技术方面
为了及时发现自身安全隐患和薄弱环节,红队需要有针对性地开 展自查工作,并进行安全整改与加固,内容包括资产梳理、网络架构 梳理、安全检查加固、攻防演练。下面针对这四项内容展开介绍。
(1)资产梳理
1)敏感信息梳理。利用敏感信息泄露情报服务,梳理参演单位暴 露在互联网上的敏感信息并对其进行清理或隐藏,以降低信息被攻击 队利用的风险。
2)互联网资产发现。利用互联网资产发现服务,梳理参演单位暴 露在互联网上的资产,查找未知资产及未知服务,形成互联网系统资 产清单;明确资产属性和资产信息,对无主、不重要、高风险资产进 行清理。
3)内网资产梳理。通过梳理内网资产、组件版本、责任人、指纹 识别等内容,明确内网资产状况,形成资产清单,便于后续的整改加 固,在应急处置时可及时通知责任人,还可对暴露的相关组件漏洞及 时进行定位修补;而对重要系统的识别(含集权系统)也便于后续对 重要系统开展防护及业务流梳理工作。
4)第三方供应商梳理。梳理所有第三方供应商,包括设备厂商 (网络设备、安全设备等)、应用开发商、服务提供商(云服务、运 维服务等),要求它们做好自身安全管理、自身产品安全加固,提供 防守监测人员支持。
5)业务连接单位梳理。梳理所有业务连接单位以及连接形式、系 统、区域、IP入口,了解防护监控状况,与参加业务连接单位联防联 控,建立安全事件通报机制。
6)云资产梳理。通过梳理私有云的云管平台、云软件、底层操作 系统以及公有云资产,明确云资产状况,形成资产清单,便于后续的 整改加固,在应急处置时可及时通知责任人,还可对暴露的相关组件 漏洞及时进行定位修补。
(2)网络架构梳理
1)网络访问路径梳理。明确系统访问源(包括用户、设备或系 统)的类型、位置和途经的网络节点,便于后续监测、溯源时使用, 确保安全架构梳理完成后南北向监测流量的完整性。
2)运维访问路径梳理。识别是否存在安全隐患,便于后续优化及 统一整改、加固,确认防护和监测设备是否存在缺失。
3)安全架构梳理。通过架构梳理评估安全域划分是否合理,防护 和监测设备部署位置是否恰当,是否存在缺失,是否存在安全隐患。
4)安全设备部署。建议参演单位尽快补充相关安全设备,以免影 响安全防护工作的顺利进行。根据近几年防守项目的经验,评估客户 在关键地方缺失的安全防护设备。
(3)安全检查
1)常规安全检查。常规安全检查,即传统的安全评估检查工作, 主要涉及网络安全、主机安全、应用安全、终端安全、日志审计、备 份等方面的安全评估。通过开展安全检查工作,对参演单位环境存在 的风险进行摸底,并根据检查输出的结果编写《风险整改报告》。
2)专项清查。对攻击队采用的重点攻击手段及目标进行专项清 查,主要涉及口令及未授权漏洞、重要系统安全检查等工作,尽可能 避免存在高风险、低成本的问题。
3)Web安全检测。Web安全检测应将重点放在最大限度地发现安全 漏洞隐患,验证之前发现的安全漏洞隐患是否已经整改到位。在条件 允许的情况下,针对重要信息系统进行源代码安全检测、安全漏洞扫 描与渗透测试等Web安全检测,重点应检测Web入侵的薄弱环节,例如 弱口令、任意文件上传、中间件远程命令执行、SQL注入等。
(4)攻防演练
攻防演练是为了模拟实战,检验风险自查和安全强化阶段的工作 效果,检验各工作组的前期工作效果,检验本单位对网络攻击的监 测、发现、分析和处置能力,检验安全防护措施和监测技术手段的有 效性,检验各工作组协调、配合的默契程度,充分验证技术方案的合 理性;总结监测、预警、分析、验证、处置等环节的岗位职责及工作 内容执行情况,根据攻防演练实际情况,进一步完善技术方案,为战 时工作夯实基础。
