本期嘉賓

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問(wèn)題變得日趨突出和重要,愈演愈烈的網(wǎng)絡(luò)攻擊也成為企業(yè)安全的新挑戰(zhàn)。因此,如何識(shí)別網(wǎng)絡(luò)環(huán)境中的各種威脅,并采取有效的措施防范和消除隱患,已成為保證網(wǎng)絡(luò)安全的重點(diǎn)�！毒W(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的頒布,要求各行業(yè)單位和主管部門(mén)定期開(kāi)展應(yīng)急演練,在實(shí)戰(zhàn)中及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)架構(gòu)中的風(fēng)險(xiǎn)點(diǎn),提升企業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)能力和快速應(yīng)急響應(yīng)能力。

演習(xí)活動(dòng)經(jīng)過(guò)近幾年的發(fā)展,攻擊方的專(zhuān)業(yè)水平已大幅提高,逐漸呈現(xiàn)出隱秘化、APT化的趨勢(shì)。其利用滲透技術(shù)對(duì)目標(biāo)系統(tǒng)做深入探測(cè),不斷挖掘防守方網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié),這就要求防守方構(gòu)建立體式縱深防護(hù)體系來(lái)抵御入侵。同時(shí),基于攻擊者的多點(diǎn)攻擊,威脅檢測(cè)設(shè)備會(huì)產(chǎn)生龐大的安全告警事件,防守方需要進(jìn)行多源融合,將相關(guān)事件利用算法聚類(lèi)關(guān)聯(lián)分析,并配置自動(dòng)化的處置能力,以此提高應(yīng)急響應(yīng)效率,避免攻擊者進(jìn)一步漫延。但防守方僅做到堅(jiān)守陣地是不可取的,信息的不對(duì)等化導(dǎo)致其處于天然的劣勢(shì),如何誘敵深入并溯源攻擊者身份才是得分的關(guān)鍵。綜上所述,防守方在攻防戰(zhàn)役中的主要技戰(zhàn)法可歸納為:縱深防御、網(wǎng)安聯(lián)動(dòng)、誘捕溯源,以下從這三方面進(jìn)行闡述防護(hù)方案。

縱深防御方案

參照《等級(jí)保護(hù)制度條例2.0》相關(guān)標(biāo)準(zhǔn),以“一個(gè)中心,三重防御”為指導(dǎo)原則,從安全區(qū)域邊界、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)和安全管理中心等方面落實(shí)安全保護(hù)縱深技術(shù)要求,利用不同區(qū)域、不同層面的安全保護(hù)措施形成有機(jī)的安全保護(hù)體系。同時(shí),圍繞重要區(qū)域和網(wǎng)絡(luò)系統(tǒng)重點(diǎn)布防,切實(shí)有效地設(shè)置安全防護(hù)措施、監(jiān)控檢查措施和響應(yīng)阻斷措施,多層次阻斷攻擊鏈,增強(qiáng)抵御威脅的能力。

方案設(shè)計(jì)思路:

構(gòu)建縱深的防御體系

從“通訊網(wǎng)絡(luò)>區(qū)域邊界>計(jì)算環(huán)境”分層落實(shí)各種安全防御措施。

采取互補(bǔ)的安全措施

各安全控制措施在層面內(nèi)、間產(chǎn)生協(xié)同關(guān)聯(lián),共同作用于保護(hù)對(duì)象。

保證一致的安全強(qiáng)度

防止某個(gè)層面安全功能的減弱導(dǎo)致整體安全保護(hù)能力的削弱。

建立統(tǒng)一的管理平臺(tái)

保證各個(gè)層面的安全功能在統(tǒng)一的策略管控下實(shí)現(xiàn),各安全設(shè)備在可控的條件下發(fā)揮作用。

等級(jí)保護(hù)方案構(gòu)建縱深安全防御體系,擺脫網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等單點(diǎn)的防護(hù)現(xiàn)狀,實(shí)現(xiàn)網(wǎng)絡(luò)安全綜合管理,并充分考慮各種技術(shù)的組合和功能的互補(bǔ)性,建立多道安全能力,增加攻擊成本和攻擊難度。

網(wǎng)安聯(lián)動(dòng)方案

除了構(gòu)建防護(hù)能力,對(duì)企業(yè)更重要的是如何快速響應(yīng)和處置,最大程度的攔截入侵。自動(dòng)化的處置能力可以有效阻斷威脅,防止攻擊者進(jìn)一步入侵探測(cè)組網(wǎng)架構(gòu);同時(shí)可以減輕現(xiàn)場(chǎng)運(yùn)維人力投入,降低企業(yè)日常運(yùn)維成本。

