当前位置:安全行业动态 → 正文

年度大型攻防实战全景:红蓝深度思考及多方联合推演

责任编辑:zhaoxiaoqin 作者:数世咨询 |来源:企业网D1Net  2020-05-25 17:44:16 本文摘自:数世咨询

一张红蓝攻防全景框架、五张动态推演图、红蓝双方深度思考打磨、几十位攻防技术高手博弈、上百次的线上线下会议,历时三月,共性智慧、初具成果,分享业界,持续研究,质由新生,信仰共造!
致敬和鸣谢以下红蓝双方安全能力者和第三方机构的点评和指导,一起为数字中国持续打造安全中枢贡献力量。
科来、青藤云安全、长亭科技、圣博润、安博通、华云安、白帽汇、可信华泰、中信网安、中睿天下、九州聚源、中安威士、杭州世平、微步在线、安芯网盾、美创科技、赛宁网安、深信服、新华三、太极股份、国信新网、中国信息协会信息安全专业委员会、信息产业信息安全测评中心、公安部信息安全等级保护评估中心。
-- 数世咨询&PCSA安全能力者联盟
 
概要:本报告通过六张实战推演图,结合安全能力者、第三方机构和安全运营者的观点,展示了攻击方从攻击面分析、边界突破、横向渗透到靶标攻陷的攻击过程,防守方从基础保护、强化保护到协同保护的纵深防御体系,描绘了大型网络安全攻防实战演习的全景对象和步骤推演。
一、实战推演

 

图一

图解:红蓝双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定,在攻击面分析与暴露面收敛、边界突破与防御、横向渗透和区域控制,核心区攻陷或强控开展推演;
重点: 攻击防守策略的制定犹如作战计划和防御计划是推演的前提,不同阶段制定不同的攻击和防守策略,攻击方总体是由点到面再回到点,防守方则是由面到面再回到核心点,策略方法与攻防双方的能力结合进行层层渗透和纵深防御;
攻击:策略制定-攻击面分析-边界突破-横向渗透-攻陷目标-潜伏/掩盖/撤退;

防御:策略制定-暴露面收敛-边界防护-区域控制-强化控制-基础/强化/协同;

图二

图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛;
重点:互联网信息、组织结构、人员信息、第三方平台(开源平台、云平台等)、供应链体系(设备、人员、服务、DNS、ISP、ICP)等,以及对外服务的业务应用层、系统层、数据层、网络层、平台层等的弱点以及互联网IP、端口、域名、VPN、邮件等以及各方面的用户信息,口令等;
攻击:信息收集、社工、多层扫描、爬虫、钓鱼、撞库、SQL注入等;
防御:规范上线第三方平台安全要求、提高供应链服务商安全要求、规范组织互联网信息、减少不必要的互联网出口、关闭不必要的业务、服务和端口、常态化动态化实时深度监测、识别嗅探者工具、清楚暴露面以及实时更新弱点问题及时加固、安全组织常态化、意识培训常态化等。

图三

图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段。
重点:攻击方根据攻击面分析与攻击方案推演,洞悉可以利用的各种漏洞,进行攻击路径的选择、渗透与突破。边界突破利用的攻击手段将会是多种多样,目的就是撕开靶标的最外层防御系统,突破的点往往是常令人疏忽的或难于管理的地方。防守方意识是第一位的、应清晰了解自身的边界防御情况,了解短板,做好第一道防线,开展管理、技术、运营体系落地建设与运营;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、DDOS、后门、钓鱼等
防守:多因素认证、访问控制、双冗余、异构、web监测及防御、蜜罐、流量监测与清洗、恶意代码防护、入侵监测与防护、实时弱点监控与加固、特权用户管控、弱口令策略及清理、清除冗余安全策略、威胁情报、攻击溯源等。

图四

图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段,渗透成功将进入第三步横向渗透和区域控制的较量阶段;
重点:攻击方突破边界防护的概率是和防守方防御成熟度有很大关系,突破第一道防线以后攻击方一方面会尽可能的伪装自己,同时在黑暗处持续寻找下一步进攻路径和跳板,防守方丢失第一防线其实还不算可怕,虽然形势非常严峻和被动,如果深度监测检测方法有效、安全域控策略和加固做的到位,还可以及时发现渗透横向移动的异常行为,致使攻击方只能短期进入,也可以通过强大的区域控制策略和手段,在第三阶段取得胜利;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、提权攻击等;
防守:安全域分层划分、域访问制定强控制策略、清除冗余策略、内部账号强认证与监控、分层区域边界异构、实施深度流量监测与预警、恶意代码防护异构、实施可信、实时弱点监控与加固、特权用户管控、弱口令策略及清理、清除冗余安全策略等。

图五

图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段,第三步横向渗透和区域控制后如果域控失陷,就将进入核心较量的第四步神经中枢靶标攻陷/强控阶段;
重点:攻击方一旦突破域控,一般拿下核心靶标不会遥远,虽然这个过程往往需要有较长的一段时间,但确实已到了关键时刻,如果这个时候防守方还没有监测发现,核心靶标被攻陷的概率几乎是100%,但并不是完全没有机会,防守方如果在一些核心点做好,虽然肯定有较大损失,但还可以保护好核心神经中枢靶标不被攻陷;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、提权攻击等;
防守:实时深度流量监测与预警、实时弱点监控与加固、强控特权用户、关闭靶标不必要的服务和端口,实施可信黑白名单强策略、清除靶标不必要的用户、强化靶标多因素认证和增强口令强度等。

