一、序言
2016年4月,國家領導人在網絡安全和信息化工作座談會上發表重要講話指出,「網絡安全的本質是對抗,對抗的本質是攻防兩端能力的較量。」
同年,《網絡安全法》頒布,出臺網絡安全演練相關規定:關鍵信息基礎設施的運營者應「制定網絡安全事件應急預案,並定期進行演練」。
結合在知道創宇四年來的經驗,以及對近年來國內外網絡對抗的總結後,我認為要想把攻防演練和小規模網絡對抗的防禦工作做好,必須解決兩個問題:
在網絡對抗方案中,大部分的方案都在做「點」的堆疊,這些堆疊往往是基於方案廠商自有的產品和服務能力,並沒有考慮到網絡對抗中的效果,主要是將以往安全建設的方案進行重新包裝,即:新壇裝老酒;
以往的方法論,包括:等保、ISMS、ITIL等等,在目標、宏觀、指導性層面上雖然極具參考性,但在實際中卻缺乏落地策略及直接有效的操作方針來阻擋攻擊者。
對此,本文將參考一部專門針對小規模對抗的著作提出的戰術中心思想,落實在實際的網絡攻防中,利用主動防禦進行黑客對抗。本文重在提出對抗方針,即:在已經進行了基礎的信息安全建設後(例如,已經通過等保、分保、ISO 27001、Cobit、SOX404等等),應該從哪些方面入手和加強,以防禦真正的網絡攻擊。具體操作指南需要根據實際業務場景和IT環境進行細化。
本文不求像綱領性文件、要求或一些方法論中做到的全面,僅從最有效的方面進行闡述。
二、對抗,對抗,對抗
實際的小規模網絡攻防中,面對的攻擊對象,主要包括國內外敵對勢力、商業和民間黑客以及執行攻防演練行動中進行安全性檢測的攻擊隊等。
攻擊對象不乏有使用1day,甚至是0day的攻擊手段,在某些特定對象和場景中,也可能會遇到APT攻擊。面對這些攻擊時,一味地進行被動防禦,即使不斷提高防禦手段,往往只是增加資源投入和成本,並不能起到更好的效果。
例如:
防火牆或網閘買得再多、訪問控制策略做得再細緻和規範,若它們自身就存在0day漏洞或1day漏洞未修補,則直接可被攻破;
業務系統接入了雲防禦,即使雲端防禦再好,一旦攻擊者找到了未做信任策略的源站地址,一切防禦將全部失效;
內網部署了很好的防禦產品和策略,包括防病毒、反垃圾郵件等,但內部員工被魚叉攻擊,依然會洩露重要和敏感信息;
業務系統防範嚴密,卻在某個具有出口的測試環境中存在暗資產,或者在GitHub上洩露了數據,導致其成為跳板甚至被進行內網漫遊或使攻擊者直接獲得了某些重要資料和信息;
等等場景,不勝枚舉。
被動防禦永遠在亡羊補牢。基於網絡安全發展史的經驗來看,面對攻擊,是可以進行如下兩個判斷的:
對每種攻擊手段、防禦措施的資源投入,平均下來一定遠遠大於攻擊成本;
每個攻擊者的攻擊手段可能無限多。
所以得出的結論是:僅考慮防禦,將會耗盡無限多的資源,而即使如此,也未必能做到最好。
所以強調指出:網絡安全的本質是對抗。
對抗,不是被動防禦。對抗的目標是「敵人」,是攻擊者,防禦方案不僅是為了免責和心裡安慰,目的是在實際的小規模網絡中保護自己的業務系統,保護社會數據,保護國家信息資產。
三、不管資源多少,要將資源儘可能用於主動防禦對抗中
只有將目標聚焦到攻擊者、聚焦到對「人」的對抗上,才能在網絡攻防中取得勝利。
主動防禦或機動防禦理念,是在入侵成功之前通過精確預警,有針對性、機動地集中資源重點防禦並伺機進行反擊。在網絡安全領域,目前其方法論和技術方案尚不成熟。
