隨著網(wǎng)絡(luò)安全成為國(guó)家戰(zhàn)略，特別是《網(wǎng)絡(luò)安全法》的正式頒布實(shí)施，網(wǎng)絡(luò)安全建設(shè)正逐步走向?qū)崙?zhàn)化、體系化和常態(tài)化的新時(shí)代。在這一大背景下，攻防演練越來(lái)越受到各方重視，成為檢驗(yàn)安全體系建設(shè)水平，促進(jìn)安全運(yùn)營(yíng)能力提升的常備動(dòng)作。

　　在網(wǎng)絡(luò)安全攻防演練活動(dòng)中，保障工作不是一蹴而就，需要系統(tǒng)化的規(guī)劃設(shè)計(jì)、統(tǒng)籌組織和部署執(zhí)行。對(duì)于攻防演練的防御方，綠盟科技建議按照以下五個(gè)階段組織實(shí)施：

　　01 啟動(dòng)階段

　　組建網(wǎng)絡(luò)攻防演練保障團(tuán)隊(duì)并明確相關(guān)職責(zé)，制定工作計(jì)劃、流程和具體方案。對(duì)信息化網(wǎng)絡(luò)架構(gòu)進(jìn)行梳理和分析，評(píng)估當(dāng)前網(wǎng)絡(luò)安全能力現(xiàn)狀。對(duì)內(nèi)外網(wǎng)的信息化資產(chǎn)進(jìn)行梳理。

　　02 備戰(zhàn)階段

　　通過(guò)資產(chǎn)安全評(píng)估、業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估手段，對(duì)內(nèi)外網(wǎng)信息化資產(chǎn)風(fēng)險(xiǎn)暴露面進(jìn)行全面評(píng)估。制定合理可行的安全整改和建設(shè)方案，配合推動(dòng)網(wǎng)絡(luò)安全整改與治理工作。開(kāi)展內(nèi)部人員的網(wǎng)絡(luò)安全意識(shí)宣貫。

　　03 臨戰(zhàn)階段

　　制定應(yīng)急演練預(yù)案，有序組織開(kāi)展內(nèi)部紅藍(lán)對(duì)抗、釣魚(yú)攻擊等專(zhuān)項(xiàng)演練工作。對(duì)人員進(jìn)行安全意識(shí)專(zhuān)項(xiàng)強(qiáng)化培訓(xùn)。

　　04 保障階段

　　依托安全保障中臺(tái)，構(gòu)建云地一體化聯(lián)防聯(lián)控安全保障體系，利用情報(bào)協(xié)同聯(lián)動(dòng)機(jī)制，持續(xù)有效地進(jìn)行威脅監(jiān)控、分析研判、應(yīng)急響應(yīng)、溯源反制等網(wǎng)絡(luò)攻防演練保障工作。

　　05 總結(jié)階段

　　對(duì)攻防演練工作進(jìn)行經(jīng)驗(yàn)總結(jié)和復(fù)盤(pán)，梳理總結(jié)報(bào)告，對(duì)演練中發(fā)現(xiàn)的問(wèn)題進(jìn)行優(yōu)化改進(jìn)和閉環(huán)處理。

　　一個(gè)完備高效的攻防演練過(guò)程，通過(guò)啟動(dòng)、備戰(zhàn)、臨戰(zhàn)、保障和總結(jié)全流程的精心組織，充分調(diào)動(dòng)內(nèi)外部資源，達(dá)到檢驗(yàn)建設(shè)成果、鍛煉運(yùn)維團(tuán)隊(duì)、提升運(yùn)營(yíng)能力的目標(biāo)。下面綠盟科技將根據(jù)歷年參與攻防演練活動(dòng)的實(shí)際經(jīng)驗(yàn)，總結(jié)介紹啟動(dòng)、備戰(zhàn)、臨戰(zhàn)、保障和總結(jié)這五個(gè)攻防演練關(guān)鍵階段的具體操作建議，為企業(yè)安全負(fù)責(zé)人開(kāi)展攻防演練工作提供參考。

