隨著網(wǎng)絡(luò)安全攻防演練的常態(tài)化���,用戶在構(gòu)建網(wǎng)絡(luò)實戰(zhàn)防護能力時仍面臨許多挑戰(zhàn)。結(jié)合現(xiàn)有的安全標(biāo)準(zhǔn)規(guī)范和行業(yè)相關(guān)實踐����,各政企事業(yè)單位應(yīng)如何落地實踐呢�����?
攻防對抗趨勢下
實戰(zhàn)能力成為網(wǎng)絡(luò)安全建設(shè)的重要目標(biāo)
體系化的安全建設(shè)能夠保障安全建設(shè)的水平�����、提升建設(shè)的“完善程度”�����、滿足全面的建設(shè)要求,且針對大多數(shù)攻擊行為都是有效的����。
但目前網(wǎng)絡(luò)空間態(tài)勢復(fù)雜,0Day��、定向攻擊��、高級可持續(xù)性攻擊等針對性的攻擊手法����,已經(jīng)成為攻防對抗中常用的手段。如何在實際攻防對抗環(huán)境中具備實戰(zhàn)能力����,成為了所有行業(yè)和組織單位網(wǎng)絡(luò)安全建設(shè)的重要目標(biāo)。
實戰(zhàn)能力構(gòu)建的現(xiàn)狀與挑戰(zhàn)
深信服安全專家認為���,網(wǎng)絡(luò)實戰(zhàn)能力的構(gòu)建����,離不開體系化的防御能力和常態(tài)化的運營能力���,從目前大量的實踐案例來看�,一些組織單位在構(gòu)建以上安全能力的過程中普遍面臨下述挑戰(zhàn):
(1)補丁式建設(shè),難以形成體系化防御能力
受制于業(yè)務(wù)規(guī)模���、資源投入等因素�,大部分組織的網(wǎng)絡(luò)安全都是“頭痛醫(yī)頭�、腳痛醫(yī)腳”,逐步完善安全建設(shè)���。這在戰(zhàn)術(shù)上是合理的�,但在戰(zhàn)略上由于缺乏初期的“整體規(guī)劃�,分步建設(shè)”,導(dǎo)致往往會存在以下問題:
(2)階段性外援,難以提升常態(tài)化運營水平
應(yīng)對攻防演練��,最常被組織單位采納的措施是借助外部專業(yè)安全技術(shù)人員���,在短時間內(nèi)快速提升網(wǎng)絡(luò)安全運營能力�����;然而如今攻擊日趨專業(yè)化����、密集化�、隨機化,攻防演練與日常所面臨的攻擊強度差距持續(xù)縮小��,導(dǎo)致上述模式存在以下問題:
-
短期外援只能應(yīng)急�,演練結(jié)束后“人走茶涼”,無法提升常態(tài)化運營水平���;
-
長期聘請安全人員駐場成本過高�����,其效果很大程度上依賴于個人能力高低�����;
-
組織單位自身培養(yǎng)網(wǎng)絡(luò)安全技術(shù)人員的周期長����、成本高、見效慢�。
深信服安全專家建議,組織單位可以通過以下 “三二一”模式打造體系化安全建設(shè)���,提升網(wǎng)絡(luò)安全實戰(zhàn)防護能力:
1. “三個重點”����,提升安全基線
包含等級保護“一個中心��、三重防護”核心思想�、PDR模型等在內(nèi)的安全建設(shè)方法論,都提到了以下三個關(guān)鍵點:
-
風(fēng)險消除:通過收斂對外暴露面�����、修復(fù)高危漏洞����、加固弱口令等措施,盡可能降低被攻擊者嗅探和入侵的概率�����;如果條件允許�����,可主動搜索暴露在Github�����、網(wǎng)盤���、文庫等公共平臺的內(nèi)部關(guān)鍵信息并迅速整改�;
-