在小規模對抗中,攻擊者可能來自於任何地方,但具備攻擊能力的人群總數是有限的,對有生力量的精力和時間的打擊和消耗,以及進行可能的自然人溯源,是目前我認為的主動防禦思想的核心。
在傳統安全模型中經常提到「木桶原理」、PDCA、PDRR等概念,旨在強調加強短板建設、形成周期性閉環等等,這些理論是正確的,但這些理論的出發點更多的是考慮通過「知己」及「內建」,以應對外界威脅,更適合用來作為指導性思想,進行常態化和持久化信息安全建設。而在主動防禦理論中,更優先考慮的是「知彼」,依據攻擊者可能的手段及弱點協調資源進化自己。
所以在整體資源有限、時間周期不長、攻擊者相對較明確的網絡攻防中,應將資源用於主動防禦對抗中,這樣能更加明顯地實現預期效果並取得更優的成果。
主動防禦的出發點應該圍繞「敵人」,方案應該更強調「立竿見影」。
以下部分將進行主動防禦思想體系下,應對攻防演練及小規模網絡對抗的戰術方法介紹。
四、如果內部安全人員有限,可以更多地使用自動化工具或外採人工服務
包括政府、事業單位、央企、國企、大中型企業等在內的大部分組織中,受內部信息安全崗位編制、人員專業技能等的局限,往往對於突發性或階段性高強度的網絡對抗感到資源有限、力不從心。在這種情況下,長期或階段性使用自動化工具會讓工作事半功倍。
這裡指出的自動化工具,包括:網絡資產測繪、漏洞掃描器、IDS/IPS、防火牆、防病毒、雲防禦、WAF、堡壘機、日誌審計、蜜罐、SOC等等常態化信息安全產品,更重要的是需要使用SOAR(安全編排自動化響應工具)。
SOAR是Gartner締造及推廣的。一個好的SOAR,在網絡對抗中應該可以做到以下兩方面:
可以進行綜合數據處理和分析,這些數據應該包括資產、風險、威脅、日誌、防禦狀態等等,如果有可能,最好是能夠內置或掛載一些開源情報和秘密情報,能夠快速構建及調整數據處理和分析模型。高效、準確地處理和分析數據,與各類情報數據進行匹配,可以在攻擊初始即發現其動機,甚至可以預知攻擊的方向及強度,再配合人性化的UI界面、大屏展示和趨勢分析圖,可以達到「態勢感知」的效果;
可以進行設備聯動處理,並能夠進行一定針對安全工作的流程處理,以簡化安全事件響應流程,極大地縮短事件處理時間。在網絡對抗中,至為關鍵的因素就是平均檢測時間(MTTD)和平均修復時間(MTTR)。越準確地發現自己的薄弱點、越高效地發現攻擊行為、越快速地進行修復、越簡化的工作流程,就能使攻擊者浪費更多的時間和精力,進而耗盡其有生力量。而需要達到這樣的效果,必須依託於自動化處理手段;
以上,一方面可以進行小規模網絡對抗,在建設完成後,也可以完善常態化網絡安全建設。
不過在SOAR建設初期,由於其專業性及需要與所在組織和流程進行磨合,以達到默契,所以這方面工作更建議階段性使用安全服務??,以期能夠快速打造出初始效果,並在之後進行階段性調整,以完善其效果。這部分一般是需要人工服務的。
另一方面,在進行正常流程之外遇到突發事件,包括一些無法完全自動化和工具化的工作中,例如:黑客入侵中後期的應急響應、反制和溯源等等,以及在完善的SOAR建設起來之前和建設中,是需要人工專家服務的,如果資源較少可以使用階段性服務,這樣可以集中優勢資源迅速佔領對抗中的制高點。
五、儘量先使用自動化探測工具
大部分組織都會建立資產臺帳,但組織越大、越複雜,資產臺帳越不準確,這包括組織架構變動、資產轉移、臨時他用、利舊使用等等多方面因素,也可能包括管理不到位等因素。
