网安实战练兵掀热潮 360 专家锻造企业安全新防御
自 2016 年美国大选「黑天鹅」事件出现以来,各国高度重视网络安全防护工作。迄今为止,美国已举行 6 次「网络风暴」大规模网络安全演习。
然而,我国的攻防演练尚处于发展阶段。2019 年,公安部印发《关于 2019 年至 2022 年开展全警实战大练兵的指导意见》,全国掀起实战大练兵热潮。
不仅仅是国家层面的重视和发展,攻防演练也越来越受到企业安全团队的重视。11 月 28 日,360 攻防产品事业部总经理张锦章在 CIS 2019 网络安全创新大会攻防演练研讨专场上带来《锤炼新形势下实网攻防的「剑与盾」》议题分享,揭示了企业安全团队通过攻防演练找到企业防御能力的缺陷、找到防守视角的缺失,进而全方位的提升企业网络安全能力。
360 攻防产品事业部总经理张锦章危则变 变则通
无论是 TLS 1.2 协议现漏洞,全球近 3000 网站受影响,还是委内瑞拉全国停电,马杜罗称再度遭受美国「网络攻击」,近年针对关键基础设施攻击愈加频繁,各国采取多种措施不断谋求增强网络防御和对抗能力,网络空间对抗态势不断加剧。
「唯一不变的就是「一切在变」,我们可以从四个方面来看威胁的不断进化。」张锦章谈到:
其一,攻击者从「白开心」的「纯小偷」进化成更加有组织、有目的的「大玩家」,国家间网络战时时处处在发生,目前,360 安全大脑已率先发现了针对中国的 41 个境外 APT 组织;
其二,破坏广度和深度加大,WannaCry 攻击全球 150 多个国家,国内 3 万多个机构 30 万台电脑被感染;
其三,业务环境发生剧变,业务云化导致边界模糊,移动应用兴起已全面代替传统办公终端,以此带来新的入侵攻击方式;
其四,行为隐蔽、难以追踪。攻击手段无所不用其极,除了物理的攻击以外,还有社工的攻击,更不论硬盘、芯片、IoT 设备等均可被植入恶意软件。
古代时候修建万里长城用来抵挡匈奴进攻,但在现代网络战中长城解决不了问题。
「危则变,变则通,通则久,我们需要改变思路。」张锦章谈到,以前在合规驱动下单纯防御的措施,不能完全解决企业安全问题,需要从攻防对抗角度进一步提升企业安全能力。「也就是甲方企业应该有自己做攻防的队伍,还要通过不断的红蓝对抗发现问题,建设预案,包括一套应急响应流程、处置流程、溯源流程等。」
逆向思维 最佳实践
合规驱动是正向思维,攻防演练是逆向思维。其注重验证结果,从结论逆推方案,从发现问题切入,研究分析问题,给出解决方案,持续能力提升,在此过程中持续提高企业安全建设能力。
在红蓝对抗的模式下也衍生出日常的运营模式,张锦章从事前、事中、事后概括道,「我们可以在事前的时候通过各种技术手段建立一种安全可控的渗透通道,通过渗透测试发现问题;在事中建立交火的前沿阵地,降低损失的同时充分了解对手,积累知识经验;事后可以总结发现问题,总结实施的应急响应流程,包括捕获行为、回溯。在境外真正发起网络攻击时候,企业可以快速发现问题、解决问题,还可以通过蜜罐的方式赢得溯源时间。」
在这一系列逆向思维加持下,企业一方面可以精准挖掘潜在的脆弱性和威胁,有效验证安全防护是否健壮,另一方面可以促进安全体系敏捷改进,能快速提升人员的安全能力。
演讲最后,张锦章谈到目前已从实践中提炼规划了一个通过实网靶场实施的「训、打、评、防、控」整体体系。
训即在仿真靶场中开展实操训练、能力考核,实现人员安全意识以及安全防护能力双提升;打即在行业真实环境和测试环境中开展防守与应急响应训练,提高应对真实威胁的能力和真实环境演练;评即在靶场攻防过程中,通过平台内置的评价体系对攻防双方进行科学评价,取长补短;防即使用靶场提供的实战对抗指挥调度功能、攻击诱捕功能,实现攻击预警、行为分析以及攻击溯源;控即使用靶场强大的权限控制和审计功能,实现第三方操作的安全可控。
无疑,提升企业安全整体防御能力任重而道远,实网攻防作为「新式兵器」更应该被企业重视。
