云深互聯(lián)陳本峰談零信任安全在攻防演練中的“防御”之道

?近年來國家不斷加快5G、人工智能和云計(jì)算等新型基礎(chǔ)設(shè)施的建設(shè),企業(yè)的數(shù)據(jù)不再局限于內(nèi)網(wǎng),互聯(lián)網(wǎng)迎來了高速的發(fā)展和更為廣闊的發(fā)展空間;但與此同時(shí),網(wǎng)絡(luò)安全也成為國家發(fā)展中面臨的新的威脅和挑戰(zhàn),正所謂是“沒有網(wǎng)絡(luò)安全就沒有國家安全”,為了進(jìn)一步保障網(wǎng)絡(luò)安全,小到企業(yè)大到整個(gè)國家都開始重視網(wǎng)絡(luò)安全并不斷加強(qiáng)網(wǎng)絡(luò)安全建設(shè)。

自從2016年國家頒布了《網(wǎng)絡(luò)安全法》,“網(wǎng)絡(luò)攻防演練專項(xiàng)行動(dòng)”已成為一年一度的慣例。從最開始只有公安部、民航局和國家電網(wǎng)三個(gè)事業(yè)單位參加到現(xiàn)如今參加隊(duì)伍在不斷擴(kuò)大,由此可以看出從國家到企業(yè)都在不斷地重視網(wǎng)絡(luò)安全問題。隨著網(wǎng)絡(luò)安全問題不斷嚴(yán)峻,我們也不得不重新審視網(wǎng)絡(luò)安全問題,將視角從傳統(tǒng)的“合規(guī)防御”轉(zhuǎn)移到更高級(jí)別的“攻防對(duì)抗”上來。

云深互聯(lián)陳本峰認(rèn)為,“紙上談來終覺淺,紅藍(lán)對(duì)抗得真知”,沒有實(shí)際行動(dòng)光有理論基礎(chǔ)也難以提高自身實(shí)力。國家通過一年一度的“網(wǎng)絡(luò)攻防演練”來檢閱各單位的安全防護(hù)和應(yīng)急處理能力,便于提高各組織機(jī)構(gòu)的綜合防控能力。面對(duì)安全威脅,守護(hù)好安全的最后一公里,做好安全防御,是各政企事業(yè)單位及組織應(yīng)修煉的防御之道。

攻防演練的歷史

提及攻防演練,首先要追溯一下它的由來,如下為大家簡單介紹一下美國、北約聯(lián)盟和國內(nèi)攻防演練的大致情況。

1、“網(wǎng)絡(luò)風(fēng)暴”攻防演習(xí):美國國土安全局主導(dǎo),于2006年開始,60支隊(duì)伍,模擬為期一周的攻擊,主要攻擊范圍為國家、政府等關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

2、“Locked Shields”攻防演習(xí):有北約聯(lián)盟在2010年啟動(dòng),模擬為期5天的攻防演練,主要攻擊范圍為模擬的海軍基地、電站等關(guān)鍵信息建設(shè)設(shè)備。

3、“紅藍(lán)對(duì)抗”攻防演習(xí):于2016年在國內(nèi)啟動(dòng) ,模擬為期3周的攻防演練。發(fā)展也從最初的參演目標(biāo)的民航系統(tǒng)、國家電網(wǎng)到2019的30個(gè)行業(yè),118家防守單位,110支攻堅(jiān)隊(duì)。

防御流程及手段

從往年的網(wǎng)絡(luò)攻防演練專項(xiàng)行動(dòng)中我們可以了解到,對(duì)于防守方來說保證分?jǐn)?shù)和得分一樣重要。為了在活動(dòng)中防守方可以保證得分,防守方需要制定相關(guān)的防御流程及手段,具體如下:

1、全網(wǎng)隱患自查修復(fù),做到減少互聯(lián)網(wǎng)暴露面、無弱口令、無高危漏洞、主機(jī)安全加固等一系列修補(bǔ)措施;

2、對(duì)企業(yè)內(nèi)部員工進(jìn)行安全意識(shí)培訓(xùn),預(yù)備成立防御方團(tuán)隊(duì),對(duì)成員進(jìn)行職能、防護(hù)能力評(píng)估;