為了保證對風險的可預測性以及被利用的可能性,需要在現有已了解資產的狀態下,對以下三個方面進行主動探測:
儘量對組織的所有相關聯資產進行盤點,繪製網絡空間資產地圖,這應該是包括暴露在網際網路上以及內網的所有資產,重點應放在暗資產(資產臺帳中沒有的或不明晰的)、灰色資產(歸屬不清或管理職責不清的)。這裡需要注意的是,不要遺漏進行域名反查,不要遺漏在雲防禦體系下是否能追溯到源站,不要遺漏是否有敏感路徑暴露在網際網路上。另外比較棘手的地方在於,有些資產或域名並不歸屬總部管轄,要想全部查找出它們往往並不容易,但它們可能會成為防禦死角,迅速被攻擊者攻破。以上這些關注點,有些地方需要依靠一些人工手段或半自動化手段進行探測,儘量不要遺漏。但依然應該是優先使用自動化探測,輔以人工。
儘量對所有資產進行漏洞探測,尤其是對暗資產、灰色資產,它們往往因為管理不明晰或者管理人員不知道它們的存在而變成攻擊的突破口。另外,應該時刻關注1day漏洞情報,大部分攻擊者仍然比較介意使用0day攻擊(當使用0day時,很可能該exp被捕獲而造成此0day暴露,關於0day的處理方法在後續章節敘述),他們通常更傾向於使用1day爆發與修補的時間差進行攻擊。更重要的是對弱口令的探測,無論是設備、作業系統、中間件、管理後臺、登陸前臺等等的弱口令,通常都是攻擊者最快速攻擊進來的渠道(當然,這些也可以被我們用於主動反擊,具體後續章節會進行敘述)。所以使用自動化漏洞探測工具,尤其是對1day漏洞和弱口令的迅速探測和修復,是非常重要的。
儘量對可能暴露出來的信息進行查找,包括GitHub、百度雲盤、暗網等等有可能洩露資料的地方。歷史證明,很多安全方面做得非常好的國內外公司最終在這些不起眼的地方翻了船。
六、先發制人,取得勝利
預先採集相關情報和主導戰場,是取得勝利的前提。
我們應該儘可能預先採集相關情報信息,包括:
有可能的攻擊者身份,比如他們是來自於某些勢力組織或者某些特定攻擊隊等;攻擊者所受到的限制,比如他們可能所在的時區、他們的真實地理位置、他們有可能的跳板總數量級、他們的攻擊時限(有些攻擊行為是有時間限制要求的)、他們被賦予的攻擊強度要求(例如商業黑客往往以竊取數據為出發點,所以不會進行DDoS攻擊,攻防演練攻擊隊會被要求不得進行破壞性攻擊)等;
我們還應該儘可能通過秘密情報和開源情報建立一些資料庫,例如:社交網絡資料庫、威脅情報庫、漏洞情報庫等等,如果有可能,還應該建立敵對陣地/地區設備和指紋庫(越精細越好)。
提前設置一些誘捕網絡和陷阱,將初始戰場轉移到我們預設的地方,反客為主。在誘捕網絡和陷阱中提前知道攻擊,了解攻擊手段,甚至追溯攻擊者。
七、只要有可能,就要採取欺騙措施
「兵行詭道」。由「蜜罐」組成的「蜜網」系統能達到真真假假、虛虛實實的效果。
部署一個由大量高交互和高仿真蜜罐組成的蜜網系統,將會帶來諸多好處:
正常訪問者不會訪問蜜罐系統,攻擊者在不斷尋找攻擊入口時會訪問到蜜罐,所以蜜罐不像IDS/IPS等流量設備會產生海量報警,凡是蜜罐的報警,幾乎全都是真實攻擊嘗試的報警,大大降低誤報率(實際上幾乎沒有誤報,即使不是實質性攻擊報警,也是偵查或攻擊嘗試)和降低數據分析工作的難度;
當建立起蜜網後(建議蜜網中蜜罐的數量儘量達到真實業務系統數量的10倍以上),對於攻擊者來說,無疑使其陷入了一個迷宮,極大地延緩了攻擊進度(理論上攻擊時長應會以數量級延長);
