第851章 尋找新渠道
本來想著都四天了,落枕應該稍微好點了,所以,就沒吃布洛芬,結果,等布洛芬藥效過去之後卻發現還是跟原來一樣疼,而新的布洛芬吃下去又要一兩個小時才能起效果,所以,今天晚會兒更新,大概凌晨一兩點吧,到時候把這章刷新一下就行了。
…………
摘要:利用網絡安全漏洞進行有組織、有目的的網絡攻擊形勢愈加明顯,一方面留給應急響應的時間窗口越來越小,另一方面應急響應所需的威脅知識、專業技能、熟練程度等卻不斷增加。本文提出了網絡運營者作為防守方開展應急響應的簡明流程及響應步驟,為相關單位提供實踐參考。
關鍵詞:網絡安全關鍵信息基礎設施攻防演練
1引言
伴隨著信息技術在社會發展中的重要性越來越高,網絡空間已經成為大國博弈的新戰場。網絡安全攻防演練作為檢驗關鍵信息基礎設施的網絡安全防護、提升網絡運營者應急響應水平等關鍵工作的重要手段,以實戰和對抗的方式促進提升網絡安全保障能力,具有重要意義。本文站在網絡運營者視角,以參與組織的一次政府網站實戰攻防演練過程為例,簡述攻防演練中防守方如何開展工作,為相關單位提供組織應對經驗。
2演練內容
某單位組織網絡安全專業技術人員組成若干攻擊隊伍,對管轄範圍內二級機構的官方網站及業務系統進行持續5天的安全攻擊測試,驗證目標系統安全防護能力的有效性,每天固定時間在統一演練平臺提交防守方報告。筆者所在單位作為目標網站及業務系統運營單位,需確保目標信息系統的實體安全、運行安全和數據安全,最大限度地減輕網絡安全突發事件的危害。
3組織架構
成立防守指揮部,由網絡安全主管領導擔任總指揮,成員由網絡安全及業務系統運營部門領導組成。指揮部下設防守工作組、監控分析組、研判處置組,總計20人。
3.1防守指揮部
統籌整體演練防守工作,負責信息系統攻擊防禦演練的指揮、組織協調和過程控制;下達系統停運、恢復關鍵操作以及對外信息報送授權指令;報告演練進展情況和總結報告,確保演練工作達到預期目的。
3.2防守工作組
負責信息系統突發事件演練的具體工作;搭建維護演練集中監控及處置環境;分析和評估信息系統突發事件對業務影響情況;收集分析信息系統突發事件處置過程中的數據信息和記錄;向指揮部報告演練進展情況和事態發展情況;負責牽頭開展每日的安全事件總結和分析工作;統計、篩選、提交防守方報告。
3.3監控分析組
負責攻防演練期間業務系統訪問監控及網絡安全態勢監控,發現並識別網絡攻擊,做好監控過程的記錄工作,並向研判處置組發出攻擊預警;及時修補業務系統存在的漏洞,開展業務系統關停及恢復工作。
3.4研判處置組
演練備戰階段,負責對發現的網絡安全隱患進行整改,落實各項安全防護措施。演練實戰階段,對網絡攻擊流量進行清洗,確保業務系統可用性;根據需要機動、靈活調配技術資源,完成技術分析與研判、實時攻擊對抗、應急響應等工作。
4演練實施
按照過往演練經驗,小規模的防守宜按照演練前、演練中、演練後三個階段開展相關工作。
4.1攻防演練前
攻防演練前建立完善的保障團隊。從安全技術層面建立監測預警體系,在安全制度層面建設通告預警與處置反饋機制。對本次保障範圍內的信息系統進行詳細的風險評估和安全加固,制定《網絡安全攻防演練實施方案》,並對相關人員進行信息安全意識宣貫。4.1.1資產梳理。開展信息化資產梳理,主要梳理內容包括但不限於:梳理對外發布的互聯網應用系統;梳理互聯網出口及出口所使用的設備和安全措施;梳理網絡結構(網絡拓撲);梳理重要的或需要重點保護的信息系統、應用系統各服務器之間的拓撲結構;梳理網絡安全設備及網絡防護情況;梳理sslvpn和ipse接入情況。4.1.2風險評估。安全保障專家結合信息化資產梳理結果進行安全風險評估。安全保障專家可使用調研問卷、人員訪談和安全技術(滲透測試、漏洞掃描、基線核查等)等方式,通過安全工具或人工方式從網絡安全風險、應用安全風險、主機安全風險、終端安全風險和數據安全風險等維度進行安全風險評估,各部分內容可參考如下。(1)網絡安全風險評估網絡架構風險評估,利用人工和工具等方式從技術、策略和管理等角度更深層次挖掘出當前網絡中存在的威脅和風險。安全漏洞和安全基線風險評估,利用掃描工具對網絡設備進行掃描和全面檢查。弱口令風險評估,嚴格禁止所有賬號的弱口令、空口令情況。