企业防护体系建设是企业发展的必要任务,它会伴随业务发展的整个生命周期,并且它的必要性在业务发展壮大之后显得尤为突出,而实战正是检验企业真实防护水平的唯一标准。这里所说的实战,指的就是实网攻防演练。通过实网攻防演练,能够最有效的检验企业网络安全防护能力、应急响应能力。
1什么是实网攻防演练?
实网攻防演练就像一场军事演习,战士在学习完军事理论、战法战术之后,需要通过近似实战的方式来检验。亚信安全北极狐高级攻防实验室专家表示,企业在完成自身的网络安全建设之后,如何才能知道自身的网络安全防护能力处于什么水平,还存不存在盲区?同样需要近似实战的方式来检验。
实网攻防演练,通常包含三个角色:红队、蓝队、紫队。
红队作为攻击方,通常由各大安全公司选拔专业的攻击人员组成。在可控的、可监督的前提下,以尽可能深入地获取目标权限为目标,不限攻击路径、不限攻击手段。
蓝队作为防守方,通常由企业网络安全部门牵头,协同运维、业务等部门,以及第三方安全厂商服务人员组成。以保障靶标不被攻陷为目标,同时注重自身安全防护体系的完善性、应急响应流程的合理高效性,以及面对网络安全攻击事件的可追溯性。
紫队作为裁判方,通常由攻防演练的组织者构成,主要负责演练活动的保障、指导、监督、评估、总结,并给出整改建议。
2实网攻防演练的趋势
时代在进步,技术在演变,实网攻防演练的趋势同样在不断发展,从2016年到2021年六年间,我们可以看到:
3常见的攻击链及方式
基于实网攻防演练的不断发展,亚信安全梳理了常见的攻击链及攻击方式。
信息收集阶段
攻击者会对目标资产,进行有深度有广度的信息收集,尽可能的获取到所有与目标相关的信息。包括资产信息、人员信息、邮箱信息、泄露信息、组织拓扑等。
火力侦察阶段
攻击者会对企业的边界防护进行刺探;会对人员弱点进行分析;会对单位防护弱点进行分析;会对供应链弱点进行分析;会对合作伙伴弱点进行分析,以求尽可能地发现企业弱点。
针对攻击阶段
攻击者会利用火力侦察阶段发现的企业弱点,结合零日漏洞、通用漏洞、应用漏洞、设备漏洞、社会工程学等攻击手段进行攻击。
获得突破阶段
基于攻击阶段取得的成果,攻击者会尝试突破边界、突破办公网,以求获取深层次的目标权限。
横向拓展阶段
基于攻击阶段取得的成果,攻击者会尝试突破边界、突破办公网,以求获取深层次的目标权限。
持续控制阶段
当攻击者完成深入内网攻击路径的开拓之后,会利用各类维权手段,进行权限维持,力求持续控制目标,保障自身攻击路径的安全性,为攻陷最终目标做准备。
攻击者的攻击兼具广度与深度,而且在不断朝专业化、自动化、武器化的方向发展。面对这种趋势,企业如果想通过人海战术来构建自身的网络安全防护体系,终将会失效。
4企业如何构建防护体系?
那么企业如何实现从人海战术,向专业化、常态化、高效化、闭环化的方向转变,构建完善的网络安全防护体系呢?
经过多年的探索与实践,亚信安全推出了基于场景的安全运营方案,即“XDR高级威胁安全运营方案”。该方案以监管、业务、技管为驱动,在满足法律法规、监管要求的同时,注重安全生产、隐患排查、主动防御和快速响应,构建从监控、检测到分析、响应为一体的安全运营能力。
亚信安全XDR,高级威胁安全运营服务是以设备联动威胁情报为核心,依据标准化运营流程,通过运营组件对资产的漏洞、威胁、APT攻击进行监控,从而构建防御、检测、分析、响应的安全运营闭环。
在数字化转型的今天,新冠疫情的出现加速了我们进入数字化时代,网络安全也随之开启了“加速跑”,安全运营已成为网络安全大会的常设议题,安全运营也已是行业未来发展趋势与行业关注热点,精细化、场景化、持续化将是安全运营未来的发展趋势,也是提高网络安全防御能力的必然之选。目前,众多客户正在与亚信安全共同践行安全运营理念,我们将共同积累经验,以求为客户建设安全能力,筑起安全防线。
【亚信安全北极狐高级攻防实验室,是一支活跃在攻防一线的安全团队,主要由国家级单位,及业内高级攻防领域的精英等组成。北极狐攻防实验室的技术研究方向主要包括,红蓝对抗、移动端安全、漏洞分析与挖掘,服务平台化、攻击自动化等。实验室聚焦于实网攻防,在实战中进行技术沉淀,助力客户建立“0弱点”的网络安全防护体系。】