　　01 啟動(dòng)階段

　　啟動(dòng)階段主要有三大工作：建隊(duì)伍，清家底，做規(guī)劃。

　　1）建隊(duì)伍

　　在啟動(dòng)階段，應(yīng)著手建立一個(gè)分工明確的網(wǎng)絡(luò)安全攻防演練職能團(tuán)隊(duì)，以保證安全自查工作得到充分開(kāi)展，安全防護(hù)能力得到有效驗(yàn)證。因此必須明確安全保障團(tuán)隊(duì)的組織架構(gòu)和職責(zé)劃分。為做好演練工作，建議以如下方式建立安全保障團(tuán)隊(duì)的整體架構(gòu)：

　　各職能團(tuán)隊(duì)分工如下表所示：

　　2）清家底

　　清家底是指對(duì)當(dāng)前網(wǎng)絡(luò)架構(gòu)進(jìn)行合理分析和優(yōu)化，盤(pán)點(diǎn)內(nèi)外網(wǎng)資產(chǎn)，理順資產(chǎn)與業(yè)務(wù)系統(tǒng)的關(guān)系。摸清、理順自身家底，充分應(yīng)用自身安全建設(shè)的成果，為后續(xù)風(fēng)險(xiǎn)排查、加固優(yōu)化奠定良好基礎(chǔ)，主要包括三方面內(nèi)容：

　　網(wǎng)絡(luò)架構(gòu)分析調(diào)優(yōu)

　　互聯(lián)網(wǎng)資產(chǎn)暴露面治理

　　內(nèi)網(wǎng)資產(chǎn)發(fā)現(xiàn)梳理。

　　3）做規(guī)劃

　　做規(guī)劃是指在前期工作的基礎(chǔ)上，進(jìn)一步明確安全保障應(yīng)用需求，編制《安全運(yùn)營(yíng)保障實(shí)施計(jì)劃》與《安全運(yùn)營(yíng)保障方案》，制定網(wǎng)絡(luò)安全攻防演練工作目標(biāo)，構(gòu)建網(wǎng)絡(luò)安全攻防演練保障體系，以全面指導(dǎo)網(wǎng)絡(luò)安全攻防演練工作。

　　網(wǎng)絡(luò)安全攻防演練保障體系如上圖所示。體系覆蓋攻防演習(xí)的五大階段。對(duì)于每個(gè)階段都要建立三位一體的保障體系，包括管理保障、技術(shù)保障和人員保障。管理保障是通過(guò)梳理組織架構(gòu)和各類(lèi)保障流程，從管理層面打通各個(gè)環(huán)節(jié)。技術(shù)保障是基于安全基礎(chǔ)設(shè)施構(gòu)建縱深防御和零信任機(jī)制，并接入安全運(yùn)營(yíng)平臺(tái)實(shí)現(xiàn)整體運(yùn)營(yíng)。人員保障是通過(guò)對(duì)演練人員的賦能培訓(xùn)，滿(mǎn)足監(jiān)控、研判、處置、上報(bào)等各環(huán)節(jié)中對(duì)人員的能力要求。

　　02 備戰(zhàn)階段

　　網(wǎng)絡(luò)安全攻防對(duì)抗中，考驗(yàn)的不僅是雙方在對(duì)抗過(guò)程中的能力與技能，還有各自戰(zhàn)前準(zhǔn)備工作是否周詳完備。備戰(zhàn)階段可以從資產(chǎn)全面評(píng)估、業(yè)務(wù)缺陷識(shí)別、風(fēng)險(xiǎn)整改推進(jìn)、防護(hù)能力補(bǔ)差、整體策略?xún)?yōu)化和意識(shí)能力培訓(xùn)六個(gè)方面，發(fā)現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的脆弱性，評(píng)估面臨的安全風(fēng)險(xiǎn)，并通過(guò)技術(shù)和管理兩個(gè)方面進(jìn)行增強(qiáng)，實(shí)現(xiàn)安全策略的全面優(yōu)化。

　　1）資產(chǎn)全面評(píng)估

　　對(duì)信息資產(chǎn)的安全性進(jìn)行全面評(píng)估，主要包括7大評(píng)估方法：漏洞掃描、配置核查、弱口令檢查、滲透測(cè)試、入侵痕跡排查、敏感信息檢查、安全機(jī)制校驗(yàn)。

