当前位置:网站首页>如何组织一场安全、可靠、高效的网络实战攻防演习?
如何组织一场安全、可靠、高效的网络实战攻防演习?
2022-08-05 05:16:00 【技福小咖】
为什么需要实战化能力?
当前网络空间面临的安全问题与过去不同,从原来只攻击传统的网络设施和应用系统,到开始面向“云大物移工”等新技术领域的应用系统,攻击的目标系统逐步转向核心业务数据和承载核心数据的业务应用;从普通的个人网络犯罪,到有组织的攻击甚至有境外背景的国家级对抗,攻击工具的武器化、攻击手段的战术化,均对防守者提出了更高要求。
图片来源于公共图片库
在2017年6月颁布的网络安全法中,明确提出“应定期组织关键信息基础设施的运营者进行网络安全应急演练,提高关键信息基础设施应对网络安全事件的水平和协同配合能力”。正所谓讲一百遍不如打一遍,为了能有效检测行业或本单位的网络安全事件应对状态,应急演练必须向常态化与实战化迈进。网络安全的建设不是单纯的业务系统是否安全,也不是安全设备是否全面,面对错综复杂、不断进化的网络空间攻防战,如何才能真实、有效的检验实战化监测、响应、处置能力呢?一场安全、可靠、有效的实战攻防演习检验的并不是单纯的业务系统是否安全,更重要的是以人为核心的安全意识和抗风险的能力。
今天我们就介绍一下国内头部安全企业-奇安信公司的方案,它结合数百场组织实战攻防演习的经验,总结分析如何协助各单位组织一场实战攻防演习。
什么是实战功防演习?
实战攻防演习通常以实际运行的信息系统作为演习目标,通过有监督的攻防对抗,最大限度地模拟真实的网络攻击,以检验信息系统的安全性和运维保障的有效性。演习在保障业务系统安全性的前提下,明确目标系统,不限制攻击路径,以提权、控制业务、获取数据为演习目的。
实战攻防演习包含攻击方(红队)、防守方(蓝队)、组织方(紫队)三方,并配备实战攻防演习平台。
组织方(紫队)负责演习整体工作的组织协调,主要包括以下几个部分:演习组织、演习过程监控、演习技术指导、应急保障、演习总结、防守技术措施与策略优化建议等。实战攻防演习一般可分为准备、演习、收尾三个阶段。
核心点一、明确的组织架构与职责分工
在正式演习开始之前,应以监管(主办)单位为核心,成立演习指挥部,下设演习组织机构,形成相应的工作组,如领导组、协调组、专家组、裁判组、应急组、技术支撑组等,并明确各组职责分工,做到工作到组、责任到人、分工有序、密切配合。
核心点二、攻防演习环境准备
为保证演习顺利开展,各工作组应以指挥部为中心,集中办公,为各工作组准备单独的场地,各场地应具备电力、网络、办公桌椅等基础设备及后勤保障资源。
演习指挥大厅应有大屏展示设备,用来动态展示演习过程和结果,并进行演习风险管控。攻击人员使用专用笔记本电脑,系统环境统一初始化,安装录屏、终端管控软件。
奇安信公司提供可视化演习平台,对攻击行为全程监控全程审计,对演习态势与成果进行大屏展示,对演习过程和成果进行长期持续管理,实现演习的全程监控、全程审计、全程可视、全程管理。所有参演人员如有攻击操作、防守成果提交、裁判评分等动作都须在实战攻防演习平台上进行,便于事中事后的审计。
核心点三、演习过程风险管控
可控是实战攻防演习任务应该遵循的的基本原则,演习过程应做到人员可控、过程可控、环境可控及成果可控。例如,在演习开始之前,需向攻击人员明确提出禁止使用和谨慎使用的攻击方式,并在演习过程中通过终端录屏、终端管控、现场录像、平台流量审计等技术手段进行监控溯源;对于突破重要边界及核心业务系统的行为,需要有专家组及用户予以研判和审核,关注业务状态决定是否可以进行下一步突破。
核心点四、演习总结与问题整改
攻击队上报的攻击报告除包括攻击成果外,需要包含完整的攻击路径、木马及恶意程序上传位置、代码修改情况等信息。在演习结束后,通过平台记录的流量信息对攻击队提交成果的真实性进行审计;同时,组织方应及时通知各防守单位清理战场。避免已有攻击线索及遗留风险造成二次伤害。
演习的目的是为了掌握安全状态,指导防守单位后续开展针对性安全整改,因此需要组织方对本次演习的成果做好总结、汇报,防守方需根据演习暴露出的问题及时进行整改、加固和复测,问题比较突出的单位,需要采用实战化的方式审视现有安全体系的有效性,开展专项安全规划、设计,将已有安全体系升级为可抵御实战化攻击的安全体系。
