实战攻防蓝队视角下的防御体系构建

最编程 2024-06-16 13:41:45

...

声明

本文是学习实战攻防之蓝队视角下的防御体系构建. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

建立实战化的安全体系

安全的对抗是动态的过程。业务在发展，网络在变化，技术在变化，人员在变化，攻击手段也在不断变化。网络安全没有“一招鲜”的方式，需要在日常工作中，不断积累不断创新，不断适应变化。面对随时可能威胁系统的各种攻击，不能临阵磨枪、仓促应对，必须立足根本、打好基础，加强安全建设、优化安全运维，并针对各种攻击事件采取重点防护。蓝队或防守单位不应以“修修补补，哪里出问题堵哪里”的思维来解决问题，而应未雨绸缪，从管理、技术、运行等方面建立实战化的安全体系，有效应对实战环境下的安全挑战。

认证机制逐步向零信任架构演进

从实战攻防对抗的结果来看，传统网络安全边界正在被瓦解，无穷无尽的攻击手段导致单位网络安全防护措施难以起到效果，网络是不可信任的。在这种情况下，应该将关注点从“攻击面”向“保护面”上转移，而零信任安全则是从“保护面”上考虑，提出了解决安全问题，提高防御能力的一种新思路。

零信任安全针对传统边界安全架构思想进行了重新评估和审视，并对安全架构思路给出了新的建议，其核心思想是：默认情况下不应该信任网络内部和外部的任何人、设备和系统，需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行访问控制。

零信任体系会将访问控制权从边界转移到个人设备与用户上，打破传统边界防护思维，建立以身份为信任基础的机制，遵循先验证设备和用户、后访问业务的原则，不再自动信任内部或外部任何人、设备和应用，在授权前对任何试图接入网络和访问业务应用的人、设备或应用都进行验证，并提供动态的细粒度访问控制策略以满足最小权限原则。

零信任体系把防护措施建立在应用层面，构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制，极大地收缩了攻击面。零信任安全在实践机制上拥抱灰度，兼顾难以穷尽的边界情况，最终以安全与易用平衡的持续认证，改进原有固化的一次性强认证，以基于风险和信任持续度量的动态授权替代简单的二值判定静态授权，以开放智能的身份治理优化封闭僵化的身份管理，提升了对内外部攻击和身份欺诈的发现和响应能力。建议单位网络安全基础架构逐步向零信任体系演进。

建立面向实战的纵深防御体系

实战攻防演习的真实对抗表明，攻防是不对称的，通常情况下，攻击只需要撕开一个点，就会有所“收获”，甚至可以通过攻击一个点，拿下一座“城池”；但对于防守工作来说，考虑的却是安全工作的方方面面，仅关注某个或某些防护点，已经满足不了防护需求。实战攻防演习过程中，攻击者或多或少还有些攻击约束要求，但真实的网络攻击则完全无拘无束，与实战攻防演习相比较，真实的网络攻击更加隐蔽而强大。

为应对真实网络攻击行为，仅仅建立合规型的安全体系是远远不够的。随着云计算、大数据、人工智能等新型技术的广泛应用，信息基础架构层面变得更加复杂，传统的安全思路已越来越难以适应安全保障能力的要求。必须通过新思路、新技术、新方法，从体系化的规划和建设角度，建立纵深防御体系架构，整体提升面向实战的防护能力。

从应对实战角度出发，对现有安全架构进行梳理，以安全能力建设为核心思路，面向主要风险重新设计企业整体安全架构，通过多种安全能力的组合和结构性设计形成真正的纵深防御体系，并努力将安全工作前移，确保安全与信息化“三同步”（同步规划、同步建设、同步使用），建立起能够具备实战防护能力、有效应对高级威胁、持续迭代演进提升的安全防御体系。

强化行之有效的威胁监测手段

在实战攻防对抗中，监测分析是发现攻击行为的主要方式，在第一时间发现攻击行为，可为应对和响应处置提供及时支撑，威胁监测手段在防护工作中至关重要。通过对多个单位安全防护工作进行总结分析，威胁监测手段方面存在的问题主要是：

没有针对全流量威胁进行监测，导致分析溯源工作无法开展；
有全流量威胁监测手段，但流量覆盖不完全，存在监测盲区；
只关注网络监测，忽视主机层面的监测，当主机发生异常时不易察觉；
缺乏对邮件安全的监测，使得钓鱼邮件，恶意附件在网络中畅通无阻；
没有变被动为主动，缺乏蜜罐等技术手段，无法捕获攻击、进一步分析攻击行为。

针对上述存在的问题，强化行之有效的威胁监测手段，建立以全流量威胁监测分析为“大脑”，以主机监测、邮件安全监测为“触角”，以蜜罐监测为“陷阱”，以失陷检测为辅助手段的全方位安全监测机制，更加有效地满足实战环境下的安全防守要求。

建立闭环的安全运营模式

分析发现，凡是日常安全工作做得较好的单位，基本都能够在实战攻防演习时较快地发现攻击行为，各部门之间能够按照约定的流程，配合得当、快速完成事件处置，在自身防护能力、人员协同等方面较好地应对攻击。

反之，日常安全工作较差的单位，大多都会暴露出如下问题：很多基础性工作没有开展，缺少相应的技术保障措施，自身防护能力欠缺；日常安全运维不到位，流程紊乱，各部门人员配合难度大。这些问题导致攻击行为不能被及时监测，攻击者来去*；即便是好不容易发现了入侵行为，也往往会因资产归属不清、人员配合不顺畅等因素，造成处置工作进度缓慢。这就给了攻击者大量的可乘之机，最后的结果往往是目标系统轻而易举地被攻陷。

所以，政企机构应进一步做好安全运营工作，建立闭环的安全运营体系：

通过内部威胁预测、外部威胁情报共享、定期开展暴露资产发现、安全检查等工作，实现攻击预测，提前预防的目的；

通过开展安全策略优化、安全基线评估加固、系统上线安全检查、安全产品运行维护等工作，建立威胁防护能力；

通过全流量风险分析、应用失陷检测、渗透测试、蜜罐诱导等手段，对安全事件能进行持续检测，减少威胁停留时间；

通过开展实战攻防演习、安全事件研判分析、规范安全事件处置流程，对安全事件及时进行控制，降低危害影响，形成快速处置和响应机制。

闭环安全运营体系非常重视人的作用。配备专门的人员来完成监控、分析、响应、处置等重要环节的工作，在日常工作中让所有参与人员能够熟悉工作流程、协同作战，使得团队能不断得到强化锻炼，这样在实战时中才能从容面对各类挑战。

安全防御能力的形成并非一蹴而就，单位管理者应重视安全体系建设，建立起“以人员为核心、以数据为基础、以运营为手段”的安全运营模式，逐步形成威胁预测、威胁防护、持续检测、响应处置的闭环安全工作流程，打造“四位一体”的闭环安全运营体系，通过日常网络安全建设和安全运营的日积月累，建立起相应的安全技术、管理、运营体系，形成面向实战的安全防御能力。