　　2）業(yè)務(wù)缺陷識(shí)別

　　在業(yè)務(wù)層面，需要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行分級(jí)，針對(duì)重要業(yè)務(wù)系統(tǒng)，特別是攻防演練確定的靶標(biāo)系統(tǒng)和重要業(yè)務(wù)系統(tǒng)，梳理系統(tǒng)關(guān)鍵流程（如登錄、認(rèn)證、查詢(xún)、申請(qǐng)、審批、交易等）繪制相應(yīng)時(shí)序圖，分析業(yè)務(wù)流程和數(shù)據(jù)流轉(zhuǎn)中可能遭遇的攻擊和敏感信息泄露等安全隱患，輸出相應(yīng)風(fēng)險(xiǎn)處置措施以降低風(fēng)險(xiǎn)，保障系統(tǒng)安全。

　　在此基礎(chǔ)上，還應(yīng)該對(duì)身份認(rèn)證系統(tǒng)、VPN、域控系統(tǒng)、網(wǎng)管系統(tǒng)等集權(quán)系統(tǒng)和防火墻，入侵防御系統(tǒng)，Web安全防護(hù)系統(tǒng)，主機(jī)防護(hù)系統(tǒng)等安全設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保其集權(quán)管控和安全防護(hù)機(jī)制能夠正常運(yùn)行，且系統(tǒng)本身不存在中高危安全漏洞。此外，還需要來(lái)自供應(yīng)鏈，相關(guān)業(yè)務(wù)鏈，第三方人員鏈等第三方的安全風(fēng)險(xiǎn)，防止攻擊者利用第三方實(shí)施入侵。

　　3）風(fēng)險(xiǎn)整改推進(jìn)

　　對(duì)在資產(chǎn)安全評(píng)估和業(yè)務(wù)缺陷識(shí)別中發(fā)現(xiàn)的問(wèn)題，需要制定整改方案，及時(shí)進(jìn)行修復(fù)。主要包括歷史發(fā)現(xiàn)風(fēng)險(xiǎn)閉環(huán)復(fù)盤(pán)、自查發(fā)現(xiàn)風(fēng)險(xiǎn)跟進(jìn)巡查和各類(lèi)設(shè)備風(fēng)險(xiǎn)跟進(jìn)處置三方面。

　　4）防護(hù)能力補(bǔ)差

　　面對(duì)實(shí)戰(zhàn)攻防演練，需要構(gòu)建集預(yù)警、防護(hù)、檢測(cè)、響應(yīng)于一體的自適應(yīng)聯(lián)動(dòng)響應(yīng)體系。參與攻防演練的防守方，可依照下圖展示的網(wǎng)絡(luò)安全最佳實(shí)踐技術(shù)體系，查漏補(bǔ)缺，消除短板，整體提升安全防護(hù)能力。

　　5）整體策略?xún)?yōu)化

　　在構(gòu)建完成整體防線(xiàn)后，下一步就需要提升攻擊檢測(cè)和防護(hù)的效率，對(duì)整體策略進(jìn)行優(yōu)化，主要包括三方面的優(yōu)化動(dòng)作。一是優(yōu)化日志分析，采用事件分析法、時(shí)間分析法以及流量包樣本分析法等方式，在大量日志中捕獲關(guān)鍵信息，區(qū)分設(shè)備關(guān)注重點(diǎn)事件；二是處置設(shè)備誤報(bào)，及時(shí)拉通業(yè)務(wù)側(cè)溝通渠道，核實(shí)能否夠及時(shí)對(duì)業(yè)務(wù)代碼邏輯進(jìn)行修改，解決業(yè)務(wù)誤攔問(wèn)題；三是優(yōu)化平臺(tái)和設(shè)備策略，根據(jù)日志分析及誤報(bào)處理的結(jié)果，對(duì)網(wǎng)絡(luò)設(shè)備策略、安全設(shè)備策略、主機(jī)策略等進(jìn)行進(jìn)一步調(diào)整和優(yōu)化。

　　6）意識(shí)能力培訓(xùn)

