域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
簡(jiǎn)介:從網(wǎng)絡(luò)安全策略管理視角出發(fā),帶您重溫紅藍(lán)攻防實(shí)戰(zhàn)推演。
2020年5月12日,數(shù)世咨詢、PCSA安全能力者聯(lián)盟,以及包括安博通在內(nèi)的數(shù)十家安全能力者和第三方機(jī)構(gòu)聯(lián)合參與的《年度大型攻防實(shí)戰(zhàn)全景:紅藍(lán)深度思考及多方聯(lián)合推演》報(bào)告正式發(fā)布,讓許多讀者對(duì)攻防實(shí)戰(zhàn)有了全新認(rèn)知。
安全策略作為防御手段的重要體現(xiàn),貫穿于實(shí)戰(zhàn)推演的每個(gè)階段。 下面,我們就從網(wǎng)絡(luò)安全策略管理視角出發(fā),重溫報(bào)告中的紅藍(lán)攻防全景框架與動(dòng)態(tài)推演。
在攻防過程中,紅藍(lán)雙方圍繞保護(hù)對(duì)象(神經(jīng)中樞靶標(biāo))制定攻擊和防御策略。作為防御方,在策略制定、暴露面收斂、邊界防護(hù)、區(qū)域控制、強(qiáng)控等任一階段,都需要具備全局的安全策略分析與靈活管控能力,才能做到安全防護(hù)的全面覆蓋和有的放矢。
1、策略制定階段
策略制定需要綜合考慮資產(chǎn)屬性、防護(hù)能力、威脅情報(bào)及網(wǎng)絡(luò)架構(gòu),從全局高度制定覆蓋全面且切實(shí)可行的策略體系:既要考慮安全策略與業(yè)務(wù)體系的一致性原則,在遵從業(yè)務(wù)體系的基礎(chǔ)上設(shè)計(jì)策略;又要考慮策略體系落地的技術(shù)可行性,盡量降低主觀形成的策略運(yùn)維風(fēng)險(xiǎn)。
其中,僅是簡(jiǎn)單的域間訪問控制策略落地,就使很多網(wǎng)絡(luò)管理者步履維艱。
2、暴露面收斂階段
很多網(wǎng)絡(luò)運(yùn)維者對(duì)資產(chǎn)暴露面進(jìn)行分析時(shí),會(huì)采用數(shù)據(jù)層、應(yīng)用層、主機(jī)層、網(wǎng)絡(luò)層等不同手段,因?yàn)槿狈?duì)整體的關(guān)聯(lián)分析,往往導(dǎo)致暴露面收斂效果差強(qiáng)人意。
例如,主機(jī)存在的漏洞風(fēng)險(xiǎn),如果業(yè)務(wù)不接受補(bǔ)丁修復(fù)的話,似乎只剩下接受風(fēng)險(xiǎn)一個(gè)選項(xiàng)。但是通過對(duì)整體策略的綜合分析,我們可以得到網(wǎng)絡(luò)封堵、上游控制等暴露面收斂建議,通過安全策略整體分析破除單項(xiàng)安全能力的壁壘,評(píng)估資產(chǎn)暴露風(fēng)險(xiǎn)并提供收斂措施,使暴露面收斂工作更加得心應(yīng)手。
3、邊界防護(hù)階段
邊界防護(hù)需要結(jié)合網(wǎng)絡(luò)架構(gòu)與攻擊方的邊界突破手段,制定嚴(yán)格的邊界防護(hù)策略,其中最應(yīng)該注意的是安全策略的精準(zhǔn)落地。由于安全防護(hù)能力多樣、防護(hù)策略繁多、人為主觀因素的限制,策略運(yùn)維過程中難免出現(xiàn)配置不合理甚至配置錯(cuò)誤的問題,這會(huì)給攻擊方留下可乘之機(jī)。
4、區(qū)域控制階段
無論是傳統(tǒng)的縱深防御體系,還是新興的零信任網(wǎng)絡(luò)架構(gòu),其核心都是通過區(qū)域間的隔離策略阻斷攻擊行為在網(wǎng)絡(luò)中的橫向滲透。在實(shí)際動(dòng)態(tài)攻防過程中,還需要強(qiáng)調(diào)防護(hù)策略與監(jiān)測(cè)能力的有效聯(lián)動(dòng),以做到對(duì)橫向滲透的及時(shí)控制。
5、強(qiáng)控階段
強(qiáng)化控制階段是攻擊方突破堡壘的最后一道防線,無論是通過主機(jī)微隔離還是網(wǎng)絡(luò)封堵進(jìn)行強(qiáng)控,都要以策略執(zhí)行為具體手段。
綜上所述,網(wǎng)絡(luò)安全策略管理貫穿于紅藍(lán)攻防實(shí)戰(zhàn)推演的每個(gè)階段,策略管理的質(zhì)量將在很大程度上決定攻防的最終結(jié)果。
安博通經(jīng)過近十年的技術(shù)積累,結(jié)合成熟的策略智能運(yùn)維產(chǎn)品,形成了一套完善的安全策略自動(dòng)化運(yùn)維解決方案 :
