如果說網(wǎng)絡(luò)安全的本質(zhì)是攻防�,那么攻防的本質(zhì)又是什么呢�����?
這里給出一個(gè)答案:攻防的本質(zhì)�,就是人與人的對(duì)抗,是人與人網(wǎng)絡(luò)安全意識(shí)的對(duì)抗����。大家可能也認(rèn)同這個(gè)觀點(diǎn),但很多人卻是錯(cuò)認(rèn)了對(duì)抗的對(duì)象�。
比如紅隊(duì)攻擊手段中常用的社工、釣魚��,是藍(lán)隊(duì)在對(duì)抗嗎�����?其實(shí)并不是����,針對(duì)社工�����、釣魚攻擊,與紅隊(duì)直接對(duì)抗的是全體職員�����。全體職員都需要掌握比如常用攻擊流程����、攻擊手段、安全操作規(guī)范等方面的安全知識(shí)��。只要有一個(gè)職員的安全意識(shí)不足被突破��,就有可能讓所有的防御措施失效�����,讓藍(lán)隊(duì)的所有準(zhǔn)備歸零�����。
其次����,面對(duì)紅隊(duì)直接的網(wǎng)絡(luò)攻擊時(shí)���,藍(lán)隊(duì)也并不是直接的對(duì)抗對(duì)象。因?yàn)閷?duì)這類攻擊來說�,本質(zhì)是體現(xiàn)在對(duì)安全漏洞的掌握上。而常見的安全漏洞實(shí)際上是來源于開發(fā)人員的產(chǎn)品架構(gòu)�、程序代碼上面。與紅隊(duì)直接對(duì)抗的其實(shí)是網(wǎng)絡(luò)安全設(shè)備�����、網(wǎng)絡(luò)安全軟件����、業(yè)務(wù)應(yīng)用系統(tǒng)等背后的開發(fā)人員。
最后��,紅藍(lán)對(duì)抗才體現(xiàn)在網(wǎng)絡(luò)安全設(shè)備�、網(wǎng)絡(luò)安全軟件能否有效發(fā)現(xiàn)攻擊行為、攻擊特征上��,體現(xiàn)在藍(lán)隊(duì)能否通過網(wǎng)絡(luò)安全設(shè)備�����、流量分析、系統(tǒng)日志等發(fā)現(xiàn)���、阻止紅隊(duì)的攻擊行為上。如果把網(wǎng)絡(luò)安全的防御�����,全部寄托在網(wǎng)絡(luò)安全設(shè)備上�����、寄托在安全運(yùn)維人員上是很錯(cuò)誤的����,因?yàn)榫W(wǎng)絡(luò)安全設(shè)備和安全運(yùn)維人員也不能防止大多數(shù)的0day攻擊。藍(lán)隊(duì)人員反而是攻防中的最后一道防線���。
防御體系建設(shè)的關(guān)鍵���!
防御體系的建設(shè)和發(fā)展,在于提高全民網(wǎng)絡(luò)安全意識(shí)���、提高開發(fā)人員的安全開發(fā)水平����、提高安全廠商的創(chuàng)新能力與產(chǎn)品的技術(shù)水平、提高安全運(yùn)維人員的技能水平��,四個(gè)方面都缺一不可���。只有這四個(gè)方向同時(shí)都得到發(fā)展����,才有可能漸漸改變20年來�,攻防體系發(fā)展失衡的現(xiàn)狀。
如何建設(shè)戰(zhàn)力更強(qiáng)的防守組織�����?
面對(duì)縱深化的防守要求���,建立清晰�����、高效的人員組織體系已成為協(xié)同式防御工作的重要基礎(chǔ)����。我們?cè)诙啻螌?shí)戰(zhàn)化攻防對(duì)抗中,提煉出一套行之有效的防守方人員分工體系����。
首先,防守方人員組織體系最重要的就是“扁平化”���,以減少?zèng)Q策層級(jí),賦予前敵一線人員最大的決策處置權(quán)限�,做到未雨綢繆。
其次�,防守方的組建需要企業(yè)管理層自頂向下進(jìn)行推進(jìn)。團(tuán)隊(duì)的建設(shè)離不開跨中心��、跨部門多方協(xié)調(diào)資源�,所以必須選擇一名懂專業(yè)、善溝通�、權(quán)威性強(qiáng)的角色來牽頭。
第三��,防守方行動(dòng)組應(yīng)包括統(tǒng)籌組�����、事件上報(bào)組���、監(jiān)控組��、研判組��、溯源反制組��、處置組���,且各組之間需分工明確�,密切配合���。
借助上述組織結(jié)構(gòu)��,防守方可在橫向上以監(jiān)控組為抓手實(shí)時(shí)把控���,實(shí)現(xiàn)異常情況的快速響應(yīng),借助研判組的研究與分析制定解決方案���。同時(shí)���,異常情況交由處置組和溯源組并行處理,在解決風(fēng)險(xiǎn)的同時(shí)進(jìn)行溯源����。在縱向上����,以事件上報(bào)組為紐帶向下收集安全事件并進(jìn)行歸因分析����,向上輸出定性報(bào)告并給出結(jié)果導(dǎo)向。
以統(tǒng)籌組統(tǒng)一調(diào)度����,以事件上報(bào)組為樞紐��,以監(jiān)控組���、研判組���、溯源反制組、處置組為抓手的人員分布模型�,固化落實(shí)了監(jiān)控、研判�、溯源等一系列防御工作。該模型將不同階段的防守責(zé)任明晰到人�����,使防守工作更加高效,并在過往的多次攻防實(shí)踐中獲得一致好評(píng)�。
“紅藍(lán)對(duì)抗”是企業(yè)網(wǎng)絡(luò)安全防御能力的試金石,企業(yè)可通過開展常態(tài)化的內(nèi)部“紅藍(lán)對(duì)抗”來不斷完善對(duì)抗機(jī)制���,從而提升演練效果�,做好內(nèi)部紅藍(lán)軍隊(duì)伍建設(shè)�。通過模擬網(wǎng)絡(luò)遭到攻擊的情況,鍛煉和建設(shè)情報(bào)共享����、應(yīng)急反應(yīng)處置、協(xié)同作戰(zhàn)的能力���,從而不斷提升企業(yè)安全防護(hù)能力���。