　　在安全意識(shí)培訓(xùn)方面，需要在三大方向發(fā)力。一是要加強(qiáng)安全意識(shí)宣傳；二是要加強(qiáng)內(nèi)部安全意識(shí)培訓(xùn)；三是要面向第三方開(kāi)發(fā)商和服務(wù)商人員等開(kāi)展安全意識(shí)宣貫，同時(shí)簽訂安全保密協(xié)議、責(zé)任界定書(shū)，增強(qiáng)其安全敏感度。

　　在安全能力培訓(xùn)方面，首先要展開(kāi)威脅分析能力培訓(xùn)，通過(guò)告警分析實(shí)現(xiàn)對(duì)常見(jiàn)攻擊行為和結(jié)果的識(shí)別，包括利用漏洞執(zhí)行惡意代碼，手工嘗試弱口令，服務(wù)器被攻陷，惡意程序被運(yùn)行等。其次要對(duì)應(yīng)急響應(yīng)能力進(jìn)行培訓(xùn)，通過(guò)排查服務(wù)器上的木馬程序，分析攻擊者入侵途徑，登錄服務(wù)器操作以驗(yàn)證事件的準(zhǔn)確性等方法實(shí)現(xiàn)安全事件的事中和事后取證分析與及時(shí)處置。

　　03 臨戰(zhàn)階段

　　臨戰(zhàn)階段也叫演練階段，即通過(guò)實(shí)戰(zhàn)攻防演練驗(yàn)證網(wǎng)絡(luò)安全體系建設(shè)成果，助力企業(yè)建立常態(tài)化的防御機(jī)制。這四個(gè)攻防演練“錦囊”，請(qǐng)您收好。

　　錦囊一 安全應(yīng)急演練

　　為提升對(duì)網(wǎng)絡(luò)信息安全攻擊事件的響應(yīng)能力和應(yīng)對(duì)突發(fā)安全事件的緊急處理能力，切實(shí)保障防守方的網(wǎng)絡(luò)安全，需要根據(jù)當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀和面臨的安全威脅編制覆蓋各類(lèi)應(yīng)急場(chǎng)景的重大保障應(yīng)急預(yù)案，并組織開(kāi)展網(wǎng)絡(luò)安全專(zhuān)項(xiàng)應(yīng)急演練，檢驗(yàn)網(wǎng)絡(luò)安全應(yīng)急體系和工作機(jī)制運(yùn)行情況，及時(shí)發(fā)現(xiàn)問(wèn)題，完善應(yīng)急預(yù)案，提高應(yīng)急處置能力。

　　錦囊二 釣魚(yú)攻擊演練

　　為模擬防守方在攻防演練期間可能面臨的真實(shí)攻擊，同時(shí)對(duì)日常的安全意識(shí)培訓(xùn)效果進(jìn)行驗(yàn)證，在實(shí)戰(zhàn)開(kāi)展前釣魚(yú)攻擊演練可謂是一計(jì)良策。

　　通過(guò)相應(yīng)渠道給防守方員工發(fā)送釣魚(yú)測(cè)試郵件，度量員工安全意識(shí)整體狀態(tài)。在企業(yè)郵件辦公環(huán)境下，還原釣魚(yú)郵件真實(shí)場(chǎng)景，使員工實(shí)際感受郵件釣魚(yú)威脅，激發(fā)員工郵件辦公的警惕心理，彌補(bǔ)員工的安全意識(shí)短板。

　　錦囊三 內(nèi)部紅藍(lán)對(duì)抗演練

　　在保證業(yè)務(wù)正常運(yùn)轉(zhuǎn)的前提下，建議實(shí)戰(zhàn)演練雙方的攻防演習(xí)保障項(xiàng)目組在真實(shí)網(wǎng)絡(luò)環(huán)境下開(kāi)展紅藍(lán)對(duì)抗，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)的真實(shí)隱患，檢驗(yàn)安全威脅監(jiān)測(cè)發(fā)現(xiàn)能力、應(yīng)急處置能力和安全防護(hù)能力，并通過(guò)演練結(jié)果進(jìn)一步改進(jìn)保障能力。

