2022攻防演练蓝队防守指南.pdf
《2022攻防演练蓝队防守指南.pdf》由会员分享,可在线阅读,更多相关《2022攻防演练蓝队防守指南.pdf(29页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 2022 攻防演练蓝队防守指南 2022 攻防演练蓝队防守指南 背 景.1 概 述.2 第一章 红队演练篇.4 1.1 什么是红队演练?.5 1.2 为什么需要红队演练?.5 1.3 如何开展红队演练?.6 1.4 渗透测试和红队演练有什么区别?.8 1.5 国内红队演练最佳实践剖析.9 第二章 风险收敛加固篇.10 2.1 风险收敛加固是攻防演练前序阶段最重要的环节之一.10 2.2 如何进行风险收敛加固?.11 2.2.1 资产评估.11 2.2.2 安全策略检查.11 2.2.3 安全防线加固.12 2.3 风险收敛加固面临的挑战.12 2.4 最佳实践:青藤风险收敛加固服务.13 第
2、三章 安全监控篇.14 3.1 什么是网络安全监控?.14 3.2 为什么需要安全监控?.15 3.3 实施安全监控的 4 大要点.16 3.4 攻防演练中安全监控最佳实践.17 第四章 攻击研判篇.18 4.1 攻击研判的定义及重要性.18 4.2 攻击研判中的团队角色分类.19 4.3 攻击研判的 6 个步骤.21 4.4 基于网络安全“黑匣子”的攻击研判服务新模式.24 目 录 2022 攻防演练蓝队防守指南 1 背 景 网络安全攻防演练自 2016 年首次开展以来,经过 6 年的发展,已经成为检验网络安全防御能力最重要的手段之一,也是当下检验对关键信息系统基础设施网络安全防护工作的重要
3、组成部分。在攻防演练中,红队通常以实际运行的信息系统为攻击目标,在既定规则下最大限度地模拟真实网络攻击,以此来检验目标系统的安全防护能力。随着数字化与信息化进程的不断加快,网络安全逐步走入大众视野,并引起各行各业的重视。网络安全攻防演练逐渐发展成为涉及多个行业、多家单位的大型事件。从 2016 年至今,攻防演练的参演单位数量和覆盖的行业数量都大幅提升。此外,除了国家级的攻防演练,各省市、各行业的监管机构,也会在各自管辖范围内筹备和组织实战演习。时间长、规模大并不能说明这一活动发展得足够成熟,尤其是对蓝队来说,任何人或产品都不能保证绝对的网络安全,它只能通过一次次的攻防对抗来不断完善自身的防护能
4、力,从而更好地防御蓝队攻击。这是一个以攻促防的过程。青藤云安全编写本指南的主要目的在于以蓝队的视角,阐述攻防演练中防守工作的注意事项,并针对如何提高防守效率给蓝队提出了相应的建议。本文默认蓝队为防守方,红队为攻击方。2022 攻防演练蓝队防守指南 2 概 述 在实战环境中,无论是面对常态化的一般网络攻击,还是面对组织化、规模化的高级攻击,蓝队都需要按照事前准备、事中实战、事后收尾三个阶段来开展安全防护工作。图 1 攻防演练的三个阶段 一、事前准备查漏补缺,做好战前准备 在攻防演练开始之前,蓝队首先应当充分地了解自身安全防护状况与存在的不足,找出自身的脆弱点并及时进行加固,为后续工作提供能力支撑
5、。这就是准备阶段的主要工作。在攻防演练中,前期的准备工作包括安全团队组建、演练流程制定,以及未知资产排查、安全设备 0day 排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作。二、事中实战监控处置,对抗安全攻击 红蓝两队在实战阶段展开正面对抗。蓝队需要集中人力、物力,力求达到系统不破,数据不失。在实战阶段,从技术角度看,应重点做好以下三点:监控全面、持续。在资产细粒度清点的基础上,从多个路径持续、全面、透彻地发现潜在风险及安全薄弱点,包括弱密码、安全补丁、应用风险等,对网络、主机侧的动态进行持续监测,以发现是否有入侵行为。2022 攻防演练蓝队防
6、守指南 3 研判快速、准确。在攻防演练中,分析研判上承攻击行为的确认、分析及溯源,下接安全人员对攻击行为的响应处置,是整个防护流程技术含量最高的一步,也是对速度、准确度要求最高的环节之一。响应及时、有效。确认安全事件后,最重要的是在最短时间内采取技术手段遏制攻击的影响范围,并消除攻击发生的所有要素,确保攻击者无法进一步攻击。三、事后收尾总结复盘,提升安全能力 演练的结束也是防护工作改进的开始。在实战工作完成后,应对各个阶段的工作进行充分、全面的复盘分析,总结经验、教训。并针对复盘中暴露出的不足之处,立即着手整改,修复或加固安全漏洞及隐患,完善安全防护措施,优化安全策略,提高安全人员技术能力,最
7、大程度提升整体网络安全防护水平。对于蓝队来说,想要达到高水平的防护效果,需要从“知己”和“知彼”两个方面同时着手。既要了解自身的安全脆弱点,也要了解红队的思路与打法,这样才能结合自身实际网络环境、运营管理情况,制定相应的防御措施和响应机制,以在防守过程中争取到更大的主动权。在攻防演练实战中,蓝队的主要工作包括红队演练、风险收敛加固、安全监控,以及攻击研判等。这些工作模块并不是彼此孤立的,而是各部分协同工作,形成一条完整的防守工作链。2022 攻防演练蓝队防守指南 4 图 2 蓝队的主要工作模块 第一章 红队演练篇 在网络犯罪分子不断更新网络攻击技术和工具的时代,安全人员必须不断完善防御战略,以
8、跟上不断变化的威胁形势,加强检测和响应能力,争取领先攻击方一步。对于大多数企业组织而言,真正的纵深防御战略应该包括红队演练这个环节。这些企业组织只有经过不断的红蓝对抗演练,形成漏洞发现、修复闭环,才能构建强有力的安全防御体系。图 3 红蓝对抗的流程闭环 2022 攻防演练蓝队防守指南 5 1.1 什么是红队演练?红队演练是测试企业对网络攻击检测和响应能力的最终方法。它专注于攻击模拟,通过采用与真实攻击相同的各种策略、技术和程序(TTP)来评估企业在整个攻击生命周期中每个阶段的防护能力。红队演练服务为安全运营团队提供了一种安全的方式来测试其威胁检测和事件响应能力。红队演练的目的在于通过攻击模拟揭
9、示公司安全中的漏洞,发现网络安全防御中的暴露面及盲点,帮助企业深入了解自身安全体系的状态以及安全技术、流程和人员的有效性,并确定需要改进的领域。通过红队评估,用户可以测试以下内容:1.攻击面的大小;2.威胁检测技术的有效性;3.响应过程的效率;4.内部人员的安全意识。1.2 为什么需要红队演练?网络安全不是一个短暂的事件,而是一个持续的过程。网络攻击技术和工具不断进化、企业的攻击面不断扩大、企业并购带来的新用户和新政策所有这些变化都会产生新的安全问题。解决这些安全问题意味着需要进行定期的安全评估和持续的侦察活动,而红队演练就是最好的安全评估方式之一。它的主要价值在于帮助企业:衡量关键资产的风险
