隨著網(wǎng)絡(luò)安全成為國家戰(zhàn)略，特別是《網(wǎng)絡(luò)安全法》的正式頒布實施，網(wǎng)絡(luò)安全建設(shè)正逐步走向?qū)崙?zhàn)化、體系化和常態(tài)化的新時代。在這一大背景下，攻防演練越來越受到各方重視，成為檢驗安全體系建設(shè)水平，促進安全運營能力提升的常備動作。

　　在網(wǎng)絡(luò)安全攻防演練活動中，保障工作不是一蹴而就，需要系統(tǒng)化的規(guī)劃設(shè)計、統(tǒng)籌組織和部署執(zhí)行。對于攻防演練的防御方，綠盟科技建議按照以下五個階段組織實施：

　　01 啟動階段

　　組建網(wǎng)絡(luò)攻防演練保障團隊并明確相關(guān)職責(zé)，制定工作計劃、流程和具體方案。對信息化網(wǎng)絡(luò)架構(gòu)進行梳理和分析，評估當前網(wǎng)絡(luò)安全能力現(xiàn)狀。對內(nèi)外網(wǎng)的信息化資產(chǎn)進行梳理。

　　02 備戰(zhàn)階段

　　通過資產(chǎn)安全評估、業(yè)務(wù)風(fēng)險評估手段，對內(nèi)外網(wǎng)信息化資產(chǎn)風(fēng)險暴露面進行全面評估。制定合理可行的安全整改和建設(shè)方案，配合推動網(wǎng)絡(luò)安全整改與治理工作。開展內(nèi)部人員的網(wǎng)絡(luò)安全意識宣貫。

　　03 臨戰(zhàn)階段

　　制定應(yīng)急演練預(yù)案，有序組織開展內(nèi)部紅藍對抗、釣魚攻擊等專項演練工作。對人員進行安全意識專項強化培訓(xùn)。

　　04 保障階段

　　依托安全保障中臺，構(gòu)建云地一體化聯(lián)防聯(lián)控安全保障體系，利用情報協(xié)同聯(lián)動機制，持續(xù)有效地進行威脅監(jiān)控、分析研判、應(yīng)急響應(yīng)、溯源反制等網(wǎng)絡(luò)攻防演練保障工作。

　　05 總結(jié)階段

　　對攻防演練工作進行經(jīng)驗總結(jié)和復(fù)盤，梳理總結(jié)報告，對演練中發(fā)現(xiàn)的問題進行優(yōu)化改進和閉環(huán)處理。

　　一個完備高效的攻防演練過程，通過啟動、備戰(zhàn)、臨戰(zhàn)、保障和總結(jié)全流程的精心組織，充分調(diào)動內(nèi)外部資源，達到檢驗建設(shè)成果、鍛煉運維團隊、提升運營能力的目標。下面綠盟科技將根據(jù)歷年參與攻防演練活動的實際經(jīng)驗，總結(jié)介紹啟動、備戰(zhàn)、臨戰(zhàn)、保障和總結(jié)這五個攻防演練關(guān)鍵階段的具體操作建議，為企業(yè)安全負責(zé)人開展攻防演練工作提供參考。

　　01 啟動階段

　　啟動階段主要有三大工作：建隊伍，清家底，做規(guī)劃。

　　1）建隊伍

　　在啟動階段，應(yīng)著手建立一個分工明確的網(wǎng)絡(luò)安全攻防演練職能團隊，以保證安全自查工作得到充分開展，安全防護能力得到有效驗證。因此必須明確安全保障團隊的組織架構(gòu)和職責(zé)劃分。為做好演練工作，建議以如下方式建立安全保障團隊的整體架構(gòu)：