为了检验监控措施的有效性,需要对安全产品自身的安全性、部 署位置、覆盖面进行评估;为了更快地发现问题,需要尽量部署全流 量威胁检测、网络分析系统、蜜罐、主机监测等安全防护设备,提高 监控工作的有效性、时效性、准确性;监测人员还需熟练掌握安全产 品,优化安全产品规则。
运营方面
成立防护工作组并明确工作职责,责任到人,开展并落实技术检 查、整改以及安全监测、预警、分析和处置等运营工作,加强安全技 术防护能力。完善安全监测、预警和分析措施,使监测手段多元化, 建立完善的安全事件应急处置机构和可落地的流程机制,提高事件的 处置效率。
同时,所有的防护工作,包括预警、分析、验证、处置和后续的 整改、加固,都必须以监测并发现安全威胁、漏洞隐患为前提。其 中,全流量安全威胁检测分析系统是防护工作的关键节点,应以此为 核心,有效地开展相关防护工作。
(1)应急预案编写及完善
应根据实战工作要求,结合自身实际情况编写《网络安全应急预 案》。预案的主要内容应包括工作目标、应急组织架构、工作内容及 流程(监测与分析、响应与处置)等,具体事件应包括Web漏洞利用攻 击事件、弱口令爆破事件、任意文件上传事件、跳板代理攻击事件 等。应开展相应的应急演练,熟悉各岗位的工作内容和工作流程,针 对演练过程中发现的问题限期整改。同时,需要整理《值班应急联系 表》与《工作人员通讯录》,以达到战时责任分工明确、快速处置安 全事件、降低业务影响等要求。
(2)安全意识培训
攻击者除了使用Web入侵攻击手段外,还会使用钓鱼和社会工程学 等方式进行攻击,每一个系统接触者都有可能成为攻击目标。攻击者 可能通过邮件甚至互联网发布文章等方式,诱导工作人员下载恶意远 控程序,成为非法入侵的突破口。
所以,对全员进行信息安全意识教育和专项培训是有必要的。在 有条件的情况下,可在实战前期对全员开展安全意识培训工作,尤其 需要提升接触关键信息的人员、权责较高的人员、系统运维人员等的 安全意识,以减少安全意识薄弱造成的安全风险。
(3)生产工作要求
在开展安全技术工作的同时,还要加强生产工作要求,控制网络 安全防护工作实施过程中的安全风险,降低因人员违反工作要求而产 生的安全风险。建议生产工作要求如下。
-
保密要求:禁止泄露任何与工作相关的信息、数据,与第三方 技术支持单位人员签订保密协议。
-
网络传播:严禁私自传播任何与工作相关的信息,如发朋友
圈。
-
个人终端安全:须对接入网络的计算机终端进行病毒查杀、安 全基线合规检查和加固。
-
值守要求:工作期间禁止擅离职守,全员7×24小时开机,并保 持通信畅通。
-
工作要求:现场禁止开展与工作无关的任何事情。 - 时间要求:严格按照工作要求时间开展相关工作。
-
漏洞上报:禁止隐瞒和恶意利用已发现的木马和其他漏洞,下 级单位发现有效的安全漏洞应及时上报。
(4)工作机制宣贯
在完成前期准备、风险自查、安全强化等阶段工作后,将要开始 临战阶段工作,需要再次与各个工作组确认实战阶段各岗位工作人员 是否可以按时到位,建立工作沟通群并开始使用。梳理安全监测、发 布预警、验证研判、溯源分析、应急处置等工作的详细流程,按照实 战阶段的工作职责组织会议对工作流程、工作职责、工作内容和联动 配合等进行培训,让各岗位人员尽快熟悉各自的工作内容,为实战阶 段的工作夯实基础。
参考资料红蓝攻防构建实战化网络安全防御体系 青藤云安全 2022攻防演练蓝队防守指南