3、防御團(tuán)隊(duì)建立,可根據(jù)自身人員情況進(jìn)行配置,主要可分為指揮、應(yīng)急處置、檢測(cè)組,白天黑夜輪班值守;

4、防御團(tuán)隊(duì)檢查組,分析所檢測(cè)的設(shè)備及平臺(tái)產(chǎn)生的安全日志,挖掘入侵時(shí)間,填寫《入侵、攻擊時(shí)間分析報(bào)告》提交團(tuán)隊(duì)指揮;

5、防御團(tuán)隊(duì)?wèi)?yīng)急處置組確認(rèn)事件是否由正常業(yè)務(wù)引起,對(duì)真實(shí)攻擊根據(jù)事件定級(jí)按次序進(jìn)行應(yīng)急,完成后編寫提交《應(yīng)急處置報(bào)告》,并修復(fù)業(yè)務(wù)系統(tǒng);

6、團(tuán)隊(duì)指揮協(xié)調(diào)監(jiān)測(cè)報(bào)告組和應(yīng)急處置組之間的工作,準(zhǔn)備好隨時(shí)對(duì)攻擊方提交的報(bào)告進(jìn)行上報(bào)處理。

零信任在攻防演練中的防御思路

現(xiàn)如今傳統(tǒng)基于防火墻的物理邊界的防御已經(jīng)不在能滿足企業(yè)的需求,在此情況下新一代安全以人為中心基于“零信任”的理念的軟件定義邊界(SDP)于2014年由國際云安全聯(lián)盟CSA提出,目前已經(jīng)在國外廣泛成功應(yīng)用,有效地幫助企業(yè)解決上云的安全問題。不僅如此,在攻防演練中基于SDP的防御手段也為防守方提供了一份安全保障。

云深互聯(lián)的CEO陳本峰認(rèn)為:“網(wǎng)絡(luò)安全得本質(zhì)在對(duì)抗,對(duì)抗得本質(zhì)在于攻防兩端得能力較量。只有做到知己知彼才能百戰(zhàn)不殆,在攻防演練中除了要明確自己本身的優(yōu)勢(shì)和劣勢(shì)之外,還需要對(duì)敵方了解透徹,這樣才能通過有針對(duì)性地防御手段和措施進(jìn)行防御。”

做好安全防御,首先要清楚安全威脅的漏洞及威脅在哪里?滲透是黑客發(fā)起攻擊,評(píng)估企業(yè)網(wǎng)絡(luò)資產(chǎn)狀況的重要手段。而企業(yè)也會(huì)進(jìn)行一些滲透測(cè)試,通過于此,了解自身的全部網(wǎng)絡(luò)資產(chǎn)狀態(tài),發(fā)現(xiàn)潛在的隱性安全漏洞和網(wǎng)絡(luò)風(fēng)險(xiǎn)。而滲透測(cè)試作為一種全新的安全防護(hù)手段,讓安全防護(hù)從被動(dòng)轉(zhuǎn)換成主動(dòng),正被越來越多企業(yè)及機(jī)構(gòu)認(rèn)可。如上為攻擊方進(jìn)行滲透攻擊的四個(gè)步驟,也是常見的攻擊手段。如下圖所示:

對(duì)于攻擊方來說,在攻防演練中攻擊方并不會(huì)遵守時(shí)間規(guī)則,活動(dòng)期間可能會(huì)隨時(shí)發(fā)起進(jìn)攻。這對(duì)防守方來說無異于增加了防守的難度,在此情況下,防守方更要及時(shí)的看清攻擊方攻擊的趨勢(shì),有針對(duì)性地建立起自己地防御體系,這樣才有可能做到在整個(gè)活動(dòng)地過程中運(yùn)籌帷幄從容地面對(duì)出現(xiàn)的各種棘手問題。

在紅方進(jìn)行防守之前要明確攻擊方的主要滲透思路和攻擊途徑,這樣才可以真正的做到有計(jì)劃的進(jìn)行防守,進(jìn)一步確保在整個(gè)過程中己方不會(huì)失利。

藍(lán)方的主要攻擊途徑有以下幾點(diǎn):

