网络攻防红队蓝队_网络攻防演练红蓝队

hacker|
180

渗透测试和攻防演练的区别

区别是一个是模拟,一个是实战。红蓝队对抗便是针对此方面的测试。红蓝队对抗是以蓝队模拟真实攻击,红队负责防御(与国外刚好相反),最终的结果是攻防双方都会有进步。

红蓝队对抗能挖掘出渗透测试中所没注意到风险点,并且能持续对抗,不断提升企业系统的安全防御能力。因内部技术人员对自身网络状况比较了解,所以一般红蓝队对抗会选用内部企业人员。

渗透测试,是通过模拟黑客攻击行为,评估企业网络资产的状况。通过渗透测试,企业及机构可以了解自身全部的网络资产状态,可以从攻击角度发现系统存在的隐性安全漏洞和网络风险,有助于进一步企业构建网络安全防护体系。

渗透测试结束后,企业还可以了解自身网络系统有无合法合规、遵从相关安全条例。渗透测试作为一种全新的安全防护手段,让安全防护从被动转换成主动,正被越来越多企业及机构认可。

云计算产业进入“软实力”竞争时代,得安全者得“天下”

近年来,在政府推动和市场需求双重影响下,云计算产业在我国加速发展。据中国信息通信研究院的数据显示,2018年中国云计算产业规模达到962.8亿元;预计未来几年将保持稳定、高速增长,到2022年市场规模将达到2902.9亿元。

在全球智能化浪潮的背景下,信息技术驱动产业升级的同时也带来了更为严峻的安全威胁和挑战。恶意程序猛增并越来越多地针对商业目标发起攻击;未知威胁带来的危害程度持续升级;黑灰产开始应用AI等新兴技术提升攻击能力和效率;DDoS攻击事件频繁出现,规模越来越大。

《2019年DDoS威胁报告》显示,2019年,DDoS攻击次数出现小幅回落趋势,但大流量攻击形势依然严峻。自2018年业界发现1.94 Tbps的峰值之后,DDoS攻击进入Tb级已不是偶发事件。

面对日益复杂的安全环境,传统软硬件的安全防护体系和模式开始力不从心。腾讯研究院发布的《2020产业安全报告》指出,云计算时代的安全问题呈现出系统性和全球性的新特点,安全正被提升到前所未有的重要程度。

随着各行各业的数字化程度不断加深,产业互联网面临的安全威胁更加隐蔽、复杂,更具破坏性。安全已成为企业的生命线,关乎企业生存。一旦企业的用户数据被黑客窃取,不仅股价、利润会受到巨大影响,还可能引发巨大的用户信任危机,给企业带来持续损害;同时,安全还关乎企业发展,数字化贯穿企业研发、生产、流通、服务等全过程,无不涉及安全需求,安全已经逐渐成为企业的核心竞争力之一。可以说安全不仅是企业发展的“底线”,更将成为制约企业发展的“天花板”。

云计算产业依靠先发优势、广告洗脑、低价竞争等方式粗暴获得市场份额的时代已经过去, 依靠技术实力、服务能力、生态协同等“软实力”获得市场的“下半场”正在开启,而云服务商的安全能力就成为了获取增量市场、经营存量市场的关键要素之一。

面对人口红利见顶、市场增长遭遇瓶颈、服务效能急需提升等诸多挑战,我国金融、零售、工业、交通、政务、医疗等行业纷纷上云,希望通过数字化转型实现降本增效、优化服务的目标。但在汹涌来袭的安全威胁面前,大量传统企业既不具备完善、坚固的安全防御体系,也没有足够的成本投入到安全运营和安全人才储备当中,可以说“痛点”多多。

一是安全成本控制不易。一方面,改造成本高昂,老旧的设备、流程形成了难以维护管理的“蜘蛛网”,大批量的数据迁移需要投入的技术与成本相当高。另一方面,运维成本高企,网络安全产品和服务价格与企业营收不匹配,尤其对于中小企业而言,资金投入更为困难。

