一、序言

公司主營業(yè)務(wù)：成都做網(wǎng)站、成都網(wǎng)站設(shè)計、成都外貿(mào)網(wǎng)站建設(shè)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出德州免費做網(wǎng)站回饋大家。

2016年4月,國家領(lǐng)導(dǎo)人在網(wǎng)絡(luò)安全和信息化工作座談會上發(fā)表重要講話指出,“網(wǎng)絡(luò)安全的本質(zhì)是對抗,對抗的本質(zhì)是攻防兩端能力的較量。”

同年,《網(wǎng)絡(luò)安全法》頒布,出臺網(wǎng)絡(luò)安全演練相關(guān)規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)“制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進行演練”。

結(jié)合在知道創(chuàng)宇四年來的經(jīng)驗,以及對近年來國內(nèi)外網(wǎng)絡(luò)對抗的總結(jié)后,我認為要想把攻防演練和小規(guī)模網(wǎng)絡(luò)對抗的防御工作做好,必須解決兩個問題:

在網(wǎng)絡(luò)對抗方案中,大部分的方案都在做“點”的堆疊,這些堆疊往往是基于方案廠商自有的產(chǎn)品和服務(wù)能力,并沒有考慮到網(wǎng)絡(luò)對抗中的效果,主要是將以往安全建設(shè)的方案進行重新包裝,即:新壇裝老酒;

以往的方法論,包括:等保、ISMS、ITIL等等,在目標(biāo)、宏觀、指導(dǎo)性層面上雖然極具參考性,但在實際中卻缺乏落地策略及直接有效的操作方針來阻擋攻擊者。

對此,本文將參考一部專門針對小規(guī)模對抗的著作提出的戰(zhàn)術(shù)中心思想,落實在實際的網(wǎng)絡(luò)攻防中,利用主動防御進行黑客對抗。本文重在提出對抗方針,即:在已經(jīng)進行了基礎(chǔ)的信息安全建設(shè)后(例如,已經(jīng)通過等保、分保、ISO 27001、Cobit、SOX404等等),應(yīng)該從哪些方面入手和加強,以防御真正的網(wǎng)絡(luò)攻擊。具體操作指南需要根據(jù)實際業(yè)務(wù)場景和IT環(huán)境進行細化。

本文不求像綱領(lǐng)性文件、要求或一些方法論中做到的全面,僅從最有效的方面進行闡述。

二、對抗,對抗,對抗

實際的小規(guī)模網(wǎng)絡(luò)攻防中,面對的攻擊對象,主要包括國內(nèi)外敵對勢力、商業(yè)和民間黑客以及執(zhí)行攻防演練行動中進行安全性檢測的攻擊隊等。

攻擊對象不乏有使用1day,甚至是0day的攻擊手段,在某些特定對象和場景中,也可能會遇到APT攻擊。面對這些攻擊時,一味地進行被動防御,即使不斷提高防御手段,往往只是增加資源投入和成本,并不能起到更好的效果。

例如:

防火墻或網(wǎng)閘買得再多、訪問控制策略做得再細致和規(guī)范,若它們自身就存在0day漏洞或1day漏洞未修補,則直接可被攻破;

業(yè)務(wù)系統(tǒng)接入了云防御,即使云端防御再好,一旦攻擊者找到了未做信任策略的源站地址,一切防御將全部失效;

內(nèi)網(wǎng)部署了很好的防御產(chǎn)品和策略,包括防病毒、反垃圾郵件等,但內(nèi)部員工被魚叉攻擊,依然會泄露重要和敏感信息;

業(yè)務(wù)系統(tǒng)防范嚴密,卻在某個具有出口的測試環(huán)境中存在暗資產(chǎn),或者在GitHub上泄露了數(shù)據(jù),導(dǎo)致其成為跳板甚至被進行內(nèi)網(wǎng)漫游或使攻擊者直接獲得了某些重要資料和信息;

等等場景,不勝枚舉。

被動防御永遠在亡羊補牢。基于網(wǎng)絡(luò)安全發(fā)展史的經(jīng)驗來看,面對攻擊,是可以進行如下兩個判斷的:

對每種攻擊手段、防御措施的資源投入,平均下來一定遠遠大于攻擊成本;

每個攻擊者的攻擊手段可能無限多。

所以得出的結(jié)論是:僅考慮防御,將會耗盡無限多的資源,而即使如此,也未必能做到最好。

所以強調(diào)指出:網(wǎng)絡(luò)安全的本質(zhì)是對抗。

對抗,不是被動防御。對抗的目標(biāo)是“敵人”,是攻擊者,防御方案不僅是為了免責(zé)和心里安慰,目的是在實際的小規(guī)模網(wǎng)絡(luò)中保護自己的業(yè)務(wù)系統(tǒng),保護社會數(shù)據(jù),保護國家信息資產(chǎn)。

