member to read the complete e-book online for free and enjoy a better reading experience.
Page
1
实战攻防演习之 蓝队视角下的防御体系构建 1
Page
2
实战攻防演习之 蓝队视角下的防御体系构建 3 前 言 网络实战攻防演习,是新形势下关键信息系统网络 安全保护工作的重要组成部分。演习通常是以实际运 行的信息系统为保护目标,通过有监督的攻防对抗, 最大限度地模拟真实的网络攻击,以此来检验信息系 统的实际安全性和运维保障的实际有效性。 2016年以来,在国家监管机构的有力推动下,网 络实战攻防演习日益得到重视,演习范围越来越广, 演习周期越来越长,演习规模越来越大。国家有关部 门组织的全国性网络实战攻防演习从2016年仅有几家 参演单位,到2019年已扩展到上百家参演单位;同时 各省、各市、各行业的监管机构,也都在积极地筹备 和组织各自管辖范围内的实战演习。一时间,网络实 战攻防演习遍地开花。 在演习规模不断扩大的同时,攻防双方的技术水平 和对抗能力也在博弈中不断升级。 2016年,网络实战攻防演习尚处于起步阶段,攻 防重点大多集中于互联网入口或内网边界。 2017年,实战攻防演习开始与重大活动的网络安 全保障工作紧密结合。就演习成果来看,从互联网侧
Page
3
实战攻防演习之 蓝队视角下的防御体系构建 4 发起的直接攻击仍然普遍十分有效;而系统的外层防 护一旦被突破,横向移动、跨域攻击,往往都比较容 易实现。 2018年,网络实战攻防演习开始向行业和地方深 入。伴随着演习经验的不断丰富和大数据安全技术的 广泛应用,防守方对攻击行为的监测、发现和溯源能 力大幅增强,与之相应的,攻击队开始更多地转向精 准攻击和供应链攻击等新型作战策略。 2019年以来.网络实战攻防演习工作受到了监 管部门、政企机构和安全企业的空前重视。流量分 析、EDR、蜜罐、白名单等专业监测与防护技术被防 守队广泛采用。攻击难度的加大也迫使攻击队全面升 级,诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、 钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法,在 实战攻防演练中均已不再罕见,攻防演习与网络实战 的水平更加接近。 如何更好地参与网络实战攻防演习?如何更好地借 助实战攻防演习提升自身的安全能力?这已经成为大 型政企机构运营者关心的重要问题。 作为国内领先的网络安全企业,奇安信集团已成为 全国各类网络实战攻防演习的主力军。奇安信集团安
Page
4
实战攻防演习之 蓝队视角下的防御体系构建 5 服团队结合200余次实战攻防演习经验,总结编撰了这 套实战攻防演习系列丛书,分别从红队视角、蓝队视 角和紫队视角,来解读网络实战攻防演习的要领,以 及如何结合演习提升政企机构的安全能力。 需要说明的是,实战攻防演习中的红方与蓝方对抗 实际上是沿用了军事演习的概念和方法,一般来说, 红方与蓝方分别代表攻击方与防守方。不过,红方和 蓝方的名词定义尚无严格的规定,也有一些实际的攻 防演习,将蓝队设为攻击队、将红队设为防守队。在 本系列丛书中,我们依据绝大多数网络安全工作者的 习惯,统一将攻击队命名为红队,将防守队命名为蓝 队,而紫队则代表组织演练的机构。 《蓝队视角下的防御体系构建》是本系列丛书的第 二本。本书希望通过归纳总结蓝队防御的三个阶段、 应对攻击的常用策略,以及建立实战化的安全体系的 基本方法,帮助政企机构弥补薄弱环节,更好地提升 演习水平,构筑更有效的安全防御体系。
Page
5
