攻防演练前期
卡巴斯基实验室和B2B International调查报告曾指出,“IT安全中的人为因素:员工如何让企业更容易遭受攻击”,全球有40%的企业存在员工隐藏IT安全事故的情况。每年,有46%的IT安全事故是由企业员工造成的。
SolarWinds发布的网络安全调查报告显示,相比起外围因素,内部因素对网络安全有更大威胁。
在所有的网络安全意外中,超过六成(65%)是由内部人员的失误而引致意外,其次有四成(43%)意外则由外来威胁所导致。
开展“攻防行动”可以检验企事业单位关键信息基础设施安全防护能力,提升网络安全应急处置队伍应对能力,完善应急处置流程和工作机制,提升安全事件应急处置综合能力水平。
此外可帮助内部人员加深对网络安全的认知,了解攻击者的攻击方式和带来危害,降低企业内部网络安全隐患。
一、攻防前期准备 -- 常见安全隐患
网络安全中常见的安全隐患涵盖了各个层面和方面,从应用程序到基础设施,都存在着不同类型的威胁和风险。以下是一些常见的网络安全隐患:
【弱口令和默认凭证】:使用弱密码或默认凭证(如默认用户名和密码)的帐户容易受到攻击者的入侵。攻击者可以利用猜测、字典攻击等方式获取凭证并访问系统。【未修补的漏洞】:操作系统、应用程序和第三方软件中的未修补漏洞可能被攻击者利用。不及时应用安全补丁使系统容易受到已知攻击的影响。【社交工程】:攻击者可能通过欺骗和误导技术,诱使用户泄露敏感信息、密码或访问权限,从而入侵系统。【恶意软件和病毒】:恶意软件,如病毒、蠕虫和木马程序,可以通过操纵系统和数据来造成损害,甚至窃取敏感信息。【钓鱼攻击】:钓鱼攻击通过冒充合法实体的方式,欺骗用户点击恶意链接、下载附件或提供敏感信息。【拒绝服务(DDoS)攻击】:攻击者通过发送大量流量或请求来淹没网络、服务器或服务,导致正常用户无法访问。【数据泄露】:敏感数据的未加密传输、存储不当或未经授权访问可能导致数据泄露。【身份盗窃】:攻击者可能盗取用户凭证、个人身份信息或支付信息,然后冒充用户进行恶意活动。【移动设备安全】:未加密的移动设备、应用程序漏洞和不安全的Wi-Fi连接可能导致数据泄露或未经授权访问。【缺乏访问控制】:不恰当的权限分配和访问控制设置可能导致未经授权的用户或攻击者访问敏感信息。【内部威胁】:内部员工或合作伙伴可能滥用权限,泄露数据或执行恶意操作。【无线网络安全】:不安全的Wi-Fi网络可能容易受到中间人攻击、数据嗅探和破解。【物联网(IoT)漏洞】:物联网设备可能存在弱点,攻击者可以利用这些弱点入侵网络或获取信息。【缺乏安全意识】:缺乏员工和用户的安全意识和培训可能导致不小心的安全违规行为。【缺乏监控和审计】:缺乏网络流量监控、安全审计和事件响应能力可能导致攻击未被发现。
综上所述,网络安全隐患多种多样,保护网络免受威胁的关键在于采取综合性的安全措施,包括使用安全工具、强化访问控制、定期审查漏洞和实施安全意识培训。
二 、攻防前期准备 -- 防守组织组成
三、攻防前期准备 -- 提前入场
3.1 前期准备 -- 内外网资产盘点
3.2 前期准备--已知隐患整改
3.3 前期准备--脆弱性自查
3.4 前期准备--能力提升及纳管
3.5 前期准备--7×24 安全监测与响应
3.6 前期准备--重点系统的安全加固
3.7 前期准备--安全意识提升
3.8 HVV前期准备--“四方”管理
3.9 HVV前期准备--安全域隔离
攻防中期--告警好多
一、演练中期防守 -- 组织建立
按照工作要求,“攻防”专项行动应由公司信息安全领导小组进行统筹领导与重大事项决策部署,结合网络与信息安全责任体系,充分调动公司资源力量,强化手段能力应用,做到守土有责、守土有方、守土尽责。
为承接集团或上级单位指挥部具体工作部署,成立分指挥部,下设5个工作组。及时全面做好本单位各项工作,贯彻落实集团或上级单位专项行动工作要求,确保网络安全平稳运行,加强各专项任务和要求的快速接应实施。
【分指挥部】:负责演习的领导、决策与指挥,承接落实集团工作任务和要求,应由公司级领导负责指挥长;
