随着新一代通信技术的发展以及物联网、信息化、智能化等新一轮技术革命的到来,各个行业面临的网络安全防护压力也在不断加重。为更加全面地保障网络安全、社会安全、关键信息基础设施安全,国家对攻防演练的重视程度不断提升,自《网络安全法》颁布后,越来越多的行业都进行了网络攻防实战对抗演练。天融信攻防专家根据以往经验,总结出攻防演练防守工作中应注意的要点。
攻防演练防守方注意要点
要点一:安全设备拦截
虽然目前大多数企业都非常重视信息安全,但是在攻防演练初期,大部分攻击者会使用扫描工具来收集资产及漏洞信息,攻击告警量会大幅度增加,对应的防守人员无法逐个处理所有攻击告警。因此各企业需要部署带有拦截功能的安全设备,比如防火墙、web应用防护系统、入侵防御系统等,以便在演练前做好兼容性测试及告警拦截策略优化,提升处置效率。
要点二:攻击源封堵
在攻防演练前,应收集威胁源ip及恶意域名进行封堵,然后在演练中对安全设备的高危告警ip进行封堵,进一步降低告警数量,避免防守人员监控精力的消耗,将重心放在真实攻击的研判分析上。
要点三:应急响应和追踪溯源
在攻防演练中,当主机被夺取权限,会造成防守方阵地沦陷。因此需要实时监控异常流量及告警信息,及时对失陷主机或被攻击成功的系统启动响应处置流程:检测阶段、系统隔离、问题定位、调查取证、木马清除、主机修复及恢复。根据应急响应过程中取证的数据,结合威胁情报、蜜罐等工具,利用社工等多种手段进行追踪溯源,从而实现为防守方有效加分。
要点四:漏洞修复
当安全监控人员发现因漏洞导致的攻击事件时,必须及时进行漏洞修复,以防止问题进一步扩大。漏洞修复的主要流程为:封堵攻击ip以及非正常请求的ip,监控被攻击的流量数据,制定漏洞修复方案,评估和测试方案的可行性,完成漏洞修复。
要点五:补丁修复
补丁修复也是关乎防守效果的重要环节,即使系统、应用的补丁在演练前完成修复,在演练中仍可能会出现“高危0day漏洞”或“官方补丁”。由于防守方既要保证生产系统的稳定又要保证安全,存在不能及时更新版本的问题,攻击者有可能利用老版本的漏洞进行攻击。因此在演练过程中应成立安全专家组,专门负责评估、测试和修复此类型的问题,完善该类系统的应急预案。
总 结
天融信攻防专家总结的上述要点,目的是帮助相关防守单位提升防护能力,更好地应对实战攻击。通过该服务能成功帮助企业应对安全威胁、处置安全事件,将临时安全措施进行巩固并做常态化处理,有效提升企业的网络安全整体防御能力。
- 关键词标签:
- 天融信 攻防演练 攻防实战