實戰對抗中,考驗的不僅是雙方在對抗過程中的能力與技能,還有各自戰前準備工作是否周詳完備。只有經過充分的準備,方能在實戰演練中掌握主動,並奪取最終的勝利。本文是攻防論道系列的其中一篇,從資產全面評估,業務缺陷識別,風險整改推進,防護能力補差,整體策略最佳化和意識能力培訓六個方面,詳論如何發現網路和業務系統的脆弱性,評估面臨的安全風險,並透過技術和管理兩個方面進行增強,實現安全策略的全面最佳化。
一、 資產全面評估
在攻防論道系列文章中,曾講到要對當前網路架構進行合理分析和最佳化,盤點內外網資產,理順資產與業務系統的關係。因此,在前期理清資產的基礎上,需要對資訊資產的安全性進行全面評估,主要包括以下7大評估方法:
ü 漏洞掃描:檢查系統中是否有中、高危漏洞,並結合人工檢查進行確認。
ü 配置核查:檢查網路架構是否符合隔離要求,裝置配置是否最優。
ü 弱口令檢查:定製弱口令字典,執行自動化掃描,發現資產口令存在的問題。
ü 滲透測試:從攻擊者視角發現被忽視的威脅路徑。
ü 入侵痕跡排查:檢查資產中是否存在webshell、木馬等可被利用進行遠控的手段。
ü 敏感資訊檢查:檢查桌面敏感檔案、開發過程文件等資料中是否存在使用者名稱、密碼等企業敏感資訊。
ü 安全機制校驗:檢查現有主機、裝置、應用、服務等模組的安全監控、安全防護、網路策略、安全策略等機制,檢查其是否有效。
二、 業務缺陷識別
資產是業務的支撐,業務是資產的聚合。在業務層面,需要對業務系統進行分級,針對重要業務系統,特別是攻防演練確定的靶標系統和重要業務系統,梳理系統關鍵流程(如登入、認證、查詢、申請、審批、交易等)繪製相應時序圖,分析業務流程和資料流轉中可能遭遇的攻擊和敏感資訊洩露等安全隱患,輸出相應風險處置措施以降低風險,保障系統安全。
在此基礎上,還應該對身份認證系統、VPN、域控系統、網管系統等集權系統和防火牆,入侵防禦系統,web安全防護系統,主機防護系統等安全裝置進行風險評估,確保其集權管控和安全防護機制能夠正常執行,且系統本身不存在中高危安全漏洞。此外,還需要來自供應鏈,相關業務鏈,第三方人員鏈等第三方的安全風險,防止攻擊者利用第三方實施入侵。
三、 風險整改推進
對在資產安全評估和業務缺陷識別中發現的問題,需要制定整改方案,及時進行修復。主要包括:
ü 歷史發現風險閉環覆盤:梳理以往發現的安全風險,對尚未解決的中高風險快速進行全面排查,針對歷史上發生的重要安全事件進行復盤,總結教訓,提升意識,並確認已無潛在風險。
ü 自查發現風險跟進巡查:對自查中發現的風險及問題進行最終彙總整合,形成相應的跟蹤表,設立每項風險閉環的責任主體和負責人,明確整改期限,及時跟進直至各項風險排查結束。
ü 各類裝置風險跟進處置 :跟進網路裝置、安全裝置自身的安全風險處置,做好相應的修復規劃和策略配置最佳化等,並及時更新同步。
四、 防護能力補差
面對實戰攻防演練,需要構建集預警、防護、檢測、響應於一體的自適應聯動響應體系。攻防演練的防守方,可參考下圖展示的網路安全最佳實踐技術體系,查漏補缺,消除短板,整體提升安全防護能力。
五、 整體策略最佳化
在構建完成整體防線後,下一步就需要提升攻擊檢測和防護的效率,對整體策略進行最佳化,主要包括三方面的最佳化動作。一是最佳化日誌分析,採用事件分析法,時間分析法,以及流量包樣本分析法等方式,在大量日誌中捕獲關鍵資訊,區分裝置關注重點事件。二是處置裝置誤報,及時拉通業務側溝通渠道,核實能否夠及時對業務程式碼邏輯進行修改,解決業務誤攔問題。三是最佳化平臺和裝置策略,根據日誌分析及誤報處理的結果,對網路裝置策略、安全裝置策略、主機策略等進行進一步調整和最佳化。
六、 意識能力培訓
在安全意識培訓方面,需要在三大方向發力。一是要加強安全意識宣傳,透過發放張貼安全意識宣傳材料,播放安全意識宣傳影片等方式加強員工對資訊保安的重視和關注。二是要加強內部安全意識培訓,透過面向一般人員、技術人員等不同的員工群體,組織針對性的專項培訓。三是要面向第三方開發商和服務商人員等開展安全意識宣貫,同時簽訂安全保密協議、責任界定書,增強其安全敏感度。
在安全能力培訓方面,首先要展開威脅分析能力培訓,透過告警分析實現對常見攻擊行為和結果的識別,包括利用漏洞執行惡意程式碼,手工嘗試弱口令,伺服器被攻陷,惡意程式被執行等。其次要對應急響應能力進行培訓,透過排查伺服器上的木馬程式,分析攻擊者入侵途徑,登入伺服器操作以驗證事件的準確性等方法實現安全事件的事中和事後取證分析與及時處置。