二是安全能力薄弱。传统安全防护手段落后,不足以应对新型的攻击手段和日渐复杂的网络环境,数据孤岛、信息孤岛状况依然严重。未来随着政务服务、智慧城市、行业监管等领域的发展以及信息一体化需求的持续提升,企业对于数据全生命周期安全能力的需求将更加迫切。

三是安全技术升级换代加速。以数据为中心的安全技术需求加大,产业互联网技术创新促使安全技术随之升级,云安全、移动安全、物联网安全等多种技术的应用也对安全提出全新挑战。

四是安全实施效率有待提升。产业互联网安全的未来发展不是单方面切入就可以解决的,关键还需要多方共同发力。目前中国网络安全的投入较发达国家仍有较大提升空间。对于企业而言,网络安全的实施效率取决于战略层、决策层、实施层全方位意识,任何一层意愿的缺失均有可能阻碍网络安全实施效果。

五是安全人才缺位。产业互联网时代新增的安全需求以及更精细的安全分工,需要更为巨大的安全人才资源支持。但目前,我国网络安全人才培养与行业需求严重脱钩,缺口巨大。

面对诸多痛点,企业如何在上云过程中低成本、高效率地建设自身安全防御体系和安全运营能力?目前领先的云服务商已经给出了解题之法。以近年来致力于云上安全建设的腾讯云为例,可以一窥何为“安全的云”,以及如何在“万云汇聚”的下半场建立起云上网络安全的“第一道防线”。

作为一家云厂商,首先要具备运营大规模基础设施的经验,才能持续提供高速、稳定、安全的云服务。据了解,目前腾讯全网服务器总量已超过100万台,带宽峰值突破100T,基础设施覆盖全球五大洲25个地区。

专利是反映企业 科技 水平和竞争力的重要指标。知识产权出版社i智库发布发布的《中国互联网云技术专利分析报告》显示,截止2019年12月,腾讯公司云技术专利申请量达到4899件,专利申请量、授权量、有效专利数量、专利价制度等均排名首位,发明人团队规模达到5948人。 在云技术细分领域,腾讯在安全、大数据等多个维度保持行业第一,其中在安全领域的专利申请数量达到1599件,领先第二名高达32%。

威胁情报被视为网络攻防的第一关卡和预知风险的“警报器”。拥有20余年网络安全经验的腾讯云,结合多年与黑灰产对抗经验,可对海量安全数据进行过滤和自动识别,形成威胁情报库。在某次大型网络攻防演练活动中,腾讯云曾依托威胁情报中心,成功阻断主动攻击3万余次,分析上报安全事件上千次,检测到新型网络攻击数十次。

攻防能力是安全技术硬实力的体现,包括了对云上漏洞的挖掘和收集、突发事件的紧急响应、对黑客攻击的溯源等。腾讯云的安全攻防团队,在内部采取红蓝对抗的方式,不断磨练提高团队的攻防技术、收集云上的安全漏洞。

AI+大数据的能力则为云上业务安全提供了更多保障。蒙牛就曾在2018年世界杯期间,依托腾讯云的黑灰产大数据、AI风控模型,实现精准识别、实时判断和分级处理三层营销风控保障,快、准、狠地拒绝了“羊毛党”的掠夺。

云计算打破了传统的网络防护边界,一家企业或机构的安全规划与建设,很难由单一一家安全企业提供完整技术能力来解决。伴随产业互联网的发展,以及增量安全需求的复杂性,加快安全生态协同共建已经迫在眉睫。为此,腾讯过去几年来一直在倡导构建安全生态,集多方之力推动行业协同发展。

据了解,目前腾讯与合作伙伴共同打造的安全联合解决方案超过20个,这些联合解决方案占腾讯安全全品类销售比例达到26%;在2019年上半年,腾讯安全产品通过渠道伙伴销售的增速也达到200%。基于良好的合作实践,腾讯正在与安全生态伙伴 探索 “生态资源共享、能力互补、生态共建”的协同机制,共享产业安全红利。

云计算时代的到来,为我国各行各业科学、 健康 、可持续发展提供了数字化的破解之道。面对复杂的网络安全态势,共同建设“更安全的云”,应当成为所有云服务商的使命;选择“更安全的云”,也应当成为企业采购的首要考量要素。

什么是网络安全攻防演练?有什么意义?