　　各職能團隊分工如下表所示：

　　2）清家底

　　清家底是指對當前網(wǎng)絡(luò)架構(gòu)進行合理分析和優(yōu)化，盤點內(nèi)外網(wǎng)資產(chǎn)，理順資產(chǎn)與業(yè)務(wù)系統(tǒng)的關(guān)系。摸清、理順自身家底，充分應(yīng)用自身安全建設(shè)的成果，為后續(xù)風(fēng)險排查、加固優(yōu)化奠定良好基礎(chǔ)，主要包括三方面內(nèi)容：

　　網(wǎng)絡(luò)架構(gòu)分析調(diào)優(yōu)

　　互聯(lián)網(wǎng)資產(chǎn)暴露面治理

　　內(nèi)網(wǎng)資產(chǎn)發(fā)現(xiàn)梳理。

　　3）做規(guī)劃

　　做規(guī)劃是指在前期工作的基礎(chǔ)上，進一步明確安全保障應(yīng)用需求，編制《安全運營保障實施計劃》與《安全運營保障方案》，制定網(wǎng)絡(luò)安全攻防演練工作目標，構(gòu)建網(wǎng)絡(luò)安全攻防演練保障體系，以全面指導(dǎo)網(wǎng)絡(luò)安全攻防演練工作。

　　網(wǎng)絡(luò)安全攻防演練保障體系如上圖所示。體系覆蓋攻防演習(xí)的五大階段。對于每個階段都要建立三位一體的保障體系，包括管理保障、技術(shù)保障和人員保障。管理保障是通過梳理組織架構(gòu)和各類保障流程，從管理層面打通各個環(huán)節(jié)。技術(shù)保障是基于安全基礎(chǔ)設(shè)施構(gòu)建縱深防御和零信任機制，并接入安全運營平臺實現(xiàn)整體運營。人員保障是通過對演練人員的賦能培訓(xùn)，滿足監(jiān)控、研判、處置、上報等各環(huán)節(jié)中對人員的能力要求。

　　02 備戰(zhàn)階段

　　網(wǎng)絡(luò)安全攻防對抗中，考驗的不僅是雙方在對抗過程中的能力與技能，還有各自戰(zhàn)前準備工作是否周詳完備。備戰(zhàn)階段可以從資產(chǎn)全面評估、業(yè)務(wù)缺陷識別、風(fēng)險整改推進、防護能力補差、整體策略優(yōu)化和意識能力培訓(xùn)六個方面，發(fā)現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的脆弱性，評估面臨的安全風(fēng)險，并通過技術(shù)和管理兩個方面進行增強，實現(xiàn)安全策略的全面優(yōu)化。

　　1）資產(chǎn)全面評估

　　對信息資產(chǎn)的安全性進行全面評估，主要包括7大評估方法：漏洞掃描、配置核查、弱口令檢查、滲透測試、入侵痕跡排查、敏感信息檢查、安全機制校驗。

　　2）業(yè)務(wù)缺陷識別

　　在業(yè)務(wù)層面，需要對業(yè)務(wù)系統(tǒng)進行分級，針對重要業(yè)務(wù)系統(tǒng)，特別是攻防演練確定的靶標系統(tǒng)和重要業(yè)務(wù)系統(tǒng)，梳理系統(tǒng)關(guān)鍵流程（如登錄、認證、查詢、申請、審批、交易等）繪制相應(yīng)時序圖，分析業(yè)務(wù)流程和數(shù)據(jù)流轉(zhuǎn)中可能遭遇的攻擊和敏感信息泄露等安全隱患，輸出相應(yīng)風(fēng)險處置措施以降低風(fēng)險，保障系統(tǒng)安全。

　　在此基礎(chǔ)上，還應(yīng)該對身份認證系統(tǒng)、VPN、域控系統(tǒng)、網(wǎng)管系統(tǒng)等集權(quán)系統(tǒng)和防火墻，入侵防御系統(tǒng)，Web安全防護系統(tǒng)，主機防護系統(tǒng)等安全設(shè)備進行風(fēng)險評估，確保其集權(quán)管控和安全防護機制能夠正常運行，且系統(tǒng)本身不存在中高危安全漏洞。此外，還需要來自供應(yīng)鏈，相關(guān)業(yè)務(wù)鏈，第三方人員鏈等第三方的安全風(fēng)險，防止攻擊者利用第三方實施入侵。