方案設(shè)計(jì)思路:

利用邊界防護(hù)網(wǎng)關(guān)(防火墻)基于指紋特征匹配及時(shí)攔截惡意流量入侵。

利用沙箱對(duì)文件進(jìn)行靜態(tài)和動(dòng)態(tài)深度檢測(cè),發(fā)現(xiàn)潛在惡意未知威脅。

利用HiSec Insight態(tài)勢(shì)感知系統(tǒng)全面感知網(wǎng)絡(luò)資產(chǎn)狀態(tài)、網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、通過(guò)日志與全流量綜合分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊跟蹤;同時(shí)與防火墻聯(lián)動(dòng)下發(fā)自動(dòng)處置策略,自動(dòng)高效攔截惡意攻擊。

自動(dòng)化的監(jiān)測(cè)、檢測(cè)、響應(yīng)防護(hù)系統(tǒng),可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài),使得防守方能夠便捷地進(jìn)行網(wǎng)絡(luò)攻擊事件的關(guān)聯(lián)與研判,大幅提升網(wǎng)絡(luò)安全防御的工作效率,為防守方獲取證據(jù)鏈提供有利條件。

誘捕溯源方案

當(dāng)前網(wǎng)絡(luò)形勢(shì)下,伴隨著僵木蠕病毒的傳播,系統(tǒng)0day漏洞威脅、APT攻擊、社會(huì)工程學(xué)攻擊等攻擊手法不斷涌現(xiàn),這些攻擊使用傳統(tǒng)基于特征匹配的檢測(cè)防御技術(shù)很難有效檢測(cè)出。所以,防守方在修繕加固自身堡壘的同時(shí),也逐漸由被動(dòng)防御向主動(dòng)防御做轉(zhuǎn)變,通過(guò)構(gòu)建欺騙防御系統(tǒng)對(duì)攻擊者實(shí)施誘捕。

方案設(shè)計(jì)思路:

部署內(nèi)網(wǎng)誘捕探針監(jiān)控橫向擴(kuò)散流量,部署端點(diǎn)誘捕防護(hù)能力感知主機(jī)層探測(cè)行為,擴(kuò)大蜜網(wǎng)感知面,提高誘捕成功效率。

部署蜜網(wǎng)系統(tǒng)構(gòu)造陷阱混淆黑客攻擊目標(biāo),延緩攻擊者對(duì)真實(shí)網(wǎng)絡(luò)的探測(cè),同時(shí)結(jié)合攻擊反制和攻擊溯源精確獲取黑客的網(wǎng)絡(luò)身份和指紋信息,以便對(duì)其進(jìn)行攻擊者取證分析。

部署HiSec Insight態(tài)勢(shì)感知系統(tǒng)根據(jù)誘捕系統(tǒng)告警信息關(guān)聯(lián)分析,判定、呈現(xiàn)威脅狀況,下發(fā)決策給SecoManager控制器聯(lián)動(dòng)防火墻處置閉環(huán)。

防守方利用蜜網(wǎng)系統(tǒng)詳細(xì)記錄攻擊者行為細(xì)節(jié),高效捕獲攻擊者源IP、設(shè)備指紋和網(wǎng)絡(luò)身份,快速進(jìn)行身份溯源甚至反制。同時(shí),配置蜜罐聯(lián)動(dòng)HiSec Insight態(tài)勢(shì)感知系統(tǒng),實(shí)現(xiàn)統(tǒng)一分析、自動(dòng)聯(lián)動(dòng)處置閉環(huán)。

結(jié)束語(yǔ)

本文介紹了在攻防演練中常用的三個(gè)防御方案,企業(yè)應(yīng)針對(duì)攻防演練的實(shí)戰(zhàn)結(jié)果進(jìn)行科學(xué)總結(jié),對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)及時(shí)整改,結(jié)合自身的系統(tǒng)情況和業(yè)務(wù)特點(diǎn),有效提升網(wǎng)絡(luò)安全保障能力。同時(shí)還需要不斷強(qiáng)化全員安全意識(shí),加強(qiáng)各部門(mén)之間協(xié)作,逐步優(yōu)化完善自身安全防護(hù)體系,確保網(wǎng)絡(luò)安全防護(hù)能力最大化。