10、。了解外部或内部攻击者接触企业核心资产的难易程度,并明确通往这些资产的各种关键路径。2022 攻防演练蓝队防守指南 6 发现未知的攻击路径。发现未知的载体和弱点,了解其潜在的业务影响,并基于此提前制定准备、检测、响应和恢复方案。确定优势和劣势。对自身安全策略进行广泛而深入的分析,获得对团队优势和劣势的客观评估。推进安全防护策略的改进。为用户提供持续改进所需的洞察力,并促进其有针对性地提高特定能力。红队演练鼓励安全团队以主角的身份思考,帮助他们识别和修复所有已识别或未识别的漏洞,使其在网络安全防护中始终处于准备就绪的状态,促进团队协作能力的提升和批判性安全思维的养成。红队演练是识别漏洞的绝佳途径
11、,它能在漏洞发展成为安全问题之前彻底将其发掘出来。以下这些企业组织非常有必要进行红队演练:上市公司及经常被攻击的资本密集型组织;拥有大量数字资产的组织;以信息安全为企业形象的组织;拥有需要保护的敏感数据的组织;想在攻防演习中取得好成绩的组织。1.3 如何开展红队演练?在演练服务期间,红队会使用任何必要的手段,就像真实的攻击者所采取的措施一样,包括网络攻击、社会工程攻击、近源攻击、钓鱼邮件、安全设备攻击、供应链攻击、分支机构攻击,不过这些手段不会对客户的基础设施或资产造成损害。2022 攻防演练蓝队防守指南 7 图 4 红队演练涉及到的攻击方式 红队演练遵循结构化方法,根据攻击者传统的策略进行攻
12、击模拟。在每次演练服务开始时,红队人员与客户一起确定项目的目标。客户可以根据他们个性化的要求,选择针对已知或未知威胁进行测试。一旦红队与用户的红队演练目标达成一致,演练服务将分为四个步骤进行:第一阶段侦察 采用一系列网络威胁情报技术来尽可能多地收集有关用户的信息。这可能包括开源情报、金融情报、技术情报和人员情报等等。红队人员使用这些信息来识别和确定攻击目标及方法。第二阶段武器化和交付 在这个阶段,红队利用获取到的情报对用户发起攻击。根据之前确定的范围和目标,红队可以执行诸如钓鱼邮件、社会工程攻击、物理入侵或命令和控制活动等方法来利用漏洞并获得对用户网络的访问权限。第三阶段开发、安装、指挥和控制
13、 一旦红队建立了立足点,他们的接下来目标就是实现与用户共同商定的演练目标。这也意味着在真实攻击中,攻击者能否成功实现他们的最终目标。在这个阶段,红队人员还可以模拟不同类型的攻击者,包括心怀不满的员工或获得用户网站访问权限的攻击者。第四阶段输出报告 2022 攻防演练蓝队防守指南 8 红队人员需要针对演练的每个阶段为用户提供清晰的报告。这使用户可以全面了解系统或人员中可能存在的任何漏洞或弱点,以便其可以采取行动加强防御。报告的内容通常包含两大部分:执行摘要:概述演练涉及的范围、主要发现,以及这些发现所造成的业务影响。技术分析:详细阐述发现的漏洞和风险,分析其形成原因,并给出具体补救建议。在网络安
14、全防护方面,没有企业是万无一失的。通过练习对模拟攻击的事件响应,安全运营团队可以提高他们的威胁检测和响应能力,在威胁追踪方面变得更加高效,还能发现之前可能未被注意到的漏洞,从而在攻击发生之前或攻击早期阻止攻击进程,避免对业务造成重大损害。1.4 渗透测试和红队演练有什么区别?基于对自身安全防护能力进行检测的目的,用户在进行安全服务选型的时候,可能会面临这样一个问题:既然都是测试系统的防御能力,那红队演练与渗透测试有什么区别呢?虽然红队演练和渗透测试都旨在通过模拟真实攻击的技术和流程来改善企业的安全防御策略,但两种评估的形式和方法不尽相同。渗透测试是在指定的时间内,对给定的目标系统进行安全测试,
15、比如指定的 web 系统或APP,找出用户安全系统的漏洞或风险,渗透测试过程中对漏洞的利用一方面可以证明漏洞是真实存在的,另一方面也能基于这些漏洞揭示目标系统所面临的安全风险。在渗透测试的过程中,企业的安全防护团队一般不会参与,为了配合渗透测试的进行,企业还会关闭某些安全防护软件或策略,以方便渗透测试团队发现更多的漏洞。与渗透测试不同,红队演练的任务往往是完成某个特定业务目标的攻防演练,例如获取用户某个项目的源代码等。它不局限于单个应用程序或系统,而是着手利用包括社会工程在内的 2022 攻防演练蓝队防守指南 9 多种攻击手段,对整个环境都在范围内的多个系统进行攻击,全面模拟真实世界中具有明确
16、目的且避免被检测到的攻击者。红队演练某种程度上可以看作是合法的高级持续性攻击(APT)。这种完全贴合真实攻击环境的演练过程,能够反映出企业安全防护体系的检测和响应能力。两者之间的主要区别可以直观地概括为下表中的 7 点:图 5 渗透测试与红队演练的区别 1.5 国内红队演练最佳实践剖析 红队演练属于网络安全服务领域的一个分支,其质量主要取决于人员与工具两个方面。青藤作为国内网络安全的技术引领者,凭借经验丰富的专业红队团队和猎鹰等安全产品,成为1000+头部用户红队演练的首选合作伙伴。专业的团队:青藤红队的队员全部来源于网安一线大厂,对网络攻防模式有深入和广泛的了解,这意味着他们可以提供最优质的
17、红队演练服务。广泛的经验:拥有多年攻防演练实战经验,在全套安全评估方面的专业知识,包括电子邮件网络钓鱼、物理入侵和命令和控制活动,这意味着青藤可以测试大量的攻击方法。2022 攻防演练蓝队防守指南 10 高效的工具:青藤自主研发的猎鹰威胁狩猎平台,为红队演练服务提供了高效的工具,可以帮助用户更好了解地红队演练的效果,以及整个模拟攻击的过程,例如攻击者是怎么进来的、拿走了什么、留下了什么。红队专家安全咨询:根据用户的红队演练结果,青藤的安全专家会提供清晰、详细、有见地的报告以及针对性的建议,帮助用户准确了解如何补救和降低风险。第二章 风险收敛加固篇 通过攻防演习,参演单位能够充分检验自身的安全防
18、护、攻击监测和应急处置能力。参演单位作为防守方,面对“隐蔽”的网络攻击,只有了解攻击方是如何开展攻击的,才能根据攻击特点建立完善的安全防护体系,有效抵御网络攻击。那么从防守方的角度来看,在网络安全攻防演练中应该采取哪些措施提升安全防护水平呢?本篇将要讨论的就是对攻防演练结果至关重要的的事前准备阶段。2.1 风险收敛加固是攻防演练前序阶段最重要的环节之一 在攻防演练中,前期的准备工作包括安全团队组建、演练流程制定,以及未知资产排查、安全设备 0day 排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作,我们可以把这些技术性工作概括为风险收敛与安全加固
19、两个方向。风险收敛与安全加固服务作为攻防演练前序阶段最重要的环节之一,聚焦于安全的多维度精细化提升,从而收敛自身攻击面,满足企业对于前期内外网资产风险测评、安全意识提升、风险事件精准捕获、防御范围最大化等多种类安全需求,全方位巩固安全防线,增强防御效果。2022 攻防演练蓝队防守指南 11 2.2 如何进行风险收敛加固?对攻防演练的防守方来说,可以从资产评估、安全策略检查、安全防线加固三个方面实现风险收敛与安全加固,做好攻防演练前期风险管理。2.2.1 资产评估 大多数情况下,蓝队对于自己的资产情况把控不够,导致部分资产未能纳入有效监测、防护范围,形成了防护薄弱点。红队在发起进攻前,会先收集这
