等保2.0:綠盟科技實戰化、體系化和常態化實踐深度分享

綠盟科技發表於2020-11-17

2019年5月,等級保護新標準《網路安全等級保護基本要求GB/T22239-2019》正式釋出,等級保護制度正式進入了一個新的階段。等級保護2.0對於我國網路安全行業當下工作和未來發展的重要性不言而喻。綠盟科技多年來持續深入學習、研究等級保護相關檔案和技術標準。結合自身豐富技術能力和實踐經驗,於2019年5月正式釋出了等級保護2.0系列解決方案以及針對中小企業通用場景的“等保一體機”,將綠盟科技對等級保護的深入理解以產品、解決方案、服務等形式,賦能給我們的客戶。

在本屆“天府杯”等級保護2.0主題論壇上,綠盟科技分享了對等級保護2.0中“實戰化、體系化和常態化”要求的最新實踐和思考。

立足實戰 以攻促防

2017年6月正式施行的《中華人民共和國網路安全法》中明確規定,“國家實行網路安全等級保護制度”。維護網路空間主權和國家安全是網路安全法的重要目的所在。網路安全本質是對抗,立足於實戰無疑是首要要求。在網路安全工作的“三化”要求中,這種優先順序也得到了驗證。

立足實戰的《關鍵資訊基礎設施實戰防護實踐》,是綠盟科技集團副總裁曹嘉在此次“天府杯”等級保護2.0主題論壇的分享主題。關鍵資訊基礎設施是網路安全保護物件的重中之重。面向實戰既是其網路安全工作的特色,也是重要要求。近年來廣泛開展的行業級甚至國家級攻防演練活動,關鍵資訊基礎設施的網路運營者是重要參與方。綠盟科技多年來積極支援大量攻防演練活動,作為專業網路安全公司,結合攻防雙方的不同視角,有許多經驗值得分享和借鑑。

等保2.0:綠盟科技實戰化、體系化和常態化實踐深度分享

綠盟科技集團副總裁 曹嘉

曹嘉介紹,根據綠盟科技研判中臺對最近攻防演練的活動反饋可以看到,針對面向公眾的應用的攻擊,如Web漏洞、附件釣魚等仍是攻擊方核心開啟突破口的手段和思路。同時,部分國產商用軟體、未及時更新的安全產品,也成為成功入侵的關鍵。以典型的釣魚攻擊為例,根據綠盟科技安全運維保障中臺反饋,劇本精準、攻擊籌備充分,結合Cobalt Strike、冰蠍等成熟工具,使用域前置技術實現更好的攻擊隱匿等都是2020年攻防演練中釣魚攻擊的典型特點。

在攻防演練這一極具實戰意味的場景下可以看到的另一個重要可能性,是對可信專網的攻擊。“可信”字面理解是“可信任”,但目前這種“可信任”是否能和“絕對安全”劃等號?是否能和“無需防禦”劃等號?更加矛盾的是,問題的答案和安全工作的現實,不一定是一致的。曹嘉介紹的一個典型攻擊案例,就是利用可信網路中各單位近乎不設防互聯互通、普遍存在脆弱資產的現狀,攻擊者一旦利用儲備的0day、1day成功實現入侵,就可基於成熟工具實現穩定的記憶體Webshell駐留;後續的內部橫移、資訊收集甚至破壞行動,基於可信網路的現狀,除了在過程中要注意達到基本的免殺和隱匿要求外,對於攻擊者而言基本沒有難度。

此外,諸如網閘、VPN等關鍵路徑上的弱口令,域控系統不受限的批次指令碼下發能力,攻擊方與時俱進且愈加豐富的技術對抗手段,可以說觸目驚心。但這也正是實戰化攻防演練的意義和價值所在。曹嘉表示,從防守方的角度,基於綠盟科技的實踐,實戰化、實時、高烈度的攻防對抗場景下的五個關鍵能力,TTPs(戰術、技術和過程)等高價值情報、(平臺)產品的威脅發現和響應能力、對攻擊和事件的響應能力、具備豐富經驗的技術研判能力以及溯源反制能力,可以收斂、集中到安全中臺再向客戶、主管單位輻射,會有更理想的效果。

“損失彌補”視角下的另一種對抗

如果我們嘗試從攻防對抗的視角切換到損失彌補的視角來看待網路安全事件,不難發現大量以資料為最終目標的網路攻擊,如資料洩露、資料篡改、勒索等,其處置成本不僅包括相關人員和技術,還有相當大的比重在於企業作為第一方的直接經濟損失,和第三方向企業提出法律訴訟而導致的費用支出。保險作為一種重要的抗風險金融手段,與網路安全攻防特點的深入結合,無疑會應運而生一種新的實戰環境下的“對抗”思路——網路安全保險。