　　3）風(fēng)險整改推進

　　對在資產(chǎn)安全評估和業(yè)務(wù)缺陷識別中發(fā)現(xiàn)的問題，需要制定整改方案，及時進行修復(fù)。主要包括歷史發(fā)現(xiàn)風(fēng)險閉環(huán)復(fù)盤、自查發(fā)現(xiàn)風(fēng)險跟進巡查和各類設(shè)備風(fēng)險跟進處置三方面。

　　4）防護能力補差

　　面對實戰(zhàn)攻防演練，需要構(gòu)建集預(yù)警、防護、檢測、響應(yīng)于一體的自適應(yīng)聯(lián)動響應(yīng)體系。參與攻防演練的防守方，可依照下圖展示的網(wǎng)絡(luò)安全最佳實踐技術(shù)體系，查漏補缺，消除短板，整體提升安全防護能力。

　　5）整體策略優(yōu)化

　　在構(gòu)建完成整體防線后，下一步就需要提升攻擊檢測和防護的效率，對整體策略進行優(yōu)化，主要包括三方面的優(yōu)化動作。一是優(yōu)化日志分析，采用事件分析法、時間分析法以及流量包樣本分析法等方式，在大量日志中捕獲關(guān)鍵信息，區(qū)分設(shè)備關(guān)注重點事件；二是處置設(shè)備誤報，及時拉通業(yè)務(wù)側(cè)溝通渠道，核實能否夠及時對業(yè)務(wù)代碼邏輯進行修改，解決業(yè)務(wù)誤攔問題；三是優(yōu)化平臺和設(shè)備策略，根據(jù)日志分析及誤報處理的結(jié)果，對網(wǎng)絡(luò)設(shè)備策略、安全設(shè)備策略、主機策略等進行進一步調(diào)整和優(yōu)化。

　　6）意識能力培訓(xùn)

　　在安全意識培訓(xùn)方面，需要在三大方向發(fā)力。一是要加強安全意識宣傳；二是要加強內(nèi)部安全意識培訓(xùn)；三是要面向第三方開發(fā)商和服務(wù)商人員等開展安全意識宣貫，同時簽訂安全保密協(xié)議、責(zé)任界定書，增強其安全敏感度。

　　在安全能力培訓(xùn)方面，首先要展開威脅分析能力培訓(xùn)，通過告警分析實現(xiàn)對常見攻擊行為和結(jié)果的識別，包括利用漏洞執(zhí)行惡意代碼，手工嘗試弱口令，服務(wù)器被攻陷，惡意程序被運行等。其次要對應(yīng)急響應(yīng)能力進行培訓(xùn)，通過排查服務(wù)器上的木馬程序，分析攻擊者入侵途徑，登錄服務(wù)器操作以驗證事件的準確性等方法實現(xiàn)安全事件的事中和事后取證分析與及時處置。

　　03 臨戰(zhàn)階段

　　臨戰(zhàn)階段也叫演練階段，即通過實戰(zhàn)攻防演練驗證網(wǎng)絡(luò)安全體系建設(shè)成果，助力企業(yè)建立常態(tài)化的防御機制。這四個攻防演練“錦囊”，請您收好。

　　錦囊一 安全應(yīng)急演練

　　為提升對網(wǎng)絡(luò)信息安全攻擊事件的響應(yīng)能力和應(yīng)對突發(fā)安全事件的緊急處理能力，切實保障防守方的網(wǎng)絡(luò)安全，需要根據(jù)當前的網(wǎng)絡(luò)安全現(xiàn)狀和面臨的安全威脅編制覆蓋各類應(yīng)急場景的重大保障應(yīng)急預(yù)案，并組織開展網(wǎng)絡(luò)安全專項應(yīng)急演練，檢驗網(wǎng)絡(luò)安全應(yīng)急體系和工作機制運行情況，及時發(fā)現(xiàn)問題，完善應(yīng)急預(yù)案，提高應(yīng)急處置能力。

