本期嘉賓

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問題變得日趨突出和重要,愈演愈烈的網(wǎng)絡(luò)攻擊也成為企業(yè)安全的新挑戰(zhàn)。因此,如何識別網(wǎng)絡(luò)環(huán)境中的各種威脅,并采取有效的措施防范和消除隱患,已成為保證網(wǎng)絡(luò)安全的重點�！毒W(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的頒布,要求各行業(yè)單位和主管部門定期開展應(yīng)急演練,在實戰(zhàn)中及時發(fā)現(xiàn)網(wǎng)絡(luò)架構(gòu)中的風險點,提升企業(yè)網(wǎng)絡(luò)安全監(jiān)測能力和快速應(yīng)急響應(yīng)能力。

演習活動經(jīng)過近幾年的發(fā)展,攻擊方的專業(yè)水平已大幅提高,逐漸呈現(xiàn)出隱秘化、APT化的趨勢。其利用滲透技術(shù)對目標系統(tǒng)做深入探測,不斷挖掘防守方網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié),這就要求防守方構(gòu)建立體式縱深防護體系來抵御入侵。同時,基于攻擊者的多點攻擊,威脅檢測設(shè)備會產(chǎn)生龐大的安全告警事件,防守方需要進行多源融合,將相關(guān)事件利用算法聚類關(guān)聯(lián)分析,并配置自動化的處置能力,以此提高應(yīng)急響應(yīng)效率,避免攻擊者進一步漫延。但防守方僅做到堅守陣地是不可取的,信息的不對等化導致其處于天然的劣勢,如何誘敵深入并溯源攻擊者身份才是得分的關(guān)鍵。綜上所述,防守方在攻防戰(zhàn)役中的主要技戰(zhàn)法可歸納為:縱深防御、網(wǎng)安聯(lián)動、誘捕溯源,以下從這三方面進行闡述防護方案。

縱深防御方案

參照《等級保護制度條例2.0》相關(guān)標準,以“一個中心,三重防御”為指導原則,從安全區(qū)域邊界、安全計算環(huán)境、安全通信網(wǎng)絡(luò)和安全管理中心等方面落實安全保護縱深技術(shù)要求,利用不同區(qū)域、不同層面的安全保護措施形成有機的安全保護體系。同時,圍繞重要區(qū)域和網(wǎng)絡(luò)系統(tǒng)重點布防,切實有效地設(shè)置安全防護措施、監(jiān)控檢查措施和響應(yīng)阻斷措施,多層次阻斷攻擊鏈,增強抵御威脅的能力。

方案設(shè)計思路:

構(gòu)建縱深的防御體系

從“通訊網(wǎng)絡(luò)>區(qū)域邊界>計算環(huán)境”分層落實各種安全防御措施。

采取互補的安全措施

各安全控制措施在層面內(nèi)、間產(chǎn)生協(xié)同關(guān)聯(lián),共同作用于保護對象。

保證一致的安全強度

防止某個層面安全功能的減弱導致整體安全保護能力的削弱。

建立統(tǒng)一的管理平臺

保證各個層面的安全功能在統(tǒng)一的策略管控下實現(xiàn),各安全設(shè)備在可控的條件下發(fā)揮作用。

等級保護方案構(gòu)建縱深安全防御體系,擺脫網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等單點的防護現(xiàn)狀,實現(xiàn)網(wǎng)絡(luò)安全綜合管理,并充分考慮各種技術(shù)的組合和功能的互補性,建立多道安全能力,增加攻擊成本和攻擊難度。

網(wǎng)安聯(lián)動方案

除了構(gòu)建防護能力,對企業(yè)更重要的是如何快速響應(yīng)和處置,最大程度的攔截入侵。自動化的處置能力可以有效阻斷威脅,防止攻擊者進一步入侵探測組網(wǎng)架構(gòu);同時可以減輕現(xiàn)場運維人力投入,降低企業(yè)日常運維成本。

方案設(shè)計思路:

利用邊界防護網(wǎng)關(guān)(防火墻)基于指紋特征匹配及時攔截惡意流量入侵。

利用沙箱對文件進行靜態(tài)和動態(tài)深度檢測,發(fā)現(xiàn)潛在惡意未知威脅。

利用HiSec Insight態(tài)勢感知系統(tǒng)全面感知網(wǎng)絡(luò)資產(chǎn)狀態(tài)、網(wǎng)絡(luò)安全威脅態(tài)勢、通過日志與全流量綜合分析技術(shù)實現(xiàn)完整的網(wǎng)絡(luò)攻擊跟蹤;同時與防火墻聯(lián)動下發(fā)自動處置策略,自動高效攔截惡意攻擊。

自動化的監(jiān)測、檢測、響應(yīng)防護系統(tǒng),可實時監(jiān)控網(wǎng)絡(luò)安全狀態(tài),使得防守方能夠便捷地進行網(wǎng)絡(luò)攻擊事件的關(guān)聯(lián)與研判,大幅提升網(wǎng)絡(luò)安全防御的工作效率,為防守方獲取證據(jù)鏈提供有利條件。

誘捕溯源方案

當前網(wǎng)絡(luò)形勢下,伴隨著僵木蠕病毒的傳播,系統(tǒng)0day漏洞威脅、APT攻擊、社會工程學攻擊等攻擊手法不斷涌現(xiàn),這些攻擊使用傳統(tǒng)基于特征匹配的檢測防御技術(shù)很難有效檢測出。所以,防守方在修繕加固自身堡壘的同時,也逐漸由被動防御向主動防御做轉(zhuǎn)變,通過構(gòu)建欺騙防御系統(tǒng)對攻擊者實施誘捕。

方案設(shè)計思路:

部署內(nèi)網(wǎng)誘捕探針監(jiān)控橫向擴散流量,部署端點誘捕防護能力感知主機層探測行為,擴大蜜網(wǎng)感知面,提高誘捕成功效率。

部署蜜網(wǎng)系統(tǒng)構(gòu)造陷阱混淆黑客攻擊目標,延緩攻擊者對真實網(wǎng)絡(luò)的探測,同時結(jié)合攻擊反制和攻擊溯源精確獲取黑客的網(wǎng)絡(luò)身份和指紋信息,以便對其進行攻擊者取證分析。

部署HiSec Insight態(tài)勢感知系統(tǒng)根據(jù)誘捕系統(tǒng)告警信息關(guān)聯(lián)分析,判定、呈現(xiàn)威脅狀況,下發(fā)決策給SecoManager控制器聯(lián)動防火墻處置閉環(huán)。

防守方利用蜜網(wǎng)系統(tǒng)詳細記錄攻擊者行為細節(jié),高效捕獲攻擊者源IP、設(shè)備指紋和網(wǎng)絡(luò)身份,快速進行身份溯源甚至反制。同時,配置蜜罐聯(lián)動HiSec Insight態(tài)勢感知系統(tǒng),實現(xiàn)統(tǒng)一分析、自動聯(lián)動處置閉環(huán)。

結(jié)束語

本文介紹了在攻防演練中常用的三個防御方案,企業(yè)應(yīng)針對攻防演練的實戰(zhàn)結(jié)果進行科學總結(jié),對發(fā)現(xiàn)的安全風險及時整改,結(jié)合自身的系統(tǒng)情況和業(yè)務(wù)特點,有效提升網(wǎng)絡(luò)安全保障能力。同時還需要不斷強化全員安全意識,加強各部門之間協(xié)作,逐步優(yōu)化完善自身安全防護體系,確保網(wǎng)絡(luò)安全防護能力最大化。