攻防演练也称为护网行为,是针对全国范围的真实网络目标为对象的实战攻防活动,旨在发现、暴露和解决安全问题,更是检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。那么什么是网络安全攻防演练?攻防演练的意义是什么?具体内容请看下文。

网络安全攻防演练是以获取指定目标系统的管理权限为目标的攻防演练,由攻防领域经验丰富的红队专家组成攻击队,在保障业务系统稳定运行的前提下,采用不限攻击路径,不限制攻击手段的贴合实战方式,而形成的有组织的网络攻击行动。攻防演练通常是真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击,拟通过演练检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。

攻防演练的组织结构,由国家、行业主管机构、监督机构、大中型企事业单位自行组织。各级公安机关、网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家行业主管机构或监管机构,针对要点行业和要点系统组织单位的攻击队和行业内企业单位的防御队进行实战攻防演练。

蓝队:模拟黑客的动机与行为,探测企业网络存在的薄弱点,加以利用并深入扩展,在授权范围内获得业务数据、服务器控制权限、业务控制权限。

红队:通过设备监测和日志及流量分析等手段,监测攻击行为并响应和处置。

网络安全攻防演练的意义

①攻防演练,实质是人与人之间的对抗。网络安全需网络安全人才来维护,是白帽和黑帽之间的较量,而白帽是建设网络强国的重要资源。攻防演练能够发现网络安全人才,清楚自身技术短板所在,并加以改进,提升安全技术。

②开展攻防演练,能够提早发现企业网络安全问题所在。针对问题及时整改,加强网络安全建设力度,提升企业的网络安全防护能力。

网络安全攻防演练的价值

①发现企业潜在安全威胁:通过模拟入侵来验证企业内部IT资产是否存在安全风险,从而寻求应对措施。

②强化企业安全意识:通过攻防演练,提高企业内部协同处置能力,预防风险事件的发生,确保企业的高度安全性。

③提升团队能力:通过攻防演练,以实际网络和业务环境为战场,真实模拟黑客攻击行为,防守方通过企业中多部门协同作战,实战大规模攻击情况下的防护流程及运营状态,提升应急处置效率和实战能力。

红蓝对抗之蓝队防守:ATT&CK框架的应用

文章来 源: HACK之道

企业大规模数字化转型的浪潮下,各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE(一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织)提出的ATTCK框架正是在这一过程中能够起到指导性作用的重要参考。

ATTCK框架在2019年的Gartner Security Risk Management Summit会上,被F-Secure评为十大关注热点。ATTCK是一套描述攻击者战术、技术和执行过程的共享知识库,能够关联已知的黑客组织、攻击工具、检测数据源和检测思路、缓解措施等内容。ATTCK能够全面覆盖洛克希德-马丁公司提出的Kill Chain内容,并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATTCK分为三个部分,分别是PRE-ATTCK,ATTCK for Enterprise和ATTCK for Mobile。其中,PRE-ATTCK包含的战术有优先级定义、选择目标、信息收集、脆弱性识别、攻击者开放性平台、建立和维护基础设施、人员的开发。ATTCK for Enterprise包括的战术有初始化访问、执行、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及黑客团伙的披露信息进行分析梳理的详细信息能够有效指导实战化的红蓝对抗,目前已在多个领域得到较好的应用。