实战攻防演习之 蓝队视角下的防御体系构建 6 目 录 第一章 什么是蓝队.......................................1 第二章 蓝队三步走——防守的三个阶段............4 一、备战阶段——不打无准备之仗........................4 二、实战阶段——全面监测及时处置....................6 三、战后整顿——实战之后的改进........................8 第三章 蓝队应对攻击的常用策略.....................9 一、防微杜渐:防范被踩点...................................9 二、收缩战线:收敛攻击面.................................10 三、纵深防御:立体防渗透.................................12 四、守护核心:找到关键点.................................14 五、洞若观火:全方位监控.................................15
Page
6
实战攻防演习之 蓝队视角下的防御体系构建 7 第四章 建立实战化的安全体系......................17 一、认证机制逐步向零信任架构演进..................17 二、建立面向实战的纵深防御体系......................19 三、强化行之有效的威胁监测手段......................20 四、建立闭环的安全运营模式.............................21 附录 奇安信蓝队能力及攻防实践..................24
Page
7
实战攻防演习之 蓝队视角下的防御体系构建 1 第一章 什么是蓝队 蓝队,一般是指网络实战攻防演习中的防守一方。 蓝队一般是以参演单位现有的网络安全防护体系为 基础,在实战攻防演习期间组建的防守队伍。蓝队的 主要工作包括前期安全检查、整改与加固,演习期间 进行网络安全监测、预警、分析、验证、处置,后期 复盘总结现有防护工作中的不足之处,为后续常态化 的网络安全防护措施提供优化依据。 实战攻防演习时,蓝队通常会在日常安全运维工作 的基础上,以实战思维进一步加强安全防护措施、提 升管理组织规格、扩大威胁监控范围、完善监测与防 护手段、增加安全分析频率、提高应急响应速度,提 升防守能力。 特别需要说明的是:蓝队并不仅仅由实战演习中目 标系统运营单位一家独立承担,而是由目标系统运营 单位、攻防专家、安全厂商、软件开发商、网络运维 队伍、云提供商等多方组成的防守队伍。 下面是组成蓝队的各个团队在演习中的角色与分工 情况:
Page
8
实战攻防演习之 蓝队视角下的防御体系构建 2 目标系统运营单位:负责蓝队整体的指挥、组织和 协调; 安全运营团队:负责整体防护和攻击监控工作; 攻防专家:负责对安全监控中发现的可疑攻击进行 分析研判,指导安全运营团队、软件开发商等相关部 门进行漏洞整改等一系列工作; 安全厂商:负责对自身产品的可用性、可靠性和防 护监控策略是否合理进行调整; 软件开发商:负责对自身系统安全加固、监控和配 合攻防专家对发现的安全问题进行整改; 网络运维队伍:负责配合安全专家对网络架构安 全、出口整体优化、网络监控、溯源等工作; 云提供商(如有):负责对自身云系统安全加固,以 及对云上系统的安全性进行监控,同时协助攻防专家 对发现的问题进行整改。 某些情况下,还会有其他组成人员,这需要根据实 际情况具体分配工作。 特别的,作为蓝队,了解对手(红队)非常重要。
Page
9
实战攻防演习之 蓝队视角下的防御体系构建 3 知彼才能知己。从攻击者角度出发,了解攻击者的思 路与打法,了解攻击者思维,并结合本单位实际网络 环境、运营管理情况,制定相应的技术防御和响应机 制,才能在防守过程中争取主动权。