2018年起,綠盟科技與前海財險就在網路安全保險這個新興領域展開積極的探索與合作。2020年11月7日,綠盟科技聯合前海財險共同釋出網路安全保險服務的2.0版本。11月8日“天府杯”等級保護2.0主題論壇,前海財險副總經理張炯也以此為題,從專業的保險從業人員的角度,進行了分享。

等保2.0:綠盟科技實戰化、體系化和常態化實踐深度分享

前海財險副總經理 張炯

張炯認為,網路安全保險不僅可以積極發揮其作為金融手段的作用,為企業彌補用於應急處置和外部訴訟的經濟損失,還可透過核保標準、保費等因素鼓勵企業做好事前、事中以及事後的風險管理,併為企業的抗網路安全風險能力提供一定程度的背書。透過將保險與專業的安全能力和豐富安全服務經驗結合,不僅可以在核保階段透過資料採集和評估服務結合的手段,提供短平快的核保體驗,更可在事件發生的第一時間為應急響應以及後續的鑑證、定損等工作保障專業的技術支援。此外,結合綠盟科技在威脅情報方面的能力優勢,貼合保險責任,在事前協助客戶進行合理的風險規避,降低出險的機率,在事中助力客戶進行快速響應,這對投保客戶、保險公司和安全公司而言是一種三方的共贏。

張炯也坦言,網路安全保險目前整體還處於探索階段,能夠提供的保障還相對受限。比如要求事件可被證實,保障物件無法囊括工控系統、物聯網等場景,經濟損失要求可衡量,對大面積系統性網路安全風險缺乏有效抵禦能力等。但總體來看,網路安全保險透過必要的、基於風險視角的全面勘評,定期對投保物件及其供應鏈整體的安全風險評估,對企業事件響應流程的重新梳理等技術手段和能力的引入,無疑會對企業原有風險管理體系帶來積極的影響,提升整體對重大網路安全事件的應對能力。

體系化建設與常態化運營並重

從兩化融合(工業化與資訊化)到新基建,IT已經從提高工業效率的工具成長為工業創新發展的動力。網路安全等級保護制度也始終適應著IT的發展,逐步演進。網路安全保護工作不僅要立足實戰,還要進行體系化的網路安全能力建設,以及常態化的安全運營。綠盟科技集團首席行業專家張智南在等級保護2.0主題論壇上,分享了綠盟科技《常態化趨勢下的網路安全體系建設思路與實踐》。

等保2.0:綠盟科技實戰化、體系化和常態化實踐深度分享

綠盟科技集團首席行業專家 張智南

沒有規矩,不成方圓。體系化的安全能力建設,需要有明確要求和標準作為支撐。在《中華人民共和國網路安全法》、等級保護2.0制度的背景下,網路運營者應依據《網路安全等級保護基本要求》《網路安全等級保護安全設計技術要求》等國家標準,梳理分析是否全面覆蓋了網路安全等級保護的基線要求,並結合等級測評過程中發現的安全隱患,按照“一箇中心(安全管理中心)、三重防護(安全通訊網路、安全區域邊界、安全計算環境)”這一核心要義,構建面向風險的縱深防禦體系。

在常態化的安全運營方面,特別是重點行業的關鍵單位,張智南表示,應積極配合行業主管單位以及公安機關的安全監測、通報預警等工作,落實7x24小時值班值守的常態化措施,同時從安全意識、資產和脆弱性管理、威脅情報、實戰對抗、全流量分析、未知威脅發現、自動化處置等方面著手,完善安全運營的能力框架。綠盟科技的“雲地人機”協同機制,是實現有效安全運營的重要保障。

在實踐方面,綠盟科技作為等級保護安全建設服務機構,始終踐行網路安全等級保護制度,將多年積累的安全能力和等級保護標準體系相結合,並充分考慮行業特性,推出了囊括通用安全、雲端計算安全、工控安全等場景的“綠盟科技等級保護2.0系列解決方案”。此外,針對中小企業通用場景下的等級保護建設,綠盟科技還發布了 “等保一體機”,作為等保2.0系列解決方案重要補充,以防禦、監測、響應、評估為核心能力,助力客戶高效地完成等保合規建設。

相關文章