一、序言

公司主營業(yè)務(wù)：成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、成都外貿(mào)網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出德州免費(fèi)做網(wǎng)站回饋大家。

2016年4月,國家領(lǐng)導(dǎo)人在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上發(fā)表重要講話指出,“網(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗,對(duì)抗的本質(zhì)是攻防兩端能力的較量?！?/p>

同年,《網(wǎng)絡(luò)安全法》頒布,出臺(tái)網(wǎng)絡(luò)安全演練相關(guān)規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)“制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練”。

結(jié)合在知道創(chuàng)宇四年來的經(jīng)驗(yàn),以及對(duì)近年來國內(nèi)外網(wǎng)絡(luò)對(duì)抗的總結(jié)后,我認(rèn)為要想把攻防演練和小規(guī)模網(wǎng)絡(luò)對(duì)抗的防御工作做好,必須解決兩個(gè)問題:

在網(wǎng)絡(luò)對(duì)抗方案中,大部分的方案都在做“點(diǎn)”的堆疊,這些堆疊往往是基于方案廠商自有的產(chǎn)品和服務(wù)能力,并沒有考慮到網(wǎng)絡(luò)對(duì)抗中的效果,主要是將以往安全建設(shè)的方案進(jìn)行重新包裝,即:新壇裝老酒;

以往的方法論,包括:等保、ISMS、ITIL等等,在目標(biāo)、宏觀、指導(dǎo)性層面上雖然極具參考性,但在實(shí)際中卻缺乏落地策略及直接有效的操作方針來阻擋攻擊者。

對(duì)此,本文將參考一部專門針對(duì)小規(guī)模對(duì)抗的著作提出的戰(zhàn)術(shù)中心思想,落實(shí)在實(shí)際的網(wǎng)絡(luò)攻防中,利用主動(dòng)防御進(jìn)行黑客對(duì)抗。本文重在提出對(duì)抗方針,即:在已經(jīng)進(jìn)行了基礎(chǔ)的信息安全建設(shè)后(例如,已經(jīng)通過等保、分保、ISO 27001、Cobit、SOX404等等),應(yīng)該從哪些方面入手和加強(qiáng),以防御真正的網(wǎng)絡(luò)攻擊。具體操作指南需要根據(jù)實(shí)際業(yè)務(wù)場(chǎng)景和IT環(huán)境進(jìn)行細(xì)化。

本文不求像綱領(lǐng)性文件、要求或一些方法論中做到的全面,僅從最有效的方面進(jìn)行闡述。

二、對(duì)抗,對(duì)抗,對(duì)抗

實(shí)際的小規(guī)模網(wǎng)絡(luò)攻防中,面對(duì)的攻擊對(duì)象,主要包括國內(nèi)外敵對(duì)勢(shì)力、商業(yè)和民間黑客以及執(zhí)行攻防演練行動(dòng)中進(jìn)行安全性檢測(cè)的攻擊隊(duì)等。

攻擊對(duì)象不乏有使用1day,甚至是0day的攻擊手段,在某些特定對(duì)象和場(chǎng)景中,也可能會(huì)遇到APT攻擊。面對(duì)這些攻擊時(shí),一味地進(jìn)行被動(dòng)防御,即使不斷提高防御手段,往往只是增加資源投入和成本,并不能起到更好的效果。

例如:

防火墻或網(wǎng)閘買得再多、訪問控制策略做得再細(xì)致和規(guī)范,若它們自身就存在0day漏洞或1day漏洞未修補(bǔ),則直接可被攻破;

業(yè)務(wù)系統(tǒng)接入了云防御,即使云端防御再好,一旦攻擊者找到了未做信任策略的源站地址,一切防御將全部失效;

內(nèi)網(wǎng)部署了很好的防御產(chǎn)品和策略,包括防病毒、反垃圾郵件等,但內(nèi)部員工被魚叉攻擊,依然會(huì)泄露重要和敏感信息;

業(yè)務(wù)系統(tǒng)防范嚴(yán)密,卻在某個(gè)具有出口的測(cè)試環(huán)境中存在暗資產(chǎn),或者在GitHub上泄露了數(shù)據(jù),導(dǎo)致其成為跳板甚至被進(jìn)行內(nèi)網(wǎng)漫游或使攻擊者直接獲得了某些重要資料和信息;

等等場(chǎng)景,不勝枚舉。

被動(dòng)防御永遠(yuǎn)在亡羊補(bǔ)牢?；诰W(wǎng)絡(luò)安全發(fā)展史的經(jīng)驗(yàn)來看,面對(duì)攻擊,是可以進(jìn)行如下兩個(gè)判斷的:

對(duì)每種攻擊手段、防御措施的資源投入,平均下來一定遠(yuǎn)遠(yuǎn)大于攻擊成本;

每個(gè)攻擊者的攻擊手段可能無限多。

所以得出的結(jié)論是:僅考慮防御,將會(huì)耗盡無限多的資源,而即使如此,也未必能做到最好。

所以強(qiáng)調(diào)指出:網(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗。

對(duì)抗,不是被動(dòng)防御。對(duì)抗的目標(biāo)是“敵人”,是攻擊者,防御方案不僅是為了免責(zé)和心里安慰,目的是在實(shí)際的小規(guī)模網(wǎng)絡(luò)中保護(hù)自己的業(yè)務(wù)系統(tǒng),保護(hù)社會(huì)數(shù)據(jù),保護(hù)國家信息資產(chǎn)。