在红蓝对抗中,防守方都可以按照事前、事中、事后三个阶段进行应对,在ATTCK框架的指导下实现安全体系建立、运营和提升的闭环改进。

一、准备阶段

攻击面评估

攻击面指企业在遭受内、外部入侵时可能的起始突破点或中间跳板,包括但不限于:对外提供业务的Web系统、邮件系统、VPN系统,对内提供服务的OA系统、运维系统、开发环境,员工使用的各类账号、办公终端等。

企业的攻击面是广泛存在的,在企业内进行攻击面评估属于信息收集和脆弱性识别的过程,能够帮助企业在早期应对攻击者入侵活动。该过程映射到攻击链中属于“侦察”阶段。

由于攻防的不对称性,在红蓝对抗中防守方往往处于弱势,攻击方只需要单点突破即可,而防守方需要建立覆盖所有攻击面的纵深防御体系,很难做到万无一失。但在 信息收集阶段,是为数不多的防守方占优的阶段,主要原因包括:

1. 攻击方只能通过互联网公开信息(Google、社交网站、Github)或传统社工方式获取部分企业信息,而防守方能够获得完整的企业内部信息,包括网络架构、业务系统、资产信息、员工信息等等,掌握以上信息不但能够梳理潜在入侵点、发现防御中的薄弱环节,还能够结合诱骗或欺诈技术(Deception,如蜜罐),在攻击者能够获取到的信息中埋点,实现类似软件“动态污染”的检测和追踪效果。

2. 攻击面评估能够在特定阶段(如重保时期)通过采取更严格的管控措施降低入侵风险, 通过有限的代价获取最大攻击者入侵难度提升 ,具有很高的投资回报率。例如,获取VPN通道,相当于突破了企业传统的防护边界,直接获取内网漫游的权限。在特定情况下,通过增强VPN防护,能够大大缩减攻击者入侵成功的可能性。突破VPN主要有2种方式,利用VPN服务器本身的漏洞或通过合法VPN账号入侵。对于第一种方式,关注VPN厂商漏洞披露信息、做好补丁升级管理,能够有效减少大部分威胁;对于利用0day漏洞攻击VPN获取远程访问权限的场景,通过VPN自身日志审计的方式,关联VPN账号新建、变更及VPN服务器自身发起的访问内网的流量,也能够及时发现未知的漏洞攻击行为。对于第二种攻击VPN合法账号的入侵方式,增加VPN账号的口令复杂度要求、临时要求修改VPN账号口令并增加双因子验证(如绑定手机号短信验证),都可以在牺牲部分用户体验的情况下极大削减攻击者攻击成功的可能性。

ATTCK框架内所有攻击技术都有对应的攻击目的和执行攻击所需的环境、依赖,对其分解可以提取每项攻击技术适用的攻击对象,参照企业内的资产和服务,评估攻击面暴露情况和风险等级,能够帮助制定有效的攻击面缩减、消除或监控手段。例如,防守方需要在红蓝对抗前检查企业内部的共享目录、文件服务器、BYOD设备是否符合安全基线要求,是否存在敏感信息,并针对这些内容设定合规性要求和强制措施,以缩减该攻击面暴露情况。

综上,ATTCK框架可以帮助防守方了解攻击目标、提炼攻击面并制定攻击面缩减手段,同时也能够通过攻击面评估为后续增强威胁感知能力、总结防御差距、制定改进方案提供参考标准。

威胁感知体系建立

传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系,无法及时有效地监测威胁事件、安全风险和入侵过程。威胁感知体系的建立,可以有效地把孤立的安全防御和安全审计手段串联起来,形成完整的企业安全态势,为防守方实现实时威胁监控、安全分析、响应处置提供基础。建立威胁感知体系主要包括以下准备工作:

1.数据源梳理: 数据是实现安全可见性的基础元素,缺少多维度和高质量的数据会严重影响监控覆盖面;同时,很多企业会为了满足网络安全法、等保标准等法律和标准要求存储大量设备、系统和业务日志数据。因此,在数据源的规划、管理上,由威胁驱动的数据源需求和由合规驱动的日志数据留存,存在匹配度低、使用率低、有效性低的诸多问题,需要防守方加以解决。

* We can’t detect what we can’t see.

在进行数据源规划时,需根据企业实际存在的攻击面、威胁场景和风险情况进行设计。例如:针对员工邮箱账号可能会遭受攻击者暴力破解、泄露社工库撞库的风险,需要采集哪些数据?首先需要考虑企业实际的邮件系统情况,比如使用自建的Exchange邮件服务,需要采集的数据包括:Exchange邮件追踪日志、IIS中间件日志、SMTP/POP3/IMAP等邮件协议日志。其次还需要具体考虑攻击者是通过OWA访问页面爆破?还是通过邮件协议认证爆破?还是通过Webmail或客户端接口撞库?不同的企业开放的邮箱访问方式不同,暴露的攻击面和遭受的攻击方法也有所区别,需要根据实情梳理所需的数据源。

在数据源梳理上,由于涉及到的威胁类型、攻击方法众多,考虑周全很困难,可以通过参考ATTCK框架选取企业相关的攻击技术,统计所需的数据源类型,并梳理数据源采集、接入优先级。关于数据源优先级筛选,2019年MITRE ATTCKcon 2.0会议上Red Canary发布的议题:Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使用的频率做了Top 10排序,如下图所示:

该统计结果并未考虑企业实际攻击面范围、数据源获取的难易程度等,不应生搬硬套照抄。但在大部分情况下可以考虑先构建包括网络镜像流量、终端行为审计日志、关键应用服务日志在内的基础数据源的采集规划,再通过实际的检测效果增强补充。

2. 检测规则开发:大数据智能安全平台(或参考Gartner所提的Modern SIEM架构)已逐步取代传统的SIEM产品,成为企业威胁感知体系的核心大脑。传统的攻击检测方法大多是基于特征签名(Signature),采用IOC碰撞的方式执行,在实际攻防对抗过程中存在告警噪音过多、漏报严重、外部情报数据和特征库更新不及时等问题,且在防守方看来无法做到检测效果的衡量和能力评估。因此,新的检测理念需要从行为和动机出发,针对攻击者可能执行的操作完善审计和监控机制,再采用大数据关联分析的方式去识别攻击活动。

ATTCK框架在这里就起到了非常重要的参考作用,框架中的每项攻击技术,知识库都描述了相应的检测手段和过程,以T1110暴力破解为例,其Detection描述如下图所示。

虽然没有抽象出具体检测方法、检测规则,但提炼出了需要监控的设备以及能够提炼攻击痕迹的日志。参考这部分描述,防守方能高效的通过相关资料收集、内部攻击技术模拟、特征提炼等方式完成检测方法和检测规则的开发、部署、测试。此外,高级持续性威胁(APT)使用了较多的白利用技术,无法有效区分攻击者和普通工作人员。但通过开发检测规则对数据源进行过滤提炼,打上技术标签,后续再综合所有异常行为能够发现此类攻击活动。这样再与传统的检测方法结合,就提供了更加有效的补充手段。

综上,威胁感知体系的建立,需要通过数据源梳理和检测规则开发来完成基础准备工作,ATTCK框架可以帮助防守方快速了解所需数据源、并协助开发对应的检测规则,使防守方脱离安全可见性盲区,实现安全防护能力的可量化、可改进。

内部模拟对抗

为摸清目前网络安全防御能力并找出薄弱点,部分企业会进行内部红蓝对抗模拟演练,ATTCK知识库在模拟红队攻击、组织内部对抗预演上具有非常高的参考价值。

1.红队技术指导:ATTCK框架包含了266种攻击技术描述,模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时,可以通过参考并复现“发现”、“收集”战术目的下的攻击技术,对内网暴露的攻击面逐一测试;在开展模拟场景演练时,可以挑选不同的战术目的制定模拟攻击流程,从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例,攻击技术链包括:钓鱼 - hta执行 - 服务驻留 - 凭证获取 - 远程系统发现 - 管理员共享,如下图红色链路所示。