1、CVE-2019-11510、CVE-2019-11539、CVE-2018-113379、CVE-2018-13383、0-day等漏洞途徑攻擊掃描;

2、企業(yè)領(lǐng)導(dǎo)人、企業(yè)管理者、企業(yè)運(yùn)維管理員、IT技術(shù)人員等高權(quán)限人員進(jìn)行優(yōu)先攻擊;

3、DNS、DHCP、OA、郵件系統(tǒng)、域控、IAM等重要基礎(chǔ)設(shè)施系統(tǒng)攻擊;

4、門戶網(wǎng)站、企業(yè)對(duì)外系統(tǒng)、Github、云上系統(tǒng)、移動(dòng)IOT設(shè)備等資產(chǎn)包露面進(jìn)行掃描攻擊。

針對(duì)藍(lán)方的攻擊思路和途徑,云深互聯(lián)有針對(duì)性地提供了相關(guān)的SDP防御手段。具體包括以下5個(gè)方面:

1、網(wǎng)絡(luò)隱身技術(shù):深云隱盾網(wǎng)關(guān)是服務(wù)器地隱身保護(hù)罩,隱盾默認(rèn)關(guān)閉所有端口,拒絕一切鏈接,讓服務(wù)器“隱身”,任何人都掃描不到。基于SPA協(xié)議已經(jīng)動(dòng)態(tài)防火墻的多層安全防護(hù),只有合法的用戶才可以連接到服務(wù)器。通過“網(wǎng)絡(luò)隱身”技術(shù),減少業(yè)務(wù)系統(tǒng)和深云SDP防御系統(tǒng)在互聯(lián)網(wǎng)暴露面,防止藍(lán)軍進(jìn)行對(duì)暴露面地業(yè)務(wù)系統(tǒng)資產(chǎn)收集和對(duì)深云SDP防御系統(tǒng)進(jìn)行攻擊。

圖: 深云隱盾網(wǎng)關(guān)

2、多因子身份認(rèn)證,通過多角度多方位保護(hù)用戶的合法性,對(duì)員工地安全防御意識(shí)進(jìn)行補(bǔ)充防御,防止社工、弱口令爆破等攻擊手段;

圖: 多因子身份認(rèn)證

3、“按需授權(quán)”確定員工最小權(quán)限,組織藍(lán)方依托員工賬戶進(jìn)行滲透攻擊。深云SDP企業(yè)瀏覽器在使用前需要進(jìn)行用戶身份和設(shè)備的驗(yàn)證,在合法用戶成功登錄瀏覽器之后只能看到自己權(quán)限內(nèi)被授權(quán)的應(yīng)用。

4、行為管控,禁止管理員代碼調(diào)試、打印、復(fù)制、水印等措施,防止員工通過公網(wǎng)瀏覽中被釣魚、泄密風(fēng)險(xiǎn);

圖:行為管控

5、通過瀏覽器數(shù)據(jù)地采集和分析,全局安全大數(shù)據(jù)態(tài)勢(shì)感知,及時(shí)發(fā)現(xiàn)內(nèi)部威脅,提升防御監(jiān)測(cè)能力。

圖: 態(tài)勢(shì)感知

實(shí)踐出真知,安全從來都不是泛泛之談

網(wǎng)絡(luò)攻防演練專項(xiàng)行動(dòng)自推出以來,令各大企業(yè)更加重視網(wǎng)絡(luò)安全問題,不斷增加在網(wǎng)絡(luò)安全建設(shè)方面的投入成本。以期望保護(hù)數(shù)據(jù)資產(chǎn)的安全,做好各類網(wǎng)絡(luò)威脅的應(yīng)對(duì)措施。

云深互聯(lián)作為零信任安全SDP領(lǐng)域的代表性安全廠商,通過深云SDP為多家企業(yè)提供有效的防御體系,致力于讓每一家企業(yè)數(shù)據(jù)安全上云并高效地互聯(lián)互通,助力企業(yè)在攻防演練中做好安全防護(hù)工作,為建設(shè)網(wǎng)絡(luò)安全貢獻(xiàn)自己的一份力量!

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）