Page
10
实战攻防演习之 蓝队视角下的防御体系构建 4 第二章 蓝队三步走——防守的三个阶段 在实战环境下的防护工作,无论是面对常态化的一 般网络攻击,还是面对有组织、有规模的高级攻击, 对于防护单位而言,都是对其网络安全防御体系的直 接挑战。在实战环境中,蓝队需要按照备战、实战和 战后三个阶段来开展安全防护工作。 一、备战阶段——不打无准备之仗 在实战攻防工作开始之前,首先应当充分地了解 自身安全防护状况与存在的不足,从管理组织架构、 技术防护措施、安全运维处置等各方面能进行安全评 估,确定自身的安全防护能力和工作协作默契程度, 为后续工作提供能力支撑。这就是备战阶段的主要工 作。 在实战攻防环境中,我们往往会面临技术、管理和 运营等多方面限制。技术方面:基础能力薄弱、安全 策略不当和安全措施不完善等问题普遍存在;管理方 面:制度缺失,职责不明,应急响应机制不完善等问 题也很常见;运营方面:资产梳理不清晰、漏洞整改 不彻底、安全监测分析与处置能力不足等问题随处可 见。这些不足往往会导致整体防护能力存在短板,对 安全事件的监测、预警、分析和处置效率低下。
Page
11
实战攻防演习之 蓝队视角下的防御体系构建 5 针对上述情况,蓝队在演习之前,需要从以下几个 方面进行准备与改进: 1)技术方面 为了及时发现安全隐患和薄弱环节,需要有针对 性地开展自查工作,并进行安全整改加固,内容包 括系统资产梳理、安全基线检查、网络安全策略检 查、Web安全检测、关键网络安全风险检查、安全措 施梳理和完善、应急预案完善与演练等。 2)管理方面 一是建立合理的安全组织架构,明确工作职责, 建立具体的工作小组,同时结合工作小组的责任和内 容,有针对性地制定工作计划、技术方案及工作内 容,责任到人、明确到位,按照工作实施计划进行进 度和质量把控,确保管理工作落实到位,技术工作有 效执行。 二是建立有效的工作沟通机制,通过安全可信的 即时通讯工具建立实战工作指挥群,及时发布工作通 知,共享信息数据,了解工作情况,实现快速、有效 的工作沟通和信息传递。
Page
12
实战攻防演习之 蓝队视角下的防御体系构建 6 3)运营方面 成立防护工作组并明确工作职责,责任到人,开展 并落实技术检查、整改和安全监测、预警、分析、验证 和处置等运营工作,加强安全技术防护能力。完善安全 监测、预警和分析措施,建立完善的安全事件应急处置 机构和可落地的流程机制,提高事件的处置效率。 同时,所有的防护工作包括预警、分析、验证、 处置和后续的整改加固都必须以监测发现安全威胁、 漏洞隐患为前提才能开展。其中,全流量安全威胁检 测分析系统是防护工作的重要关键节点,并以此为核 心,有效地开展相关防护工作。 二、实战阶段——全面监测及时处置 攻守双方在实战阶段正式展开全面对抗。防护方须 依据备战明确的组织和职责,集中精力和兵力,做到 监测及时、分析准确、处置高效,力求系统不破,数 据不失。 在实战阶段,从技术角度总结应重点做好以下三 点:
Page
13
实战攻防演习之 蓝队视角下的防御体系构建 7 1)做好全局性分析研判工作 在实战防护中,分析研判应作为核心环节,分析研 判人员要具备攻防技术能力,熟悉网络和业务。分析 研判人员作为整个防护工作的大脑,应充分发挥专家 和指挥棒的作用,向前,对监测人员发现的攻击预警 进行分析确认并溯源,向后,指导协助事件处置人员 对确认的攻击进行处置。 2)全面布局安全监测预警 安全监测须尽量做到全面覆盖,在网络边界、内网 区域、应用系统、主机系统等方面全面布局安全监测 手段,同时,除了IDS、WAF等传统安全监测手段外, 尽量多使用天眼全流量威胁检测、网络分析系统、蜜 罐、主机加固等手段,只要不影响业务,监测手段越 多元化越好。 3)提高事件处置效率效果 安全事件发生后,最重要的是在最短时间内采取技 术手段遏制攻击、防止蔓延。事件处置环节,应联合 网络、主机、应用和安全等多个岗位人员协同处置。