高交互和高仿真的蜜罐,一方面可以迷惑攻擊者,使其在蜜罐中停留很長時間,極大地消耗他們的時間,另一方面可以利用高交互獲取更多攻擊者的攻擊手法、第一手自然人信息(例如真實IP、瀏覽器信息等等)、甚至是他們使用的一些1day和0day,使其暴露;
即使蜜罐模仿的業務系統被攻破,攻擊者也無法獲取任何有價值的信息,當攻擊者90%以上的攻擊嘗試和努力都是針對蜜罐的,將會消耗他們大量的精力,打擊他們的信心;
諸多好處不一列舉。
一個精心布置、能產生對抗效果的蜜罐和蜜網系統,應該包含如下能力:
可以快速大量部署,並對正常業務不造成影響;
應該是仿真的,只有這樣才有迷惑效果,才能最大化的拖延攻擊者,並使其難以發現;
應該是高交互的,高交互一方面可以消耗攻擊者的精力,另一方面可能捕獲到攻擊者的攻擊信息,甚至是一些自然人信息(例如精心構建的登陸認證、郵件認證等,均可以考慮反向釣魚);
可以保護自身的安全性,一方面蜜罐本身可以包含(也可不含)一些精心構建的漏洞,另一方面要考慮到如果蜜罐失陷,不應使攻擊者可以用於跳板或他用;
好的蜜罐應該自帶一些1day甚至0day,用於進行溯源反制,這些1day或者0day應該至少包含針對於瀏覽器、社交平臺等方面的,而不僅局限在進行攻擊規則匹配以及對瀏覽器、主機信息和攻擊日誌等進行記錄,這樣才能對溯源到真實的自然人有幫助;
好的蜜罐應儘可能內置或可以與一些外置數據和情報信息進行聯動和對接,例如:通過獲取的一些自然人信息與前文提到的社交網絡資料庫聯合查詢以得到攻擊者真實自然人身份;通過得到的攻擊源信息進行匹配後可以得到跳板範圍並進行阻攔等等,這將直接達到減少攻擊有生力量的效果。
八、在所有對抗中,都要考慮攻擊者的場景並加以利用
在實際的網絡對抗中,既然已經明確了以攻擊者——「人」為關注點,就要從攻擊行為、習慣、可能的手段作為出發點進行考慮,往往可以事半功倍。
在「七步網絡殺傷鏈」理論中,最有參考價值的是2011年洛克希德馬丁發布的網絡殺傷鏈模型,在其模型中更為關注「人」的因素。
由於七步網絡殺傷鏈理論模型相對已經比較完善,同時它們也是目前攻擊場景中公認最成熟的,在此就不進行累述了,進行對抗方案和操作指南制定時,請查閱和參考該模型來制定詳細的反制措施。
下圖放上了關於此模型的大致思路,但詳細細節比這些豐富很多。在此需要特別提醒的是,仍然需要以「人」作為關注對象,無論是攻擊者,還是受攻擊資產,還是網絡安全設備和策略,背後都是「人」,他們是:黑客、IT管理員、網絡安全工程師。制定策略要考慮人及其操作的可落實性。
比如可以利用仿真虛假的業務系統的交互(例如郵件註冊或加載插件),精心構建針對攻擊者進行的魚叉或水坑攻擊。
圖/安全牛
九、所有安全設備和策略都要用最簡單有效的方法進行策略制定
很多方案中會堆疊一系列產品、設備、流程、管理制度等等,但是在網絡對抗中要明確一個宗旨:越簡單越有效。具體即:非白即黑。
一切阻斷類型的防禦手段和策略,在使用和操作時,都是越直接越好。
在很多組織中,由於業務需要、測試需要、跨部門和跨網段管理的設備通訊需要、甚至是因為IT管理不清晰等原因,都可能出現類似「拒絕所有通訊,但A分組除外,B分組除外,c資產除外,d資產除外,e資產的X埠除外,f資產的X和XX埠除外,同時e資產屬於B分組,d資產屬於A分組」等等規則,或者出現類似「如果發現A行為則阻斷,如果發現B行為則提交給X設備進行分析,如果發現其他行為由XX人進行處理」的流程。