　　錦囊四 實(shí)戰(zhàn)演練前安全意識(shí)專(zhuān)項(xiàng)強(qiáng)化

　　攻防演練正式開(kāi)始前，攻防演練保障項(xiàng)目組需要進(jìn)行戰(zhàn)前宣貫，針對(duì)前期安全意識(shí)培訓(xùn)及釣魚(yú)攻擊演練中發(fā)現(xiàn)的問(wèn)題進(jìn)行同步，重點(diǎn)關(guān)注IT技術(shù)人員及演練中被釣魚(yú)成功人員，對(duì)攻擊隊(duì)常用社工手段及防守方法突出強(qiáng)調(diào)，通過(guò)實(shí)戰(zhàn)案例的介紹使防守方人員對(duì)攻防演習(xí)中的社工攻擊有更直觀的認(rèn)識(shí)，爭(zhēng)取最大程度降低人員的隱患。

　　04 保障階段

　　企業(yè)應(yīng)建立以情報(bào)驅(qū)動(dòng)為核心，協(xié)同研判分析、溯源反制、應(yīng)急響應(yīng)、產(chǎn)品支持等安全防護(hù)能力，以點(diǎn)帶面，實(shí)現(xiàn)“一點(diǎn)發(fā)現(xiàn)，全面風(fēng)險(xiǎn)閉環(huán)”的聯(lián)防聯(lián)控機(jī)制，構(gòu)建云地一體化安全保障體系，持續(xù)有效地開(kāi)展網(wǎng)絡(luò)攻防演練保障工作。

　　綠盟科技安全中臺(tái)支撐全過(guò)程

　　本地安全監(jiān)控：包括對(duì)外網(wǎng)資產(chǎn)（主機(jī)資產(chǎn)和網(wǎng)站安全）監(jiān)控，以及安全情報(bào)、安全設(shè)備、安全行為的監(jiān)控，并將每日的監(jiān)控記錄進(jìn)行整理匯總。

　　云端安全監(jiān)控：對(duì)網(wǎng)站提供完整性檢測(cè)、可用性檢測(cè)。完整性檢測(cè)能夠甄別出防護(hù)站點(diǎn)頁(yè)面是否發(fā)生了惡意篡改，是否被掛惡意木馬，是否被嵌入敏感內(nèi)容等信息；可用性檢測(cè)能夠幫助防守方了解站點(diǎn)此時(shí)的通斷狀況，延遲狀況。

　　威脅分析研判：多渠道匯集安全通告，線(xiàn)下結(jié)合線(xiàn)上、現(xiàn)場(chǎng)結(jié)合中臺(tái)、情報(bào)結(jié)合狩獵，疊加多級(jí)網(wǎng)絡(luò)安全專(zhuān)家研判體系，實(shí)現(xiàn)安全風(fēng)險(xiǎn)預(yù)警通告、安全事件應(yīng)急通告、可疑安全行為通告迅速研判定性。

　　應(yīng)急響應(yīng)處置：應(yīng)急響應(yīng)預(yù)設(shè)流程全面高效啟動(dòng)，應(yīng)急小組有條不紊分級(jí)分類(lèi)處置安全事件，節(jié)奏化完成攻擊阻斷、取證備份、故障恢復(fù)、總結(jié)評(píng)估，雙向聯(lián)動(dòng)全國(guó)跨地理、跨行業(yè)多維情報(bào)體系，多區(qū)域?qū)崟r(shí)下發(fā)，技術(shù)策略實(shí)時(shí)滾動(dòng)升級(jí)。

　　威脅狩獵溯源：一體化融合安全威脅檢測(cè)設(shè)備、安全威脅分析平臺(tái)、安全專(zhuān)家服務(wù)，整合平臺(tái)監(jiān)控、分析研判、中臺(tái)應(yīng)急能力，多技術(shù)手段溯源攻擊方特性，遏制攻擊擴(kuò)散。鎖定攻擊源，針對(duì)性設(shè)計(jì)反制策略，多重誘捕，由點(diǎn)帶面形成團(tuán)隊(duì)威懾力。