【综合保障组】:落实分指挥部工作要求,对接总指挥部的要求与工作,每日工作汇总与总结,威胁上报,预警通告,协同统筹各组值班和沟通工作,负责HW期间后勤保障,特殊管控等工作;
【监控分析组】:利用安全平台和工具开展7×24小时监测分析;初步研判,拉动专家研判组对安全事件研判溯源;
【应急处置组】:负责7×24小时应急响应及处置,再检查加固组配合下进行修复加固;突发事件的应急处置;
【溯源研判组】:备战阶段- 安全事件研判溯源,实战阶段-开展攻击溯源及事件研判,拉动应急处置组进行应急响应;
【检查加固组】:负责巡检业务设备的运行状态,负责备战阶段工作项清零,重保常态化工作持续开展,针对0day、1day、Nday漏洞,开展信息收集、漏洞自查、紧急加固等工作。
二、组织角色职责 -- 综合保障组
【职责】:向上向外对接、后勤保障、协调支撑,确保行动期间综合工作有序支撑、保障
支撑其余各组的工作,将重要数据进行汇总统一管理,制定日报、周报、分指挥部令和专项汇报材料,向分指挥部汇报或各部门发布通知。负责将已核实的安全问题整理后,将修复通知下发各组织和各部门,并实时上报给分指挥部。保障指挥作战室物资、网络、工具、信息等,确保演习过程稳定持续开展。根据指挥部要求,按需对演习中发生的各类事件发令通报。记录演习的整个进展情况,便于后续演习的优化和改进。针对已发生的安全事件,协调相关专家进行支撑,协助相关人员开展研判、取证、溯源、扫描、加固等。负责其他后勤工作,例如:组织远程会议,现场办公场所等。
三、组织角色职责 -- 监控分析组
【职责】:针对内外网监控平台做好实时监控,及时发现/上报各类网络安全事件
利用已有安全平台和工具对业务系统开展7×24小时监测分析。负责对发现的告警事件进行初步研判分析。对初步分析结果为威胁攻击的事件下发到溯源研判组进行二次研判。负责将发现的重大安全事件上报到综合保障组。负责配合溯源研判组填写安全事件处置报告。负责将每日的监控分析结果整合形成日报进行上报。
四、组织角色职责 -- 应急处置组
【职责】:负责期间发生的安全事件进行应急处置,避免进一步扩散影响
---负责对溯源研发组下发的安全事件进行应急响应1)接收告警信息开展溯源并确认资产及责任人。2)开展业务侧封禁和网络侧封禁。3)针对客户资产,通知客户自查整改。---负责对溯源研判组已确定的攻击事件进行处置1)接收告警信息,定位资产。2)紧急情况下关停、断网。3)登录设备/平台进行取证、溯源、安全扫描、加固处置。---负责编写安全事件处置报告,并上报给综合保障组。
五、组织角色职责-溯源研判组
【职责】:期间,针对下发的攻击事件进行研判分析、影响评估,给出相应处置意见与研判结果
负责对监控分析组下发的告警事件进行二次研判,提供研判结果。负责归纳总结相同攻击流量特点,反馈至监控分析组。负责对攻击事件中提取关键信息,溯源攻击流量和复原攻击路径。负责对确定的安全事件分析上报威胁信息风险等级,制定相应的分析处置方案,下发给应急处置组。负责及时协调应急处置组联合运维条线、业务条线封堵入侵攻击源。分析研判组应将监测上报威胁信息对应研判决策上报综合保障组进行信息决策。
六、组织角色职责-检查加固组
【职责】:负责期间巡检业务设备的运行状态,确保业务系统的正常运行
---负责hw期间的业务系统日常巡检1)设备是否正常运行。2)设备健康度(CPU、内存、存储等)是否正常。3)安全日志是否存在异常。4)登录日志是否存在异常。---负责hw期间对应用系统的查漏补缺1)备战阶段工作项清零。2)重保常态化工作持续开展。---负责应对0day、1day、Nday漏洞1)开展相关漏洞的信息搜集工作。2)组织开展针对0、1、Nday漏洞的漏洞扫描工作。3)针对设计的业务系统开展紧急加固处置。
七、售前技术
汇总该厂商溯源事件报告编写。汇总该厂商应急事件报告编写。汇总失陷事件的输出,编写验证验证流程,还原攻击路径和漏洞暴露点。编写技战法,提交报告进行加分;提升排名竞争。
常见处置流程
参考文献 Loren麟
原创 红紫蓝攻防实验室