上面列出的例子只是很少一部分,只是要說明,這種分類不清、分組不清、「你中有我、我中有你」,這種有流轉、無閉環、流程崗職不清晰、意外事件太多的規則、流程和管理指南,在實際的操作層面很難執行,或者執行效率低下。
如果真的想在對抗中「立竿見影」,必須採取「非白即黑」的技術策略和管理手段。
想做到這一點,必須由安全管理和責任的一把手發起,並全力支持。由安全專家依據該宗旨制定管理規範、執行流程、技術策略和操作指南。
十、只要有可能,就要利用自查措施並修復缺陷
安全性自查,就是最重要的「知己」措施。前文提到過「木桶原理」、PDCA等,並沒有對其進行否認,僅僅說到了它們在實際操作中在關注點上的局限性。本節需要強調,在「知己」方面,它們仍然很重要,也是對抗工作中的一個重要組成部分。
只要是時間允許,人手、資源允許,無論在任何階段,儘量進行安全自查。按照GB/T 20984中的指導要求,其應該包含:IT系統規劃階段、設計階段、實施階段、運行維護階段、廢棄階段的全生命周期。
對於自查的要求、管理和技術點,可參考ISO 27001、等級保護、GB/T 20984等。
特別要重點提出的是,針對網絡對抗,還應在以下方面進行著重關注:
滲透測試:對於業務系統、APP(不僅是iOS和安卓客戶端,也要包括與服務端的接口)、微信公眾號、小程序等的技術滲透測試,這裡的滲透也應該包含業務邏輯滲透和查找高交互時暴露出的漏洞,而不僅僅是通用性技術滲透;
白盒代碼審計:如果有可能,對於重要的業務系統最好進行白盒代碼審計,因為這可以幫助審查到滲透測試難以發現的漏洞。很多攻擊者是依靠各種手段(例如通過GitHub)找到原始碼,並審計其0day漏洞予以利用和攻擊的;
內網漫遊測試:針對內網的全面滲透測試,模擬攻擊者成功進入組織內部或內網後,進行內網漫遊,以獲取最多、最高權限、最敏感數據或某個指定目標為目的的技術測試,該測試應該也包含跨網段穿透嘗試,包含對於網絡邊界設備(包括防火牆、網閘等)的安全性和穿透性測試,對於工控網絡也應該儘量進行協議分析和安全性測試(尤其是對於已知漏洞的測試,因為工控網絡通常缺少防護與升級措施,攻擊者可能僅利用成本低廉的已知漏洞即可攻擊成功);
物理攻擊嘗試:使用物理手段,例如通過門禁弱點、WIFI缺陷、辦公場所弱點、人員意識缺陷等,嘗試進行攻擊並獲取敏感數據;
社交攻擊嘗試:使用社交手段,例如電話、微信、企業QQ、人肉搜索、社工庫等方式進行社會工程學攻擊嘗試並獲取敏感信息或數據;
魚叉與水坑攻擊測試:利用魚叉攻擊和水坑攻擊等手段,對指定或全體目標進行攻擊嘗試,以確定在組織內部是否存在因安全意識引發的巨大隱患。
十一、周期性進行資產測繪,偵察暗資產
對於一個大型組織,資產的測繪就像繪製地圖,本單位的所有資產,就是對抗中的戰場,只有做到精準的地圖標識、無信息遺漏,才能避免在戰場中處於被動。例如:如果在打仗時,有一條可以被用來迂迴的小路沒有被發現,部隊就可能遭到偷襲。而在信息化戰場中,由於信息資產可能因為各種原因有變化,所以定期進行資產測繪,才能保證資產地圖的準確性。
對於信息資產的測繪,應該兼顧以下三點:
快速。快速繪製出資產,對於前期的準備,以及定期的大規模更新有極大的幫助。大型組織往往資產數量能達到幾萬、幾十萬、甚至上百萬,涉及到的公網和內網網段能達到幾個B段(一個B段的資產探測數量在6萬以上)、甚至幾個A段(一個A段的資產探測數量在1600萬以上),要對常用的服務進行探測,則要在此探測基礎上乘以幾十左右。對於海量資產的快速測繪,才能繪製出資產地圖框架。
精準。如果說快速繪製是1:100000的地圖,那麼精準繪製就是1:500,快速繪製的地圖更適合做決策,精準繪製的地圖重在操作層面。目前大部分用於快速繪製的網絡測繪產品都是基於zmap等底層開發的,它們在快速的同時,受到網絡波動和配置等影響,會在精準性上有局限性,所以還要考慮使用nmap等可以進行真實連結的產品,甚至是依靠P0F、suricata(部分功能)這類能夠進行被動測繪的自動化工具或者產品;
直接匹配。在大規模資產的組織中,如果有1day漏洞爆發,或者需要針對某一特定漏洞進行探測時,整體探測的效率太低,最好是能夠依靠已有的資產地圖直接進行漏洞版本匹配。這就需要存留一份完整的漏洞庫,以及一份完整的資產(包括詳細版本)地圖,並且需要能快速地將兩者進行匹配。
所以在繪製資產地圖時,要以快速為目標,周期性進行高速測繪;再用精準的模式時刻補充、修正和更新;對1day和特定漏洞可以進行資產精確版本的直接匹配,以做到第一時間發現和處理可能存在的風險。
十二、組建應急小組,實時處理突發事件
應急響應小組,在對抗中起到「消防隊員」的作用和效果,他們應該能夠快速處理攻擊中後期的各類緊急事件。應急響應小組只有由最高責任領導擔任總指揮才能發揮其快速響應和貫穿多部門協調資源的效果。應急響應小組應該包括總協調人、安全技術專家、安全工程師、各業務接口人等組成。
在前期,應急響應小組應該建立好應急響應流程和安全事件定義。關於應急響應的指導性建設,可參考GB/Z 20985和GB/Z 20986,相關針對應急響應的各類方案在業界也比較成熟,在這裡不進行累述。
在操作層面,比較推薦參考YD/T 1799,其中涉及到對於人員、工具、職責、質量等要求具有很高的操作指導價值。同時它對於準備階段、檢測階段、抑制階段、根除階段、恢復階段、總結階段的詳細階段描述和操作要求,極具指導性和實操性,建議根據其要求進行規範和使用,制定操作指南。
十三、對抗過程中儘量不要驚動攻擊者
在實際與攻擊者的對抗中,有兩個時間,儘量不要驚動攻擊者:
對攻擊行為進行採集和分析時;
對攻擊者進行溯源時。
在對攻擊行為進行採集和分析時,可以使用旁路流量監視和分析,也可以在不驚動攻擊者的情況下做其他的檢測。可以將作業系統、中間件、各類訪問日誌,各類安全設備日誌,各類流量分析結果統一匯總到非DMZ區或者業務區的分析平臺進行分析,將攻擊事件進行關聯。
在進行攻擊者溯源時,使用的JS、釣魚等技術和手段,應該儘量加密、混淆、仿真、偽裝和反溯源,儘量不要引起攻擊者懷疑,儘量提高其分析難度,儘量使其難以進行反溯源。
在抓取足夠數據時,立刻進行封堵、反擊等操作,使其措不及防。
十四、只要有業務系統變更或模塊升級,就應進行安全測試
業務系統經常會有變更和模塊升級,包括網絡架構、Web業務系統、APP、工控系統、小程序、各類接口等等,只要有變更,或者某些功能模塊的升級,都應該對變更部分進行安全性測試,以保證新上線的功能沒有安全隱患。更好的辦法是在它們集成到現有業務系統之前,在測試階段就進行安全性測試。但是測試環境和真實環境仍然是有差別的,有時在測試環境中沒有發現問題,在真實環境下會出現問題。所以最好是能夠在正式上線前的測試環境和正式上線後都進行一次安全性測試。