　　錦囊二 釣魚攻擊演練

　　為模擬防守方在攻防演練期間可能面臨的真實攻擊，同時對日常的安全意識培訓(xùn)效果進行驗證，在實戰(zhàn)開展前釣魚攻擊演練可謂是一計良策。

　　通過相應(yīng)渠道給防守方員工發(fā)送釣魚測試郵件，度量員工安全意識整體狀態(tài)。在企業(yè)郵件辦公環(huán)境下，還原釣魚郵件真實場景，使員工實際感受郵件釣魚威脅，激發(fā)員工郵件辦公的警惕心理，彌補員工的安全意識短板。

　　錦囊三 內(nèi)部紅藍對抗演練

　　在保證業(yè)務(wù)正常運轉(zhuǎn)的前提下，建議實戰(zhàn)演練雙方的攻防演習(xí)保障項目組在真實網(wǎng)絡(luò)環(huán)境下開展紅藍對抗，及時發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)的真實隱患，檢驗安全威脅監(jiān)測發(fā)現(xiàn)能力、應(yīng)急處置能力和安全防護能力，并通過演練結(jié)果進一步改進保障能力。

　　錦囊四 實戰(zhàn)演練前安全意識專項強化

　　攻防演練正式開始前，攻防演練保障項目組需要進行戰(zhàn)前宣貫，針對前期安全意識培訓(xùn)及釣魚攻擊演練中發(fā)現(xiàn)的問題進行同步，重點關(guān)注IT技術(shù)人員及演練中被釣魚成功人員，對攻擊隊常用社工手段及防守方法突出強調(diào)，通過實戰(zhàn)案例的介紹使防守方人員對攻防演習(xí)中的社工攻擊有更直觀的認識，爭取最大程度降低人員的隱患。

　　04 保障階段

　　企業(yè)應(yīng)建立以情報驅(qū)動為核心，協(xié)同研判分析、溯源反制、應(yīng)急響應(yīng)、產(chǎn)品支持等安全防護能力，以點帶面，實現(xiàn)“一點發(fā)現(xiàn)，全面風(fēng)險閉環(huán)”的聯(lián)防聯(lián)控機制，構(gòu)建云地一體化安全保障體系，持續(xù)有效地開展網(wǎng)絡(luò)攻防演練保障工作。

　　綠盟科技安全中臺支撐全過程

　　本地安全監(jiān)控：包括對外網(wǎng)資產(chǎn)（主機資產(chǎn)和網(wǎng)站安全）監(jiān)控，以及安全情報、安全設(shè)備、安全行為的監(jiān)控，并將每日的監(jiān)控記錄進行整理匯總。

　　云端安全監(jiān)控：對網(wǎng)站提供完整性檢測、可用性檢測。完整性檢測能夠甄別出防護站點頁面是否發(fā)生了惡意篡改，是否被掛惡意木馬，是否被嵌入敏感內(nèi)容等信息；可用性檢測能夠幫助防守方了解站點此時的通斷狀況，延遲狀況。

　　威脅分析研判：多渠道匯集安全通告，線下結(jié)合線上、現(xiàn)場結(jié)合中臺、情報結(jié)合狩獵，疊加多級網(wǎng)絡(luò)安全專家研判體系，實現(xiàn)安全風(fēng)險預(yù)警通告、安全事件應(yīng)急通告、可疑安全行為通告迅速研判定性。