Page
14
实战攻防演习之 蓝队视角下的防御体系构建 8 三、战后整顿——实战之后的改进 演习的结束也是防护工作改进的开始。在实战工 作完成后应进行充分、全面复盘分析,总结经验、教 训。应对准备、预演习、实战等阶段工作中各环节的 工作进行全面复盘,复查层面包括工作方案、组织管 理、工作启动会、系统资产梳理、安全自查及优化、 基础安全监测与防护设备的部署、安全意识、应急预 案及演练和注意事项等所有方面。 针对复盘中暴露出的不足之处,如管理层面的不完 善、技术层面需优化的安全措施和策略、协调处置工 作层面上的不足、人员队伍需要提高的技术能力等各 个方面,应进行立即整改,整改加固安全漏洞隐患, 完善安全防护措施,优化安全策略,强化人员队伍技 术能力,有效提升整体网络安全防护水平。
Page
15
实战攻防演习之 蓝队视角下的防御体系构建 9 第三章 蓝队应对攻击的常用策略 未知攻焉知防。如果企业安全部门不了解攻击者的 攻击思路、常用手段,有效的防守将无从谈起。从攻 击者实战视角去加强自身防护能力,将是未来的主流 防护思想。 攻击者一般会在前期搜集情报,寻找突破口、建立 突破据点;中期横向移动打内网,尽可能多地控制服 务器或直接打击目标系统;后期会删日志、清工具、 写后门建立持久控制权限。针对攻击者或红队的常用 套路,蓝队应对攻击的常用策略可总结为:防微杜 渐、收缩战线、纵深防御、核心防护、洞若观火等。 一、防微杜渐:防范被踩点 攻击者首先会通过各种渠道收集目标单位的各种信 息,收集的情报越详细,攻击则会越隐蔽,越快速。 前期防踩点,首先要尽量防止本单位敏感信息泄露在 公共信息平台,加强人员安全意识,不准将带有敏感 信息的文件上传至公共信息平台。 社工也是攻击者进行信息收集和前期踩点的重要手 段,要定期对信息部门重要人员进行安全意识培训, 如:来路不明的邮件附件不要随便点开,聊天软件未
Page
16
实战攻防演习之 蓝队视角下的防御体系构建 10 经身份确认不要随便添加。此外,安全管理和安全意 识培训难免也会有漏网之鱼,安全运营部门应定期在 一些信息披露平台搜索本单位敏感词,查看是否存在 敏感文件泄露情况。 二、收缩战线:收敛攻击面 门用于防盗,窗户没关严也会被小偷得逞。攻击 者往往不会正面攻击防护较好的系统,而是找一些可 能连防守者自己都不知道的薄弱环节下手。这就要求 防守者一定要充分了解自己暴露在互联网的系统、 端口、后台管理系统、与外单位互联的网络路径等 信息。哪方面考虑不到位、哪方面往往就是被攻陷的 点。互联网暴露面越多,越容易被攻击者“声东击西” ,最终导致防守者顾此失彼,眼看着被攻击却无能为 力。结合多年的防守经验,可从如下几方面收敛互联 网暴露面。 1)攻击路径梳理 由于网络不断变化、系统不断增加,往往会产生新 的网络边界和新的系统。蓝队(防守单位)一定要定 期梳理自己的网络边界、可能被攻击的路径,尤其是 内部系统全国联网的单位更要注重此项梳理工作。
Page
17