组织一场安全、可靠、有效的实战攻防演习依托于人员配合和技术支撑,奇安信公司实战攻防演习服务可以有效的将人员与技术融合,在每一场演习开始之前都能做到心中有数。
奇安信公司于2019年起,正式推出实战攻防演习服务,采用演习组织服务+演习平台的形式,为客户提供“全流程保障、全环境支撑、全风险可控”的全程管家式服务,保障演习的顺利进行。
更多相关大咖视频课程请在苹果App Store 或各安卓市场下载“技福小咖App”学习。
边栏推荐
- AWS 常用服务
- 盘点关于发顶会顶刊论文,你需要知道写作上的这些事情!
- 【NFT开发】设计师无技术基础保姆级开发NFT教程在Opensea上全套开发一个NFT项目+构建Web3网站
- Flink Table API 和 SQL之概述
- 服务网格istio 1.12.x安装
- MSRA proposes extreme masking model ExtreMA for learning instances and distributed visual representations
- Comparison and summary of Tensorflow2 and Pytorch in terms of basic operations of tensor Tensor
- SSL 证书签发详细攻略
- Flutter 3.0升级内容,该如何与小程序结合
- The difference between the operators and logical operators
猜你喜欢
CVPR 2022 | 70% memory savings, 2x faster training
解决:Unknown column ‘id‘ in ‘where clause‘ 问题
【论文精读】R-CNN 之预测框回归(Bounding box regression)问题详述
Tensorflow steps on the pit notes and records various errors and solutions
6k+ star,面向小白的深度学习代码库!一行代码实现所有Attention机制!
基于STM32F407的WIFI通信(使用的是ESP8266模块)
flink部署操作-flink on yarn集群安装部署
基于STM32F407的一个温度传感器报警系统(用的是DS18B20温度传感器,4针0.96寸OLED显示屏,并且附带日期显示)
[Over 17] Pytorch rewrites keras
服务网格istio 1.12.x安装
随机推荐
原来何恺明提出的MAE还是一种数据增强
flink实例开发-详细使用指南
全尺度表示的上下文非局部对齐
It turns out that the MAE proposed by He Yuming is still a kind of data enhancement
[Over 17] Pytorch rewrites keras
【MySQL】数据库多表链接的查询方式
读论文-Cycle GAN
Kubernetes常备技能
The difference between the operators and logical operators
网工必用神器:网络排查工具MTR
[Go through 9] Convolution
CH32V307 LwIP移植使用
数据库期末考试,选择、判断、填空题汇总
CVPR2020 - 自校准卷积
flink on yarn 集群模式启动报错及解决方案汇总
基于Flink CDC实现实时数据采集(四)-Sink接口实现
【数据库和SQL学习笔记】4.SELECT查询2:排序(ORDER BY)、聚合函数、分组查询(GROUP BY)
[Go through 8] Fully Connected Neural Network Video Notes
flink中文文档-目录v1.4
【Multisim仿真】直流稳压电源设计报告