另外,應該在新系統或者新功能設計時就考慮到安全性,並將其設計在其中。如果有可能,建議建立統一威脅和漏洞管理。
十五、溯源能力越強,自查和修補措施越完善,被攻破的可能性越小
在網絡對抗方案設計階段,應該考慮到以上各部分的內容,考慮得越詳盡,越貼合業務場景,約有實操性,對抗能力越強。
在實際環境中,往往要建設一個完善的主動防禦體系,是需要分階段、分步驟進行的。如果之前沒有進行過這方面的建設,我建議按照如下步驟考慮,這裡包括了對於成本、實施難度、立竿見影的效果等多方面的因素:
組織建設一支高效的應急小組,他們可以負責在前期進行必要的風險評估和修補,也負責在發生事件時進行處置;
全面進行弱口令排查;
建立一個「非白即黑」的處理機制,在確定發現攻擊後,馬上進行封堵。這裡面有可能因為分析能力的不完善出現漏判和誤判,需要應急小組能夠進行緊急響應;
對1day漏洞進行專項跟蹤,並對有可能受其影響的設備進行排查和修補;
採購或租用蜜罐/蜜網,他們能極大地減緩攻擊成功的時間,消耗攻擊者的精力,好的蜜罐還能進行溯源。可以為防禦創造更多的時間,為反擊提供可能;
採購各類自動化工具,協助和武裝安全管理員和應急小組,使他們能夠更快速、更高效地發揮戰鬥力。自動化工具的採購步驟,請依據實際的預算和安全基礎建設成熟度逐步採購;
組建或租用安全服務團隊,一方面進行安全性測試或者紅藍對抗測試,另一方面更有體系的長期進行安全事件處置和規划動態安全防禦體系。
十六、信息安全負責人和項目經理既要積極主動,又要堅決果斷
信息安全負責人和項目經理是整個網絡對抗的總負責人,在整個工作中起到至關重要的作用。自古既有「物勒工名,以考其誠;工有不當,必行其罪」的說法。
總負責人既然要負起全部責任,就必須被賦予相應的權利。經常會遇到這樣的場景:某些業務系統有極大的安全隱患,但是安全負責人不敢或者無法有效協調業務部門負責人,最終導致該業務系統被攻破。如果希望在網絡對抗中達到效果,就需要組織高層在這些方面賦予相應的權利。
另外我曾經經常遇到的場景,也是特別需要注意的,在組織協調中,往往會出現「@甲、@乙、@丙,你們處理一下」這種情況。在這種工作安排下,一般被安排到的那個部門或者責任人都不會去很好地處理,這種工作安排實際上是一種「懶政」的表現。合理的安排應該是「@甲,授權全權負責該事情,@乙和@丙全力配合」。
十七、結尾
感謝看到結尾。以上寫到的內容,都是從實操出發,針對小規模的攻擊和攻防演練提出的。
對於「小規模」的理解:我認為小規模大致應該是持續數月、商業黑客或敵對組織攻擊級別(非國家級)、會少量使用0day(具備一定的0day挖掘能力)、較大量使用社工手段(包括釣魚等)和1day漏洞、不以DDoS為目的、具備完善的Web、APP和內網攻擊等能力,具備一定的工控網絡攻擊能力,具備一定APT能力,不具備定向攻擊能力(例如專門針對某一設備或工業組織),不具備全網攻擊0day(例如某骨幹網基礎傳輸協議或設備的0day等),不具備通殺型0day(例如某常見作業系統遠程溢出root權限0day等),不具備複雜工具製作能力,以竊取某些特定資料、信息或取得某些權限為目的的有組織的攻擊行為。
作者:知道創宇主動防禦產品線 總經理 王宇