logo资料库

实战攻防之蓝队视角下的防御体系构建.docx

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.32M 资料格式:docx 举报 版权申诉
第1页 / 共22页
第2页 / 共22页
第3页 / 共22页
第4页 / 共22页
第5页 / 共22页
第6页 / 共22页
第7页 / 共22页
第8页 / 共22页
资料共22页,剩余部分请下载后查看
    第一章什么是蓝队
    第二章蓝队三步走——防守的三个阶段
    一、备战阶段——不打无准备之仗
    二、实战阶段——全面监测及时处置
    三、战后整顿——实战之后的改进
    第三章蓝队应对攻击的常用策略
    一、防微杜渐:防范被踩点
    二、收缩战线:收敛攻击面
    三、纵深防御:立体防渗透
    四、守护核心:找到关键点
    五、洞若观火:全方位监控
    第四章建立实战化的安全体系
    一、认证机制逐步向零信任架构演进
    二、建立面向实战的纵深防御体系
    三、强化行之有效的威胁监测手段
    四、建立闭环的安全运营模式
    附录 奇安信蓝队能力及攻防实践
    实战攻防演习之 蓝队视角下的防御体系构建 奇安信安服团队 2019.8
    前 言 网络实战攻防演习,是新形势下关键信息系统网络安全保护 工作的重要组成部分。演习通常是以实际运行的信息系统为保护 目标,通过有监督的攻防对抗,最大限度地模拟真实的网络攻击, 以此来检验信息系统的实际安全性和运维保障的实际有效性。 2016 年以来,在国家监管机构的有力推动下,网络实战攻 防演习日益得到重视,演习范围越来越广,演习周期越来越长, 演习规模越来越大。国家有关部门组织的全国性网络实战攻防演 习从 2016 年仅有几家参演单位,到 2019 年已扩展到上百家参演 单位;同时各省、各市、各行业的监管机构,也都在积极地筹备 和组织各自管辖范围内的实战演习。一时间,网络实战攻防演习 遍地开花。 在演习规模不断扩大的同时,攻防双方的技术水平和对抗能 力也在博弈中不断升级。 2016 年,网络实战攻防演习尚处于起步阶段,攻防重点大 多集中于互联网入口或内网边界。 2017 年,实战攻防演习开始与重大活动的网络安全保障工 作紧密结合。就演习成果来看,从互联网侧发起的直接攻击仍然 普遍十分有效;而系统的外层防护一旦被突破,横向移动、跨域 攻击,往往都比较容易实现。 2018 年,网络实战攻防演习开始向行业和地方深入。伴随 着演习经验的不断丰富和大数据安全技术的广泛应用,防守方对 攻击行为的监测、发现和溯源能力大幅增强,与之相应的,攻击 队开始更多地转向精准攻击和供应链攻击等新型作战策略。 2019 年以来.网络实战攻防演习工作受到了监管部门、政
    企机构和安全企业的空前重视。流量分析、EDR、蜜罐、白名单 等专业监测与防护技术被防守队广泛采用。攻击难度的加大也迫 使攻击队全面升级,诸如 0day 漏洞攻击、1day 漏洞攻击、身份 仿冒、钓鱼 WiFi、鱼叉邮件、水坑攻击等高级攻击手法,在实 战攻防演练中均已不再罕见,攻防演习与网络实战的水平更加接 近。 如何更好地参与网络实战攻防演习?如何更好地借助实战 攻防演习提升自身的安全能力?这已经成为大型政企机构运营 者关心的重要问题。 作为国内领先的网络安全企业,奇安信集团已成为全国各类 网络实战攻防演习的主力军。奇安信集团安服团队结合 200 余次 实战攻防演习经验,总结编撰了这套实战攻防演习系列丛书,分 别从红队视角、蓝队视角和紫队视角,来解读网络实战攻防演习 的要领,以及如何结合演习提升政企机构的安全能力。 需要说明的是,实战攻防演习中的红方与蓝方对抗实际上是 沿用了军事演习的概念和方法,一般来说,红方与蓝方分别代表 攻击方与防守方。不过,红方和蓝方的名词定义尚无严格的规定, 也有一些实际的攻防演习,将蓝队设为攻击队、将红队设为防守 队。在本系列丛书中,我们依据绝大多数网络安全工作者的习惯, 统一将攻击队命名为红队,将防守队命名为蓝队,而紫队则代表 组织演练的机构。 《蓝队视角下的防御体系构建》是本系列丛书的第二本。本 书希望通过归纳总结蓝队防御的三个阶段、应对攻击的常用策略, 以及建立实战化的安全体系的基本方法,帮助政企机构弥补薄弱 环节,更好地提升演习水平,构筑更有效的安全防御体系。
    目 录 第一章 什么是蓝队...................................................................................1 第二章 蓝队三步走——防守的三个阶段.........................................3 一、 备战阶段——不打无准备之仗................................................. 3 二、 实战阶段——全面监测及时处置.............................................4 三、 战后整顿——实战之后的改进................................................. 5 第三章 蓝队应对攻击的常用策略.......................................................7 一、 防微杜渐:防范被踩点...............................................................7 二、 收缩战线:收敛攻击面...............................................................7 三、 纵深防御:立体防渗透...............................................................9 四、 守护核心:找到关键点............................................................ 