2. 蓝队效果评估:内部模拟对抗是企业防守方检查实际威胁感知能力的最佳手段,对蓝队来说具有查漏补缺的效果。攻击行为是否被记录、检测规则是否有效、有无绕过或误报、攻击面梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时,防守方也可以通过模拟演练提炼极端情况下的缓解预案,包括:临时增加防御拦截措施、增加业务访问管控要求、加强人员安全意识教育和基线管理等。

综上,内部模拟是红蓝对抗实战阶段验证所有准备工作有效性的手段,作为大考前的模拟考,对防守方具有很大的查漏补缺、优化完善的作用,而ATTCK框架在这个阶段,对模拟红队攻击、协助蓝队查找问题都起到了参考作用。

二、开展阶段

准备过程越充分,在实际红蓝对抗行动开展阶段对防守方来说就越轻松。经过验证的威胁感知体系在这里将起到主导作用。

资产风险监控

除了封堵、上报潜在的红队攻击IP外,对于已突破边界防护进入内网漫游阶段的攻击者,基于ATTCK框架能够有效识别资产(终端/服务器)风险,发现疑似被攻陷的内网主机。

通过为每个资产创建独立的ATTCK主机威胁分布矩阵图,汇聚该主机上近期被检测到的所有攻击技术活动,然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型,监控主机是否失陷。异常模型从以下三个维度识别攻击:

1.攻击技术分布异常:多个战术下发生攻击、某个战术下发生多个不同攻击等。

2. 攻击技术数量异常:主机上检测到大量攻击技术,与基线对比偏差很大。

3. 特定高置信度失陷指标:主机上触发了高置信度规则检测到的高风险告警(传统的Trigger机制)。

以下图为例,主机短时间内触发一系列“发现”战术下的攻击技术,这在日常运维中是较为少见的,与该主机或同类型主机基线对比偏差非常大。在受害主机被控制后可能会执行大量此类操作,故该机器风险很高,判定为失陷/高危资产。

可疑进程判定与溯源

根据采集的终端行为日志(包括:进程活动、注册表活动、文件活动和网络活动),可以通过唯一进程ID(GUID)进行父子进程关联操作。当发现可疑进程活动时,能够回溯该进程的进程树,向上直到系统初始调用进程,向下包含所有子进程,并且为进程树中所有可疑进程添加ATTCK攻击技术标签,如网络请求、域名请求、文件释放等丰富化信息,帮助防守方的安全分析人员判断该进程是否可疑并及时采取处置措施。

以下图为例,发现可疑进程wscript.exe后溯源其进程树,其中标记了感叹号的子进程为命中了ATTCK攻击技术的进程,无感叹号的子进程也属于该可疑进程树下,有可能是攻击者利用的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展示的信息,可以直观发现wscript进程及其派生的powershell进程存在大量可疑行为,这些进程信息也为后续联动终端防护软件处置或人工上机排查处置提供了充足的信息。

应急响应对接

在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令行、进程创建文件、进程网络连接等信息提交给应急响应组进行清除工作。应急响应组通过以上信息可以快速在主机上处置并开展入侵路径分析,通过回溯攻击者入侵植入木马的手段,进一步排查是否存在数据缺失、规则缺失导致的攻击漏报;并通过关联所有具有相似行为的终端,确认是否存在其他未知失陷资产。

以上基于ATTCK框架建立的资产风险监控和可疑进程判定方法,能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹,并为溯源和应急响应处置提供数据支撑。而这些都脱离不了以威胁感知体系为核心的蓝队建设思路,更多与ATTCK框架适配的应用方法也会在后续不断丰富、增强。

三、复盘阶段

防御效果评估

在红蓝对抗结束复盘阶段,防守方对防御效果的评估是非常重要的环节。具体包括以下内容:

安全设备漏报分析:结合攻击方提供的报告,把各个攻击类型归属到相应的安全检测设备,查看相关设备的告警与报告中的攻击过程是否匹配,分析当前安全设备检测能力,较低检出率的设备需要后续协调厂商优化、更新规则等,以加强完善。

规则误报调优:在红蓝对抗开展阶段,为了确保对攻击方攻击过程的全面覆盖检测,通常会采用限制条件较宽松的规则检测模式,以防漏报对防守方造成的失分影响。例如,对暴力破解场景,触发告警的连续登录失败请求阈值可能设定的较低;对Webshell植入场景,可能对所有尝试上传动态脚本文件的行为都做监控或拦截,以防攻击者通过一些编码、混淆的方式绕过特征检测等。这些限制条件宽松的检测规则,在红蓝对抗过程中能够尽量减少攻击漏报,具有比较好的效果;但同时,由于限制不严导致的告警噪音也会随之增加。在红蓝对抗结束复盘过程中,需要对产生误报的数据和误报原因进行统计分析,完善检测规则逻辑、边界条件限制,配置适当的白名单过滤,为后续能够日常运营提供更具备可操作性和更实用的威胁检测规则。

攻击面再评估和数据可见性分析:在红蓝对抗准备和红蓝对抗开展阶段,防守方和攻击方分别进行了攻击面评估、攻击目标信息收集的工作,因此在复盘阶段可以通过对比双方掌握的攻击面信息和攻击目标的选择,来挖掘是否存在先前遗漏的边缘资产、未知攻击面,通过攻方视角查漏补缺。同时对遗漏的攻击面可以做相关的数据源需求分析,补充缺失的数据可见性和威胁感知能力。

防御差距评估与改进:针对红蓝对抗中发现的薄弱环节,防守方可以提炼改进目标、指导后续的安全建设工作。由于不同企业存在的攻击面差异性较大,重点关注的核心资产、靶标也有所差别,在准备过程中可能根据优先级选择了比较关键的几个领域优先开展,而通过红蓝对抗发现的其他薄弱环节,为后续开展哪些方向的工作提供了参考。例如,重点加强生产环境安全防护的,可能忽略了员工安全意识培训,导致被攻击者钓鱼的方式突破入侵;重点关注网站安全的,可能忽略了服务器存在其他暴露在外的端口或服务,被攻击者通过探测发现,利用已知漏洞或0day漏洞控制服务器绕过。结合ATTCK框架补充对应的数据源和攻击技术检测手段,可以快速补足这方面的遗漏。

防御效果评估是红蓝对抗复盘阶段重要的总结过程,也为后续持续优化改进提供参考。在这里ATTCK框架起到的作用主要是统一攻防双方语言,将每一个攻击事件拆分成双方都可理解的技术和过程,为红蓝对抗走向红蓝合作提供可能。

网络安全攻防演练?

我觉得这是非常有必要的,因为我们现在的社会有太多的不安全了,所以有安全隐患意识是非常重要的。

什么是攻防演练?网络安全攻防演练包含几个阶段?

 对网络安全圈了解的人肯定都听说过“攻防演练”,它是检阅政企机构安全防护和应急处置能力的有效手段之一,而且每年国家都会举行实战攻防演练。那么网络安全中攻防演练分为哪5个阶段?以下是详细的内容介绍。

攻防演练保障工作不是一蹴而就,需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方,应按照以下五个阶段组织实施:

启动阶段:组建网络攻防演练保障团队并明确相关职责,制定工作计划、流程和具体方案。对信息网络架构进行梳理和分析,评估当前网络安全能力现状。对内外网的信息化资产进行梳理。

备战阶段:通过风险评估手段,对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案,配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。

临战阶段:制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。

保障阶段:依托安全保障中台,构建云地一体化联防联控安全保障体系,利用情报协同联动机制,持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。

总结阶段:对攻防演练工作进行经验总结和复盘,梳理总结报告,对演练中发现的问题进行优化改进和闭环处理。

0条大神的评论

发表评论