立體保護:基于等級保護“一個中心�、三重防護”核心思想,對信息系統(tǒng)所涉及的網(wǎng)絡(luò)���、主機�、應(yīng)用���、數(shù)據(jù)等資產(chǎn)進行全面加固�����,包括補齊缺失的安全軟硬件�����、優(yōu)化策略配置���、升級安全規(guī)則模型等���,刷新整體防護效果;
-
監(jiān)測響應(yīng):構(gòu)建覆蓋全網(wǎng)的威脅監(jiān)測與響應(yīng)能力��,確保在邊界被突破后盡早發(fā)現(xiàn)威脅并迅速處置��,避免損失擴大���,即盡量縮小Dt(檢測時間)和Rt(響應(yīng)時間)��。目前較為高效的方式是SOAR技術(shù)的應(yīng)用��,即安全編排����、自動化與響應(yīng)����,通過智能化檢測模型還原攻擊全貌,并聯(lián)動各安全產(chǎn)品實現(xiàn)協(xié)同處置�,大幅縮減檢測與響應(yīng)的時間。
2. “二項加強”���,強化關(guān)鍵點防護
經(jīng)典的安全建設(shè)方法論能夠在宏觀層面上對安全建設(shè)提出指導(dǎo)性建議�����,但在具體實戰(zhàn)中�,缺乏對于不同資產(chǎn)安全投入主次的指導(dǎo)��,往往導(dǎo)致在網(wǎng)絡(luò)關(guān)鍵點的保護不足���,最終被集中火力突破�����。因此在安全基線之上�,應(yīng)當(dāng)結(jié)合組織的實際業(yè)務(wù)特點,對關(guān)鍵點進行防護強化:
-
強化關(guān)鍵系統(tǒng)防護����。攻擊者一旦突破內(nèi)網(wǎng)會優(yōu)先選擇受害者關(guān)鍵系統(tǒng)作為下一步攻擊目標(biāo),如認證服務(wù)器��、集中管理平臺����、域控服務(wù)器等,因此各組織應(yīng)對關(guān)鍵系統(tǒng)提供額外的安全防護措施����。
-
強化關(guān)鍵路徑防護。除常規(guī)路徑外�����,攻擊者還會利用旁路實施攻擊滲透��,如下屬單位與總部之間的內(nèi)部網(wǎng)絡(luò)����,或獲得內(nèi)部用戶的VPN賬號等�。因此各組織應(yīng)對關(guān)鍵路徑加強防護���,如禁止無權(quán)限用戶訪問關(guān)鍵系統(tǒng)���、細化下屬單位與總部之間的訪問控制等。
3. “一個中心”��,構(gòu)建常態(tài)化運營
網(wǎng)絡(luò)安全的本質(zhì)是對抗�����,對抗是持續(xù)化的過程���,需要在提升安全基線、加強關(guān)鍵防護的基礎(chǔ)上��,建立安全運營中心并主動����、持續(xù)地開展安全運營工作,并借助SOAR技術(shù)幫助人員提升安全運營效率�,更好更快地執(zhí)行信息收集、分析��、研判與處置的流程,以確保防御能力的有效性���。
相比于自運營模式下人員培養(yǎng)的成本高�����、周期長�����、見效慢等問題���,聯(lián)合運營模式更加符合當(dāng)前組織的實際需求。聯(lián)合運營指組織單位通過購買安全運營服務(wù)����,無需對現(xiàn)有IT安全架構(gòu)進行極大的調(diào)整,也無需花費雇傭第三方安全服務(wù)人員長期駐場的高昂成本�,即可迅速復(fù)用安全運營服務(wù)商的云SOC以及安全專家團隊開展安全運營工作,為業(yè)務(wù)提供7*24小時的安全保障����,同時安全專家的專業(yè)能力有足夠保障。這種模式建設(shè)成本適中�����,見效快,效果好��,比較適合大多數(shù)組織單位��。聯(lián)合運營模式最大的優(yōu)勢在于能夠以比較低的成本���,通過復(fù)用安全專家團隊��,以更具經(jīng)驗的流程確保全天候的安全保障能力。
您當(dāng)前的位置:
