隨著《網(wǎng)絡(luò)安全法》和《等級(jí)保護(hù)制度條例2.0》的頒布與實(shí)施，國(guó)家層面對(duì)網(wǎng)絡(luò)安全的重視程度逐步提高，各級(jí)主管部門和監(jiān)管機(jī)構(gòu)出臺(tái)了一系列法律法規(guī)來指導(dǎo)企事業(yè)單位的網(wǎng)絡(luò)安全建設(shè)。

網(wǎng)絡(luò)安全的本質(zhì)在于對(duì)抗，對(duì)抗的本質(zhì)在于攻防兩端能力的較量。華為網(wǎng)絡(luò)安全攻防技術(shù)專家們將以本文為開篇，推出一系列攻防相關(guān)文章。本期首先介紹在攻防演練中，企業(yè)的防守之道。

經(jīng)過多年實(shí)踐，通過定期開展實(shí)戰(zhàn)性的攻防演練，組織具備豐富網(wǎng)絡(luò)安全攻防經(jīng)驗(yàn)的隊(duì)伍，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的企事業(yè)單位進(jìn)行模擬攻擊，已經(jīng)成為檢驗(yàn)各企事業(yè)單位抗攻擊能力和抵御APT組織滲透能力的行之有效的方法。

在攻防演練中，高強(qiáng)度不間斷的各類高級(jí)攻擊，頻頻突破企業(yè)建立的網(wǎng)絡(luò)安全體系，對(duì)企業(yè)提出了極大的挑戰(zhàn)，這同時(shí)也是企業(yè)的機(jī)會(huì)。通過攻防演練可以暴露企業(yè)網(wǎng)絡(luò)中的漏洞、安全建設(shè)的薄弱點(diǎn)和應(yīng)急響應(yīng)能力的不足點(diǎn)，從而進(jìn)行針對(duì)性的加強(qiáng)，提高企業(yè)的整體網(wǎng)絡(luò)安全水平。

經(jīng)過多年的攻防演練經(jīng)驗(yàn)積累，我們對(duì)企業(yè)的防守行動(dòng)開展流程進(jìn)行了規(guī)范和總結(jié)。

為充分發(fā)揮攻防演練的價(jià)值，企業(yè)需要成立正式的防守組織，并通過一系列關(guān)鍵活動(dòng)來提高基礎(chǔ)防御水平和應(yīng)急響應(yīng)能力等。

企業(yè)防守組織

通常情況下，防守組織需要企業(yè)的網(wǎng)絡(luò)、安全、業(yè)務(wù)三個(gè)資源線共同參與，由統(tǒng)籌組統(tǒng)一協(xié)調(diào)，成立包括對(duì)外聯(lián)絡(luò)小組、業(yè)務(wù)網(wǎng)絡(luò)保障小組、安全加固小組、風(fēng)險(xiǎn)評(píng)估小組、監(jiān)控分析小組、應(yīng)急響應(yīng)小組的防守隊(duì)伍。各小組各司其職互相配合，保障信息流暢、響應(yīng)及時(shí)。

攻防演練關(guān)鍵活動(dòng)

我們將攻防演練劃分為4個(gè)階段，分別是計(jì)劃、準(zhǔn)備、實(shí)戰(zhàn)、總結(jié)。

在計(jì)劃階段，統(tǒng)籌組制定保障計(jì)劃和保障方案，并成立各個(gè)防守小組；

在準(zhǔn)備階段，各小組重點(diǎn)進(jìn)行資產(chǎn)梳理和風(fēng)險(xiǎn)分析，部署各類安全防護(hù)產(chǎn)品如態(tài)勢(shì)感知、防火墻、WAF、蜜罐等，并根據(jù)實(shí)際情況進(jìn)行安全、網(wǎng)絡(luò)、業(yè)務(wù)策略調(diào)優(yōu)，制定應(yīng)急響應(yīng)預(yù)案應(yīng)對(duì)可能的主機(jī)失陷問題，通過開展模擬演練磨合演練軟對(duì)和完善協(xié)防流程；

進(jìn)入實(shí)戰(zhàn)階段后，各小組根據(jù)預(yù)設(shè)的流程開展工作，利用自動(dòng)化的檢測(cè)和響應(yīng)機(jī)制對(duì)攻擊者進(jìn)行快速隔離，盡可能減少攻擊的時(shí)間窗口，增加攻擊成本，持續(xù)跟蹤現(xiàn)網(wǎng)爆發(fā)的0day漏洞并及時(shí)加固，同時(shí)通過蜜罐等技術(shù)實(shí)現(xiàn)溯源反制增加防守得分；

在總結(jié)階段，各小組對(duì)攻防演練過程中的風(fēng)險(xiǎn)進(jìn)行復(fù)盤分析及業(yè)務(wù)恢復(fù)，根據(jù)演練過程中暴露出來的薄弱點(diǎn)開展系統(tǒng)加固和安全建設(shè)規(guī)劃。

下面我們對(duì)攻防演練過程中的幾個(gè)關(guān)鍵活動(dòng)進(jìn)行詳細(xì)介紹。

1摸清家底---資產(chǎn)梳理

利用資產(chǎn)管理系統(tǒng)對(duì)企業(yè)所有的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用等進(jìn)行梳理，重點(diǎn)關(guān)注僵尸資產(chǎn)、無主資產(chǎn)、無用資產(chǎn)、老舊資產(chǎn)等，做到資產(chǎn)和人員的對(duì)應(yīng)。

資產(chǎn)梳理是否全面在一定程度上決定了企業(yè)最終的防守效果，在開展該活動(dòng)時(shí)不應(yīng)把目標(biāo)局限于集團(tuán)公司內(nèi)部，還需要對(duì)各個(gè)分公司進(jìn)行排查。通過資產(chǎn)梳理做到：

資產(chǎn)暴露面最大限度收斂

集權(quán)類系統(tǒng)（如堡壘機(jī)）白名單訪問

業(yè)務(wù)無關(guān)資產(chǎn)下線

公網(wǎng)已泄露信息及時(shí)整改

軟硬件供應(yīng)鏈全面管理

內(nèi)外部溝通渠道規(guī)范化

資產(chǎn)梳理的簡(jiǎn)易流程如下圖所示：

2主動(dòng)防御---風(fēng)險(xiǎn)評(píng)估

對(duì)信息系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評(píng)估，通過技術(shù)測(cè)試、調(diào)查等多種途徑，定性與定量相結(jié)合，對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等的脆弱性、威脅和影響進(jìn)行全方位評(píng)估，總結(jié)風(fēng)險(xiǎn)、及時(shí)加固。

在開展該活動(dòng)時(shí)，應(yīng)重點(diǎn)應(yīng)用如漏洞掃描、滲透測(cè)試、基線配置核查等技術(shù)手段，識(shí)別應(yīng)用系統(tǒng)中存在的高危漏洞、薄弱口令、區(qū)域隔離不嚴(yán)、安全策略配置錯(cuò)誤、防御缺失等問題，修復(fù)安全防護(hù)體系的短板。

風(fēng)險(xiǎn)評(píng)估的簡(jiǎn)易流程如下圖所示：

3安全加固---安全防護(hù)體系建設(shè)

基于風(fēng)險(xiǎn)評(píng)估階段識(shí)別的企業(yè)薄弱點(diǎn)和風(fēng)險(xiǎn)，依據(jù)縱深防御的安全體系建設(shè)思想，在假定攻擊者可以成功入侵的基礎(chǔ)上，企業(yè)需要從主機(jī)、應(yīng)用、網(wǎng)絡(luò)等方面構(gòu)建完善的防御體系和實(shí)時(shí)預(yù)警體系，將各類安全設(shè)備有機(jī)結(jié)合，建設(shè)完成如下8個(gè)防護(hù)體系，達(dá)成安全防護(hù)實(shí)效。

4戰(zhàn)前實(shí)訓(xùn)---模擬演練

在企業(yè)各項(xiàng)活動(dòng)已準(zhǔn)備充分的基礎(chǔ)上，組織攻擊方和防守方，通過模擬真實(shí)的攻擊場(chǎng)景，檢驗(yàn)安全防御體系和防守隊(duì)員應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力，對(duì)防御薄弱點(diǎn)進(jìn)行查漏補(bǔ)缺，同時(shí)可快速讓防守人員熟悉正式的演練流程。模擬演練流程應(yīng)盡量貼近現(xiàn)網(wǎng)攻擊。

模擬演練的簡(jiǎn)易流程如下圖所示：

5實(shí)戰(zhàn)對(duì)抗---安全值守&應(yīng)急溯源

在實(shí)戰(zhàn)對(duì)抗中，值守人員需要持續(xù)監(jiān)控和分析網(wǎng)絡(luò)中的Web攻擊、APT攻擊、暴力破解、惡意文件等各類威脅事件，結(jié)合最新威脅情報(bào)和業(yè)務(wù)情況，得出精準(zhǔn)的威脅分析結(jié)果并及時(shí)封堵攻擊，對(duì)失陷類事件溯源分析，定位威脅來源和影響范圍。

在該階段，企業(yè)應(yīng)盡可能采用自動(dòng)化的分析和封堵策略，減小攻擊者的有效攻擊時(shí)間窗，重點(diǎn)對(duì)如下異常行為進(jìn)行監(jiān)控：

結(jié)束語(yǔ)

攻防演練是對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)有效性的一種實(shí)戰(zhàn)化考核，通過短時(shí)間高強(qiáng)度的攻擊發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)的薄弱點(diǎn)，對(duì)于企業(yè)下一步的安全規(guī)劃具有重要的指導(dǎo)意義。

從企業(yè)的角度來看，應(yīng)該重視并積極擁抱此類活動(dòng)，以更加開放的心態(tài)將攻防演練中積累的經(jīng)驗(yàn)應(yīng)用到日常的安全建設(shè)中，網(wǎng)絡(luò)安全在規(guī)劃、在建設(shè)、在平時(shí)，企業(yè)要以抵御各類APT攻擊為目標(biāo)樹立網(wǎng)絡(luò)安全意識(shí)，筑牢網(wǎng)絡(luò)安全防線。