賬號、權限風險評估,檢查管理員賬號和權限,關閉不必要的賬號,取消不合理的賬號權限;保證密碼強度符合安全基線要求。遠程登錄白名單風險評估,嚴格限制可以遠程管理的ip地址,禁用tel進行遠程管理。配置備份風險評估,所有網絡設備全部要做好配置備份,確認備份有效可以恢復。(2)應用安全風險評估身份鑑別風險評估,評估應用系統的身份標識與鑑別功能設置和使用配置情況,應用系統對用戶登錄各種情況的處理,如登錄失敗、登錄連接超時等。訪問控制風險評估,評估應用系統的訪問控制功能設置情況,如訪問控制的策略、權限設置情況等。安全審計風險評估,評估應用系統的安全審計配置情況,如覆蓋範圍、記錄的項目和內容等。資產暴露面風險評估,模擬黑客進行信息收集,獲取資產詳細信息(程序名稱、版本)、開放的危險端口、業務管理後臺等。應用漏洞風險評估,包括web服務,如apache、websphere、tomcat、iis等,其他ssh、ftp等程序的缺失補丁或版本漏洞檢測。滲透測試,採用適當測試手段,發現測試目標在信息系統認證及授權、代碼審查等方面存在的安全漏洞,並再現利用該漏洞可能造成的損失,提供避免或防範此類威脅、風險或漏洞的具體改進或加固措施。(3)主機安全風險評估webshell風險評估,對提供web服務的系統進行webshell後門排查,驗證服務器的安全性,確保清除曾經可能被入侵遺留下的後門。惡意文件風險評估,利用專業殭屍木馬蠕蟲檢測工具對操作系統進行惡意文件排查,並針對惡意文件進行行為分析,確認病毒家族及其危害。弱口令風險評估,嚴格禁止所有賬號的弱口令、空口令情況。端口及服務風險評估,服務器只開放自身提供服務相關端口,關閉不必要的端口和對外服務。服務器防火牆風險評估,默認禁止所有主動對外訪問行為,如有需要,需嚴格制定訪問控制策略,實行服務器對外訪問白名單。系統漏洞掃描風險評估,對操作系統、數據庫及常見應用、協議進行漏洞掃描。(4)終端安全風險評估安全基線風險評估,對終端的操作系統進行安全配置基線檢查,保證終端設備安全。弱口令風險評估,嚴格禁止所有賬號的弱口令、空口令情況。防病毒軟件風險評估,檢查終端是否安裝防病毒軟件,安全策略是否開啟。非法外聯風險評估,檢查終端是否配置了雙網卡,是否開放或連接熱點。補丁更新風險評估,檢查補丁更新情況。(5)數據安全風險評估安全基線風險評估,對數據庫的操作系統進行安全配置基線檢查,保證數據庫系統安全。數據訪問控制風險評估,對數據的訪問、權限設置進行評估。數據備份風險評估,檢查數據備份策略、災備情況。4.1.3安全加固。通過評估與檢查的方式,分析信息化資產及重要信息系統的安全漏洞與風險,並有針對性地進行安全加固。網絡設備、安全設備、安全系統等網絡層面安全問題由基礎網絡運營部門負責加固;應用系統存在的漏洞、代碼邏輯錯誤、管理員弱口令、中間件漏洞等主機和應用層問題由各相關係統負責人進行加固,由安全專家提供相關指導建議解決目標系統在安全評估中發現的技術性安全問題,對系統安全配置進行優化,杜絕系統配置不當而出現的弱點。4.1.4安全培訓。為提升安全技術人員安全技術能力和非安全人員的信息安全意識,防守工作組定製培訓課程內容,使用相關教材和實戰案例等資料,幫助相關人員強化安全意識,強化信息安全攻防知識,以便更好地在演練過程中有效應對網絡攻擊。培訓主要內容:針對安全技術人員、安全管理員進行安全意識、安全常識、web構成、常見漏洞、熱點0day事件、入侵流程、惡意軟件現象和防禦方法培訓;針對非安全技術人員從個人電腦安全、郵件安全、移動安全、日常工作生活等維度進行強化安全意識培訓。4.1.5模擬攻防。完成安全加固後,為檢驗安全加固的成果、檢驗安全防護體系的健壯性和有效性,需要組織模擬攻防演練進行安全能力檢驗。可邀請安全公司模擬攻擊小組從外部對目標單位信息化系統進行攻擊演練,檢驗演練目標系統的防護能力,檢驗演練防守團隊的協作保障能力。攻擊小組使用的攻擊手段應不影響目標單位業務的正常開展,包括但不限於滲透測試、系統漏洞攻擊、釣魚攻擊/apt綜合攻擊、社會工程學攻擊等。4.1.6環境準備。在合適的場所搭建演練集中監控及處置環境所需電力、網絡設備,根據工作任務分配接入網絡,保障攻防演練期間設備正常運行。