三、不管資源多少,要將資源盡可能用于主動(dòng)防御對(duì)抗中

只有將目標(biāo)聚焦到攻擊者、聚焦到對(duì)“人”的對(duì)抗上,才能在網(wǎng)絡(luò)攻防中取得勝利。

主動(dòng)防御或機(jī)動(dòng)防御理念,是在入侵成功之前通過精確預(yù)警,有針對(duì)性、機(jī)動(dòng)地集中資源重點(diǎn)防御并伺機(jī)進(jìn)行反擊。在網(wǎng)絡(luò)安全領(lǐng)域,目前其方法論和技術(shù)方案尚不成熟。

在小規(guī)模對(duì)抗中,攻擊者可能來自于任何地方,但具備攻擊能力的人群總數(shù)是有限的,對(duì)有生力量的精力和時(shí)間的打擊和消耗,以及進(jìn)行可能的自然人溯源,是目前我認(rèn)為的主動(dòng)防御思想的核心。

在傳統(tǒng)安全模型中經(jīng)常提到“木桶原理”、PDCA、PDRR等概念,旨在強(qiáng)調(diào)加強(qiáng)短板建設(shè)、形成周期性閉環(huán)等等,這些理論是正確的,但這些理論的出發(fā)點(diǎn)更多的是考慮通過“知己”及“內(nèi)建”,以應(yīng)對(duì)外界威脅,更適合用來作為指導(dǎo)性思想,進(jìn)行常態(tài)化和持久化信息安全建設(shè)。而在主動(dòng)防御理論中,更優(yōu)先考慮的是“知彼”,依據(jù)攻擊者可能的手段及弱點(diǎn)協(xié)調(diào)資源進(jìn)化自己。

所以在整體資源有限、時(shí)間周期不長(zhǎng)、攻擊者相對(duì)較明確的網(wǎng)絡(luò)攻防中,應(yīng)將資源用于主動(dòng)防御對(duì)抗中,這樣能更加明顯地實(shí)現(xiàn)預(yù)期效果并取得更優(yōu)的成果。

主動(dòng)防御的出發(fā)點(diǎn)應(yīng)該圍繞“敵人”,方案應(yīng)該更強(qiáng)調(diào)“立竿見影”。

以下部分將進(jìn)行主動(dòng)防御思想體系下,應(yīng)對(duì)攻防演練及小規(guī)模網(wǎng)絡(luò)對(duì)抗的戰(zhàn)術(shù)方法介紹。

四、如果內(nèi)部安全人員有限,可以更多地使用自動(dòng)化工具或外采人工服務(wù)

包括政府、事業(yè)單位、央企、國企、大中型企業(yè)等在內(nèi)的大部分組織中,受內(nèi)部信息安全崗位編制、人員專業(yè)技能等的局限,往往對(duì)于突發(fā)性或階段性高強(qiáng)度的網(wǎng)絡(luò)對(duì)抗感到資源有限、力不從心。在這種情況下,長(zhǎng)期或階段性使用自動(dòng)化工具會(huì)讓工作事半功倍。

這里指出的自動(dòng)化工具,包括:網(wǎng)絡(luò)資產(chǎn)測(cè)繪、漏洞掃描器、IDS/IPS、防火墻、防病毒、云防御、WAF、堡壘機(jī)、日志審計(jì)、蜜罐、SOC等等常態(tài)化信息安全產(chǎn)品,更重要的是需要使用SOAR(安全編排自動(dòng)化響應(yīng)工具)。

SOAR是Gartner締造及推廣的。一個(gè)好的SOAR,在網(wǎng)絡(luò)對(duì)抗中應(yīng)該可以做到以下兩方面:

可以進(jìn)行綜合數(shù)據(jù)處理和分析,這些數(shù)據(jù)應(yīng)該包括資產(chǎn)、風(fēng)險(xiǎn)、威脅、日志、防御狀態(tài)等等,如果有可能,最好是能夠內(nèi)置或掛載一些開源情報(bào)和秘密情報(bào),能夠快速構(gòu)建及調(diào)整數(shù)據(jù)處理和分析模型。高效、準(zhǔn)確地處理和分析數(shù)據(jù),與各類情報(bào)數(shù)據(jù)進(jìn)行匹配,可以在攻擊初始即發(fā)現(xiàn)其動(dòng)機(jī),甚至可以預(yù)知攻擊的方向及強(qiáng)度,再配合人性化的UI界面、大屏展示和趨勢(shì)分析圖,可以達(dá)到“態(tài)勢(shì)感知”的效果;

可以進(jìn)行設(shè)備聯(lián)動(dòng)處理,并能夠進(jìn)行一定針對(duì)安全工作的流程處理,以簡(jiǎn)化安全事件響應(yīng)流程,極大地縮短事件處理時(shí)間。在網(wǎng)絡(luò)對(duì)抗中,至為關(guān)鍵的因素就是平均檢測(cè)時(shí)間(MTTD)和平均修復(fù)時(shí)間(MTTR)。越準(zhǔn)確地發(fā)現(xiàn)自己的薄弱點(diǎn)、越高效地發(fā)現(xiàn)攻擊行為、越快速地進(jìn)行修復(fù)、越簡(jiǎn)化的工作流程,就能使攻擊者浪費(fèi)更多的時(shí)間和精力,進(jìn)而耗盡其有生力量。而需要達(dá)到這樣的效果,必須依托于自動(dòng)化處理手段;

以上,一方面可以進(jìn)行小規(guī)模網(wǎng)絡(luò)對(duì)抗,在建設(shè)完成后,也可以完善常態(tài)化網(wǎng)絡(luò)安全建設(shè)。

文章題目：對(duì)抗中的主動(dòng)防御——攻防演練及小規(guī)模網(wǎng)絡(luò)對(duì)抗的戰(zhàn)術(shù)
URL分享：http://jinyejixie.com/article24/cjgje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、定制開發(fā)、網(wǎng)站制作、Google、響應(yīng)式網(wǎng)站、企業(yè)網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)