　　應(yīng)急響應(yīng)處置：應(yīng)急響應(yīng)預(yù)設(shè)流程全面高效啟動，應(yīng)急小組有條不紊分級分類處置安全事件，節(jié)奏化完成攻擊阻斷、取證備份、故障恢復(fù)、總結(jié)評估，雙向聯(lián)動全國跨地理、跨行業(yè)多維情報體系，多區(qū)域?qū)崟r下發(fā)，技術(shù)策略實時滾動升級。

　　威脅狩獵溯源：一體化融合安全威脅檢測設(shè)備、安全威脅分析平臺、安全專家服務(wù)，整合平臺監(jiān)控、分析研判、中臺應(yīng)急能力，多技術(shù)手段溯源攻擊方特性，遏制攻擊擴散。鎖定攻擊源，針對性設(shè)計反制策略，多重誘捕，由點帶面形成團隊威懾力。

　　高質(zhì)量事件上報：融合中臺實時情報，持續(xù)強化一線作戰(zhàn)研判水平與上報質(zhì)量，分角色、分職能、分事件等級實現(xiàn)攻擊取證、分析、研判過程記錄，全面把控上報品質(zhì)與上報效率，結(jié)合體系化得分點分析，確保防守團隊取得有效防守成果。

　　05 總結(jié)階段

　　實戰(zhàn)化場景下網(wǎng)絡(luò)攻防演練的目的是為了發(fā)現(xiàn)企業(yè)當前防護體系中存在的不足，找出解決的方案。因此在演練結(jié)束之后，必須及時進行復(fù)盤總結(jié)，以期全面改進。在總結(jié)階段，需要做三項工作：復(fù)盤總結(jié)、報告輸出和安全規(guī)劃。

　　1）復(fù)盤總結(jié)

　　安全事件匯總分析

　　攻防演練防護結(jié)束后，攻防演練防護項目組將對演練期間的數(shù)據(jù)進行匯總，并從攻擊事件、風(fēng)險等級、攻擊路徑和漏洞利用四個維度展開分析。

　　缺陷問題輸出閉環(huán)

　　攻防演練防護項目組將針對本次保障前期的待處理事件和中期發(fā)生的安全事件進行梳理，根據(jù)安全問題風(fēng)險程度由高到低設(shè)置處理優(yōu)先級，繪制輸出安全事件跟蹤表，內(nèi)容包括但不限于：問題分類、影響范圍、問題描述、發(fā)現(xiàn)時間、處置完成時間、主要跟進人、問題進展、是否閉環(huán)、事件優(yōu)先級等。

　　保障經(jīng)驗總結(jié)

　　攻防演習(xí)階段結(jié)束后，開展攻防演習(xí)總結(jié)會議，整理攻防演習(xí)整體數(shù)據(jù)并上報，分析缺陷，提出改正建議，總結(jié)經(jīng)驗，編制網(wǎng)絡(luò)安全監(jiān)測和應(yīng)急保障工作指導(dǎo)手冊。

　　2）報告輸出

　　在保障結(jié)束后，將組織攻防演練防護參與人員進行總結(jié)分析，并于總結(jié)會議后，輸出攻防演練總結(jié)報告，遞交至攻防演練防護組、總指揮進行初步審閱及最終審閱。

　　3）安全規(guī)劃

　　通過本次攻防演練活動發(fā)現(xiàn)的問題，結(jié)合當前安全運營現(xiàn)狀，有針對性地設(shè)計一體化安全運營方案，也就是需要改進的方向。

　　網(wǎng)絡(luò)安全攻防演練，既是檢查網(wǎng)絡(luò)安全建設(shè)成果的試金石，也是指導(dǎo)開展下一步建設(shè)的指路燈。通過攻防演練，企業(yè)應(yīng)以體系化建設(shè)為指引，構(gòu)建“全場景、可信任、實戰(zhàn)化”的安全運營能力，實現(xiàn)“全面防護，智能分析，自動響應(yīng)”的防護效果，構(gòu)建網(wǎng)絡(luò)安全保障體系、提升網(wǎng)絡(luò)安全防護能力。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<