1)構(gòu)建網(wǎng)絡(luò)安全控制的全局視角
說起全局視角,網(wǎng)絡(luò)運(yùn)維者最快想到的可能就是網(wǎng)絡(luò)拓?fù)洹渭兊木W(wǎng)絡(luò)拓?fù)涓嚓P(guān)注路由指向,無法分析安全控制的內(nèi)容。舉個(gè)簡(jiǎn)單的例子,服務(wù)器A到服務(wù)器B有路由指向,但中間一臺(tái)防火墻配置了一條控制策略:A訪問B deny,這條策略在網(wǎng)絡(luò)拓?fù)渖暇蜔o法體現(xiàn)。
因此,網(wǎng)絡(luò)安全控制的全局視角需要通過安全控制策略來構(gòu)建。方案實(shí)現(xiàn)采集并解析網(wǎng)絡(luò)、安全設(shè)備的控制策略,通過關(guān)聯(lián)分析建立包含設(shè)備連接、路由指向、地址映射、訪問控制等全維度信息的網(wǎng)絡(luò)安全拓?fù)浼軜?gòu),從業(yè)務(wù)視角解決信息化建設(shè)和應(yīng)用中,網(wǎng)絡(luò)與安全融合難題,避免網(wǎng)絡(luò)放通、安全阻斷“兩張皮”的現(xiàn)象。
圖:網(wǎng)絡(luò)安全拓?fù)浼軜?gòu)
網(wǎng)絡(luò)安全控制的全局視角就像一張作戰(zhàn)地圖,使防御方能夠看清自身網(wǎng)絡(luò)形勢(shì),根據(jù)全局防護(hù)情況綜合制定不同階段的防護(hù)策略。
2)建立安全策略審查和優(yōu)化機(jī)制
安全策略變更存在兩種可能:一種是正常的業(yè)務(wù)變更,出現(xiàn)配置錯(cuò)誤,例如沖突策略、空策略等;另一種是內(nèi)外部人員的惡意變更,例如開放高危端口或越權(quán)訪問權(quán)限等。這兩種情況都會(huì)帶來安全風(fēng)險(xiǎn),讓防御方處于劣勢(shì)地位。有效的安全策略優(yōu)化和審查可以充分發(fā)現(xiàn)這些策略風(fēng)險(xiǎn),提高暴露面收斂、邊界防護(hù)和區(qū)域控制的效果。
圖:安全策略優(yōu)化梳理
圖:域間訪問路徑
圖:策略風(fēng)險(xiǎn)檢查
圖:策略變更告警
3)構(gòu)建安全控制策略自動(dòng)運(yùn)維與審查機(jī)制
為了避免策略風(fēng)險(xiǎn)的導(dǎo)入,有必要建立安全控制策略自動(dòng)運(yùn)維與審查機(jī)制,實(shí)現(xiàn)從策略變更請(qǐng)求、業(yè)務(wù)連接狀態(tài)研判、策略變更選路建議、業(yè)務(wù)變更風(fēng)險(xiǎn)分析、策略自動(dòng)生成與配置驗(yàn)證到策略變更審計(jì)的變更全流程控制體系,確保安全控制策略運(yùn)維的高效和精準(zhǔn)。
圖:策略變更全流程控制體系
4)構(gòu)建針對(duì)網(wǎng)絡(luò)攻擊事件的快速響應(yīng)機(jī)制
針對(duì)檢測(cè)到的網(wǎng)絡(luò)攻擊事件,通過自動(dòng)化路由封堵和策略封堵方式實(shí)現(xiàn)權(quán)限強(qiáng)控,建好神經(jīng)中樞靶標(biāo)的最后一道堡壘。
目前,安全策略自動(dòng)化運(yùn)維解決方案已廣泛應(yīng)用于政府、金融、運(yùn)營商、能源、大型企業(yè)等行業(yè)網(wǎng)絡(luò)中,為網(wǎng)絡(luò)安全策略管理的合規(guī)性、可靠性、無間斷提供全方位技術(shù)支持,幫助作為防御方的行業(yè)用戶更好體驗(yàn)網(wǎng)絡(luò)安全帶來的價(jià)值。
關(guān)于安博通
北京安博通科技股份有限公司(簡(jiǎn)稱“安博通”),是國內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商,2019年成為中國第一家登陸科創(chuàng)板的網(wǎng)絡(luò)安全企業(yè)。
其自主研發(fā)的ABT SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)平臺(tái),已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)套件,是國內(nèi)眾多部委與央企安全態(tài)勢(shì)感知平臺(tái)的核心組件與數(shù)據(jù)引擎。
更多詳情,敬請(qǐng)查閱:www.abtnetworks.com
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!