20、些薄弱点,并以此为跳板攻入企业关键系统。所以,提前对资产进行评估,及时关闭“老旧”、“无主”、“无用”资产,收敛对外暴露的攻击面变得尤为重要。公网资产评估:通过收集企业暴露在公网的资产信息和敏感信息,分析存在的未知公网资产、以及业务系统源码、账号密码暴露等安全风险,协助企业在攻击者发起信息收集前收敛外部攻击面,提升企业对自身资产的掌握程度以及应对突发安全事件的能力。内网资产评估:从内网安全维度对主机安全产品核心功能模块的检测结果进行详细分析,从而发现操作系统、业务系统存在的风险隐患,为客户解读并持续跟进风险整改期间各类技术问题,协助企业提升操作系统、业务系统本身的健壮性,进而提高内网横向攻击门
21、槛。2.2.2 安全策略检查 安全策略可以简单理解为一组用于保护网络安全的既定规则。其目的在于控制进出网络的访问行为,保护特定网络免受攻击,同时保障网络之间的合法通信。安全人员可以结合业务需求在系统中配置合适的安全策略,对通过设备的数据流进行检验,放行符合安全策略的合法流量,阻断非法流量,实现访问控制,保证网络安全。传统的安全策略与业务的结合度不高,难以进行高细粒度的安全分析。在攻防演练中高强度的攻击下,很容易出现策略的检测盲区,进而导致被攻破的局面。因此,在攻防演练前期对安全策略的检查、优化非常重要。2022 攻防演练蓝队防守指南 12 2.2.3 安全防线加固 安全加固和优化是实现网络安全
22、的关键环节。通过安全加固,可以在安全系统的网络层、主机层、软件层及应用层等不同范围建立起符合安全需求的安全状态,并基于此实现对企业组织安全系统的保护。安全加固是配置软件系统的过程,针对服务器操作系统、数据库及应用中间件等软件系统,通过各种不同的方法修复可能被攻击者利用的漏洞,加强系统安全配置,增加攻击者入侵的难度,提升安全防范水平。它与攻击面收敛、漏洞修复、安全策略优化及等工作形成了完整的风险管理闭环。2.3 风险收敛加固面临的挑战 攻防演练中,企业在提升蓝队安全防护水平的主要方法之一是缩小攻击面、加固原有脆弱点。但这件事说起来容易做起来难,安全人员在试图进行风险收敛加固时,常常会面临以下挑战
23、:网络不具备可见性。软件漏洞和网络盲点是常见的安全挑战。随着攻击面的扩大,减少这些漏洞和盲点需要洞察和控制所有流量,以及监控未经授权的设备或请求网络访问的用户的能力。但大部分网络活动或资产处于“隐藏”的状态,安全人员难以实现即时可见。网络环境复杂。随着云环境、虚拟机、容器等新名词的涌现,网络安全面临的局面越来越复杂,风险收敛加固同样无法实现“一招鲜吃遍天”,安全人员必须针对保护对象的特质制定个性化防护策略,这对有限的安全防护资源与技术人员来说,都是巨大的压力。难以进行集中策略管理。当今的企业网络高度分散,网络攻击发生的概率大幅度提升。企业需要通过分层访问和策略控制功能来实现集中统一管理所有用户
24、、设备和网络的网络访问策略,以更好地保护网络。2022 攻防演练蓝队防守指南 13 难以实现主机间的隔离。网络攻击隐藏的时间越长,造成的伤害就越大。一旦攻击者通过网络入口,他就会在受信任区域内横向移动以避免被发现,并在整个企业范围内传播以危及数据和系统。企业需要通过主机间的隔离将网络划分为多个区域以防止横向移动来降低这种风险。企业想要解决这些问题,不仅需要具备专业安全知识的技术人员,还需要特定的安全工具,以产品+服务相结合的形式,从多个角度来实现攻防演练前期的风险收敛与安全加固。2.4 最佳实践:青藤风险收敛加固服务 根据多年攻防演练经验,青藤将前序阶段的工作聚焦于安全的多维度精细化提升,从而
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022 攻防 演练 防守 指南
限制150内