11 五、 洞若观火:全方位监控............................................................ 11 第四章 建立实战化的安全体系.........................................................13 一、 认证机制逐步向零信任架构演进.......................................... 13 二、 建立面向实战的纵深防御体系...............................................14 三、 强化行之有效的威胁监测手段...............................................15 四、 建立闭环的安全运营模式........................................................16 附录 奇安信蓝队能力及攻防实践........................................................18
    第一章 什么是蓝队 蓝队,一般是指网络实战攻防演习中的防守一方。 蓝队一般是以参演单位现有的网络安全防护体系为基础,在 实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期安 全检查、整改与加固,演习期间进行网络安全监测、预警、分析、 验证、处置,后期复盘总结现有防护工作中的不足之处,为后续 常态化的网络安全防护措施提供优化依据。 实战攻防演习时,蓝队通常会在日常安全运维工作的基础上, 以实战思维进一步加强安全防护措施、提升管理组织规格、扩大 威胁监控范围、完善监测与防护手段、增加安全分析频率、提高 应急响应速度,提升防守能力。 特别需要说明的是:蓝队并不仅仅由实战演习中目标系统运 营单位一家独立承担,而是由目标系统运营单位、攻防专家、安 全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防 守队伍。 下面是组成蓝队的各个团队在演习中的角色与分工情况: 目标系统运营单位:负责蓝队整体的指挥、组织和协调; 安全运营团队:负责整体防护和攻击监控工作; 攻防专家:负责对安全监控中发现的可疑攻击进行分析研判, 指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系 列工作; 安全厂商:负责对自身产品的可用性、可靠性和防护监控策 © 奇安信集团 第 1 页,共 22 页
    略是否合理进行调整; 软件开发商:负责对自身系统安全加固、监控和配合攻防专 家对发现的安全问题进行整改; 网络运维队伍:负责配合安全专家对网络架构安全、出口整 体优化、网络监控、溯源等工作; 云提供商(如有):负责对自身云系统安全加固,以及对云 上系统的安全性进行监控,同时协助攻防专家对发现的问题进行 整改。 某些情况下,还会有其他组成人员,这需要根据实际情况具 体分配工作。 特别的,作为蓝队,了解对手(红队)非常重要。知彼才能 知己。从攻击者角度出发,了解攻击者的思路与打法,了解攻击 者思维,并结合本单位实际网络环境、运营管理情况,制定相应 的技术防御和响应机制,才能在防守过程中争取主动权。
    第二章 蓝队三步走——防守的三个阶段 在实战环境下的防护工作,无论是面对常态化的一般网络攻 击,还是面对有组织、有规模的高级攻击,对于防护单位而言, 都是对其网络安全防御体系的直接挑战。在实战环境中,蓝队需 要按照备战、实战和战后三个阶段来开展安全防护工作。 一、 备战阶段——不打无准备之仗 在实战攻防工作开始之前,首先应当充分地了解自身安全防 护状况与存在的不足,从管理组织架构、技术防护措施、安全运 维处置等各方面能进行安全评估,确定自身的安全防护能力和工 作协作默契程度,为后续工作提供能力支撑。这就是备战阶段的 主要工作。 在实战攻防环境中,我们往往会面临技术、管理和运营等多 方面限制。技术方面:基础能力薄弱、安全策略不当和安全措施 不完善等问题普遍存在;管理方面:制度缺失,职责不明,应急 响应机制不完善等问题也很常见;运营方面:资产梳理不清晰、 漏洞整改不彻底、安全监测分析与处置能力不足等问题随处可见。 这些不足往往会导致整体防护能力存在短板,对安全事件的监测、 预警、分析和处置效率低下。 针对上述情况,蓝队在演习之前,需要从以下几个方面进行 准备与改进: 1) 技术方面 为了及时发现安全隐患和薄弱环节,需要有针对性地开展自 查工作,并进行安全整改加固,内容包括系统资产梳理、安全基 © 奇安信集团 第 3 页,共 22 页
    线检查、网络安全策略检查、Web 安全检测、关键网络安全风险 检查、安全措施梳理和完善、应急预案完善与演练等。 2) 管理方面 一是建立合理的安全组织架构,明确工作职责,建立具体的 工作小组,同时结合工作小组的责任和内容,有针对性地制定工 作计划、技术方案及工作内容,责任到人、明确到位,按照工作 实施计划进行进度和质量把控,确保管理工作落实到位,技术工 作有效执行。 二是建立有效的工作沟通机制,通过安全可信的即时通讯工 具建立实战工作指挥群,及时发布工作通知,共享信息数据,了 解工作情况,实现快速、有效的工作沟通和信息传递。 3) 运营方面 成立防护工作组并明确工作职责,责任到人,开展并落实技 术检查、整改和安全监测、预警、分析、验证和处置等运营工作, 加强安全技术防护能力。完善安全监测、预警和分析措施,建立 完善的安全事件应急处置机构和可落地的流程机制,提高事件的 处置效率。 同时,所有的防护工作包括预警、分析、验证、处置和后续 的整改加固都必须以监测发现安全威胁、漏洞隐患为前提才能开 展。其中,全流量安全威胁检测分析系统是防护工作的重要关键 节点,并以此为核心,有效地开展相关防护工作。 二、 实战阶段——全面监测及时处置 攻守双方在实战阶段正式展开全面对抗。防护方须依据备战
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料