　　高質(zhì)量事件上報(bào)：融合中臺(tái)實(shí)時(shí)情報(bào)，持續(xù)強(qiáng)化一線(xiàn)作戰(zhàn)研判水平與上報(bào)質(zhì)量，分角色、分職能、分事件等級(jí)實(shí)現(xiàn)攻擊取證、分析、研判過(guò)程記錄，全面把控上報(bào)品質(zhì)與上報(bào)效率，結(jié)合體系化得分點(diǎn)分析，確保防守團(tuán)隊(duì)取得有效防守成果。

　　05 總結(jié)階段

　　實(shí)戰(zhàn)化場(chǎng)景下網(wǎng)絡(luò)攻防演練的目的是為了發(fā)現(xiàn)企業(yè)當(dāng)前防護(hù)體系中存在的不足，找出解決的方案。因此在演練結(jié)束之后，必須及時(shí)進(jìn)行復(fù)盤(pán)總結(jié)，以期全面改進(jìn)。在總結(jié)階段，需要做三項(xiàng)工作：復(fù)盤(pán)總結(jié)、報(bào)告輸出和安全規(guī)劃。

　　1）復(fù)盤(pán)總結(jié)

　　安全事件匯總分析

　　攻防演練防護(hù)結(jié)束后，攻防演練防護(hù)項(xiàng)目組將對(duì)演練期間的數(shù)據(jù)進(jìn)行匯總，并從攻擊事件、風(fēng)險(xiǎn)等級(jí)、攻擊路徑和漏洞利用四個(gè)維度展開(kāi)分析。

　　缺陷問(wèn)題輸出閉環(huán)

　　攻防演練防護(hù)項(xiàng)目組將針對(duì)本次保障前期的待處理事件和中期發(fā)生的安全事件進(jìn)行梳理，根據(jù)安全問(wèn)題風(fēng)險(xiǎn)程度由高到低設(shè)置處理優(yōu)先級(jí)，繪制輸出安全事件跟蹤表，內(nèi)容包括但不限于：?jiǎn)栴}分類(lèi)、影響范圍、問(wèn)題描述、發(fā)現(xiàn)時(shí)間、處置完成時(shí)間、主要跟進(jìn)人、問(wèn)題進(jìn)展、是否閉環(huán)、事件優(yōu)先級(jí)等。

　　保障經(jīng)驗(yàn)總結(jié)

　　攻防演習(xí)階段結(jié)束后，開(kāi)展攻防演習(xí)總結(jié)會(huì)議，整理攻防演習(xí)整體數(shù)據(jù)并上報(bào)，分析缺陷，提出改正建議，總結(jié)經(jīng)驗(yàn)，編制網(wǎng)絡(luò)安全監(jiān)測(cè)和應(yīng)急保障工作指導(dǎo)手冊(cè)。

　　2）報(bào)告輸出

　　在保障結(jié)束后，將組織攻防演練防護(hù)參與人員進(jìn)行總結(jié)分析，并于總結(jié)會(huì)議后，輸出攻防演練總結(jié)報(bào)告，遞交至攻防演練防護(hù)組、總指揮進(jìn)行初步審閱及最終審閱。

　　3）安全規(guī)劃

　　通過(guò)本次攻防演練活動(dòng)發(fā)現(xiàn)的問(wèn)題，結(jié)合當(dāng)前安全運(yùn)營(yíng)現(xiàn)狀，有針對(duì)性地設(shè)計(jì)一體化安全運(yùn)營(yíng)方案，也就是需要改進(jìn)的方向。

　　網(wǎng)絡(luò)安全攻防演練，既是檢查網(wǎng)絡(luò)安全建設(shè)成果的試金石，也是指導(dǎo)開(kāi)展下一步建設(shè)的指路燈。通過(guò)攻防演練，企業(yè)應(yīng)以體系化建設(shè)為指引，構(gòu)建“全場(chǎng)景、可信任、實(shí)戰(zhàn)化”的安全運(yùn)營(yíng)能力，實(shí)現(xiàn)“全面防護(hù)，智能分析，自動(dòng)響應(yīng)”的防護(hù)效果，構(gòu)建網(wǎng)絡(luò)安全保障體系、提升網(wǎng)絡(luò)安全防護(hù)能力。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<