网络攻击者的寻求对象不再是个人或企业,攻击的目标已逐渐伸向国家,他们想获取有益价值的野心越来越大,同时提醒着我们要加强网络安全防御,网络安全防范工作势在必行。
“说一百遍,不如去做一次”,理论不如行动来的实际,对于实战攻防演练,相信多数企业只是单一了解,实际开展演练的却寥寥无几。
攻防演练是指在不影响企业运营的前提下,对企业进行模拟入侵进攻,在有限的时间内从各种进入点进行攻击,尝试达成企业的指定的测试任务。在这种完全贴近真实攻击的测试活动中,能够测试企业安全防护体系的阻断、检测和响应能力。
- 蓝队(攻击方)模拟黑客的动机与行为,探测企业网络存在的薄弱点,加以利用并深入扩展,在授权范围内获得业务数据、服务器控制权限、业务控制权限;
- 红队(防守方)通过设备监测和日志及流量分析等手段,监测攻击行为并响应和处置;
- 组织方与客户协商基本信息,并提供演练技术支撑,制定对抗规则,提供后期保障,组织红蓝双方在指定时间内开展红蓝对抗。演练结束后,组织方召开总结会议,红蓝双方汇报成果,共同复盘,沟通攻防过程中的优点与不足,结合安全防护体系现状探讨安全建议。
一、攻防演练的意义
(1) 网络安全对抗,实质是人与人之间的对抗。网络安全需网络安全人才来维护,是白帽和黑帽之间的较量,而白帽是建设网络强国的重要资源。网络攻防演练能够发现网络安全人才,清楚自身技术短板所在,并加以改进,提升安全技术。
(2) 开展攻防演练,能够提早发现企业网络安全问题所在。针对问题及时整改,加强网络安全建设力度,提升企业的网络安全防护能力。
二、如何开展一场攻防演练?
攻防演练分为五个阶段:计划阶段、准备阶段、演练阶段、收尾阶段及总结汇报阶段。
(1) 计划阶段
确定演练的基础信息,编纂演练组织实施方案。明确演练目标资产范围、攻击方团队、防守方团队、演练导向、时间周期,制定实施规则、评分规则、保密协议等前期工作。
(2) 准备阶段
准备演练设施,落实参演人员,安排后勤。确定演练组织架构中的人员,准备演练现场设施,组织方搭建演练所需的技术平台,安排参演人员的交通、住宿、餐饮,准备演练材料、医疗团队、宣传材料、奖品、门禁、安保。
(3) 演练阶段
组织红蓝双方开展攻防,各小组各司其职,运营整个演练过程,并输出演练结果。攻防双方开展红蓝对抗,每日归档当日攻防双方成果,演练结束后公布演练成绩。
(4) 收尾阶段
根据演练结果输出名次,对表现优异的团队进行表彰。回收发放的门禁、网线、电脑等重要资料,下线攻防平台。
(5) 总结汇报阶段
演练结束后,召开总结会议,总结本次演练的经验,反思不足。根据演练成果分析防护问题,讨论安全建设方法,输出攻防演练总结报告。
三、攻防演练的价值
(1) 发现企业潜在安全威胁。通过模拟入侵来验证企业内部IT资产是否存在安全风险,从而寻求应对措施。
(2) 强化企业安全意识。通过攻防演练,提高企业内部协同处置能力,预防风险事件的发生,确保企业的高度安全性。
(3) 提升团队能力。通过攻防演练,以实际网络和业务环境为战场,真实模拟黑客攻击行为,防守方通过企业中多部门协同作战,实践大规模攻击情况下的防护流程及运营状态,提升应急处置效率和实战能力。