实战攻防演习之 蓝队视角下的防御体系构建 11 2)互联网攻击面收敛 一些系统维护者为了方便,往往会把维护的后台、 测试系统和端口私自开放在互联网上,方便维护的同 时也方便了攻击者。攻击者最喜欢攻击的WEB服务就 是网站后台,以及安全状况比较差的测试系统。蓝队 须定期检测如下内容:开放在互联网的管理后台、开 放在互联网上的测试系统、无人维护的僵尸系统、拟 下线未下线的系统、疏漏的未纳入防护范围的互联网 开放系统。 3)外部接入网络梳理 如果正面攻击不成,红队或攻击者往往会选择攻击 供应商、下级单位、业务合作单位等与目标单位有业 务连接的其他单位,通过这些单位直接绕到目标系统 内网。防守单位应对这些外部的接入网络进行梳理, 尤其是未经过安全防护设备就直接连进来的单位,应 先连接防护设备,再接入内网。 4)隐蔽入口梳理 由于API接口、VPN、WiFi这些入口往往会被安全 人员忽略,这往往是攻击者最喜欢打的入口,一旦搞 定则畅通无阻。安全人员一定要梳理WEB服务的API隐
Page
18
实战攻防演习之 蓝队视角下的防御体系构建 12 藏接口、不用的VPN、WiFi账号等,便于重点防守。 三、纵深防御:立体防渗透 前期工作做完后,真正的防守考验来了。防守单位 在互联网上的冠名网站、接口、VPN等对外服务必然 会成为攻击者的首要目标。一旦一个点突破后,攻击 者会迅速进行横向突破,争取控制更多的主机,同时 试图建立多条隐蔽隧道,巩固成果,使防守者顾此失 彼。 此时,战争中的纵深防御理论就很适用于网络防 守。互联网端防护、内外部访问控制(安全域间甚至 每台机器之间)、主机层防护、重点集权系统防护、 无线网络防护、外部网络接入防护甚至物理层面的防 护,都需要考虑进去。通过层层防护,尽量拖慢攻击 者扩大战果的时间,将损失降至最小。 1)互联网端防护 互联网作为防护单位最外部的接口,是重点防护区 域。互联网端的防护工作可通过部署网络防护设备和 开展攻击检测两方面开展。需部署的网络防护设备包 括:下一代防火墙、防病毒网关、全流量分析设备、 防垃圾邮件网关、WAF(云WAF)、IPS等。攻击检测
Page
19
实战攻防演习之 蓝队视角下的防御体系构建 13 方面。如果有条件,可以事先对互联网系统进行一次 完整的渗透测试,检测互联网系统安全状况,查找存 在的漏洞。 2)访问控制措施 互联网及内部系统、网段和主机的访问控制措施, 是阻止攻击者打点、内部横向渗透的最简单有效的防 护手段。防守者应依照“必须原则”,只给必须使用的 用户开放访问权限,按此原则梳理访问控制策略,禁 止私自开放服务或者内部全通的情况出现,通过合理 的访问控制措施尽可能地为攻击者制造障碍。 3)主机防护 当攻击者从突破点进入内网后,首先做的就是攻击 同网段主机。主机防护强度直接决定了攻击者内网攻 击成果的大小。防守者应从以下几个方面对主机进行 防护:关闭没用的服务;修改主机弱口令;高危漏洞 必须打补丁(包括装在系统上的软件高危漏洞);安 装主机和服务器安全软件;开启日志审计。 4)集权系统 集权系统是攻击者最喜欢打的内部系统,一旦被拿 下,则集权系统所控制的主机可同样视为已被拿下,
Page
20
实战攻防演习之 蓝队视角下的防御体系构建 14 杀伤力巨大。集权系统是内部防护的重中之重。 蓝队或防守者一般可从以下方面做好防护:集权系 统的主机安全;集权系统访问控制;集权系统配置安 全;集权系统安全测试;集权系统已知漏洞加固或打 补丁;集权系统的弱口令等。 5)无线网络 不安全的开放无线网络也有可能成为攻击者利用的 攻击点。无线开放网络与业务网络应分开。一般建议 无线网接入采用强认证和强加密。 6)外部接入网络 如果存在外部业务系统接入,建议接入的系统按照 互联网防护思路,部署安全设备,并对接入的外部业 务系统进行安全检测,确保接入系统的安全性,防止 攻击者通过这些外部业务系统进行旁路攻击。 四、守护核心:找到关键点 核心目标系统是攻击者的重点攻击目标,也应重点 防护。上述所有工作都做完后,还需要重点梳理:目 标系统和哪些业务系统有联系?目标系统的哪些服务 或接口是开放的?传输方式如何?梳理得越细越好。
Comments 0
Loading comments...
Reply to Comment
Edit Comment