三、不管資源多少,要將資源盡可能用于主動防御對抗中

只有將目標(biāo)聚焦到攻擊者、聚焦到對“人”的對抗上,才能在網(wǎng)絡(luò)攻防中取得勝利。

主動防御或機動防御理念,是在入侵成功之前通過精確預(yù)警,有針對性、機動地集中資源重點防御并伺機進行反擊。在網(wǎng)絡(luò)安全領(lǐng)域,目前其方法論和技術(shù)方案尚不成熟。

在小規(guī)模對抗中,攻擊者可能來自于任何地方,但具備攻擊能力的人群總數(shù)是有限的,對有生力量的精力和時間的打擊和消耗,以及進行可能的自然人溯源,是目前我認為的主動防御思想的核心。

在傳統(tǒng)安全模型中經(jīng)常提到“木桶原理”、PDCA、PDRR等概念,旨在強調(diào)加強短板建設(shè)、形成周期性閉環(huán)等等,這些理論是正確的,但這些理論的出發(fā)點更多的是考慮通過“知己”及“內(nèi)建”,以應(yīng)對外界威脅,更適合用來作為指導(dǎo)性思想,進行常態(tài)化和持久化信息安全建設(shè)。而在主動防御理論中,更優(yōu)先考慮的是“知彼”,依據(jù)攻擊者可能的手段及弱點協(xié)調(diào)資源進化自己。

所以在整體資源有限、時間周期不長、攻擊者相對較明確的網(wǎng)絡(luò)攻防中,應(yīng)將資源用于主動防御對抗中,這樣能更加明顯地實現(xiàn)預(yù)期效果并取得更優(yōu)的成果。

主動防御的出發(fā)點應(yīng)該圍繞“敵人”,方案應(yīng)該更強調(diào)“立竿見影”。

以下部分將進行主動防御思想體系下,應(yīng)對攻防演練及小規(guī)模網(wǎng)絡(luò)對抗的戰(zhàn)術(shù)方法介紹。

四、如果內(nèi)部安全人員有限,可以更多地使用自動化工具或外采人工服務(wù)

包括政府、事業(yè)單位、央企、國企、大中型企業(yè)等在內(nèi)的大部分組織中,受內(nèi)部信息安全崗位編制、人員專業(yè)技能等的局限,往往對于突發(fā)性或階段性高強度的網(wǎng)絡(luò)對抗感到資源有限、力不從心。在這種情況下,長期或階段性使用自動化工具會讓工作事半功倍。

這里指出的自動化工具,包括:網(wǎng)絡(luò)資產(chǎn)測繪、漏洞掃描器、IDS/IPS、防火墻、防病毒、云防御、WAF、堡壘機、日志審計、蜜罐、SOC等等常態(tài)化信息安全產(chǎn)品,更重要的是需要使用SOAR(安全編排自動化響應(yīng)工具)。

SOAR是Gartner締造及推廣的。一個好的SOAR,在網(wǎng)絡(luò)對抗中應(yīng)該可以做到以下兩方面:

可以進行綜合數(shù)據(jù)處理和分析,這些數(shù)據(jù)應(yīng)該包括資產(chǎn)、風(fēng)險、威脅、日志、防御狀態(tài)等等,如果有可能,最好是能夠內(nèi)置或掛載一些開源情報和秘密情報,能夠快速構(gòu)建及調(diào)整數(shù)據(jù)處理和分析模型。高效、準確地處理和分析數(shù)據(jù),與各類情報數(shù)據(jù)進行匹配,可以在攻擊初始即發(fā)現(xiàn)其動機,甚至可以預(yù)知攻擊的方向及強度,再配合人性化的UI界面、大屏展示和趨勢分析圖,可以達到“態(tài)勢感知”的效果;

可以進行設(shè)備聯(lián)動處理,并能夠進行一定針對安全工作的流程處理,以簡化安全事件響應(yīng)流程,極大地縮短事件處理時間。在網(wǎng)絡(luò)對抗中,至為關(guān)鍵的因素就是平均檢測時間(MTTD)和平均修復(fù)時間(MTTR)。越準確地發(fā)現(xiàn)自己的薄弱點、越高效地發(fā)現(xiàn)攻擊行為、越快速地進行修復(fù)、越簡化的工作流程,就能使攻擊者浪費更多的時間和精力,進而耗盡其有生力量。而需要達到這樣的效果,必須依托于自動化處理手段;

以上,一方面可以進行小規(guī)模網(wǎng)絡(luò)對抗,在建設(shè)完成后,也可以完善常態(tài)化網(wǎng)絡(luò)安全建設(shè)。

文章題目：對抗中的主動防御——攻防演練及小規(guī)模網(wǎng)絡(luò)對抗的戰(zhàn)術(shù)
URL分享：http://vcdvsql.cn/article24/cjgje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、定制開發(fā)、網(wǎng)站制作、Google、響應(yīng)式網(wǎng)站、企業(yè)網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)