图六

图解:综上所述,攻击方不会耗费大量资源和精力去攻击没有价值的系统,防守方的防御思路从被动到主动、从边界到纵深、从基础保护踏实做起(明确保护对象、暴露面进行收敛、多因素认证、访问策略落地清晰、实时深度监测和做好可信加固、管理好用户信息、强管控特权用户,杜绝弱口令等、以合规为基础,完成管理、技术和运维体系基本要求),围绕重点和关键环节,进行强化保护建设(安全策略一体化、深度监测与溯源、深度实时监测、日常加强演练和推演、建立清晰的全量和动态的资产库、建立完整和实时的风险库、建立较为全面的能力库,建设安全运营一体化中心,实现防御、检测、预测和响应核心关键环节的ID、IP、ACT的动态的异常的精准监控和分析,进行精准响应和防御),在大规模攻击和紧急事件的发生时,可以调集运营者自身、行业单位、民间力量、监管单位开展协同保护(信息共享和指挥协同)。

至此,2020年上半年的研究成果告一段落,红蓝双方能力者还在持续开展研究,希望更多的监管单位、行业用户、安全从业者关注和指导,希望更多的安全能力者持续加入研究,期待2021版《红蓝攻防全景推演》。

二、安全能力者

 

网络层安全能力者:科来

任何网络活动必定会产生网络流量,对网络中全部的流量进行全量记录、实时深度监测分析,就可以了解网络中发生的任何情况,做到对未知威胁的第一时间发现、第一时间响应。为用户提供网络安全的“上帝视角”,和其他能力者共同提高网络安全门槛,
在攻防对抗中进行安全事件的追溯和取证是必要的环节。通过高性能的检索和分析能力,全程回溯任意时间段内的历史事件信息,还原真实攻击过程,掌握攻击来源、手法等信息,为安全防御提供策略依据,主动、智能、高效、多维度的提升安全运营者整体安全防护水平。
主机层安全能力者:青藤云安全
攻击方从突破边界到攻陷靶标,主机安全是防御对抗最后一道防线,如何从主机层面减少资产“暴露面”,包括暴露面动态监测、常态化自评估、实时加固等,是减少攻击前提条件。此外,强“区域控制”,包括资产探测、安全加固、事件取证、病毒木马查杀、漏洞检测修补、异常监控、深度检测等,这将关系安全最后一道防线是否可靠。我们可以协助用户通过全面资产清点、快速风险发现、实时入侵检测和一键合规检查,让主机稳定又安全。
主机层安全能力者:可信华泰
核心主机是攻击方最有价值的目标,攻击方利用计算机系统体系结构的天然缺陷构造了病毒木马和漏洞。传统的安全防护思路仍然针对特定的已知安全漏洞及特定的已知攻击方式完成防护。用可信的思想,构建“白细胞”操作系统免疫平台将安全防护与系统运行结合起来,以可信度量和可信验证为基础,对系统运行的所有关键环节形成主动监视和控制,实现对已知和未知威胁的主动防御。既符合等级保护2.0可信验证的技术要求,又实现主机可信统一管理。
应用层安全能力者:长亭科技
经过攻防演练实战后,很多防守方甚至发现,传统边界防御正在逐步失效,新的漏洞正在以几何倍数的速度层出不穷,所搭建的边界防御体系一旦疏忽就会使预期的防护作用大打折扣,防护规则屡屡被绕过,甚至有的安全防护产品由于自身存在漏洞风险隐患成为了攻击方打开内网的入口。防守者需调整其防护体系适应新的安全态势,新时代、新形势,魔高一尺、道高一丈、防守方采用攻击方的伪装欺骗术,可边界外部和内部采用蜜罐引诱并溯源尚在资产探测阶段的攻击方,在应用层采用更先进的语义分析型WAF拦截占大多数的Web攻击,这些防护手段让攻击方无处遁形。
红方实战平台能力者:圣博润
网络攻防对抗的核心是两端技术能力的较量,攻防两端只有不断的进行真实演练碰撞,才能持续提升整理攻防技术。目前,如何保证演练过程的真实性和安全性成为热门话题。日常演练需要常态化,红军实战协同平台可实现模拟攻击、协同作战、数据共享、全称审计等作用,提升防守方理解攻击方攻击效率,同时保障网络攻防工作的真实性及安全性。
网络安全策略可视化能力者:安博通
网络攻击过程是层层突破边界的过程,作为防护方应该以安全策略作为有力抓手强化区域隔离和边界防护能力,站在顶层视角规划网络安全控制策略并定期审计策略配置内容,让冗余策略、过期策略、空策略等错误配置无处藏身,让违规访问、高危端口开放等网络风险无所遁形,形成有效的安全策略集中管理、定期审计与自动维护机制,并为资产探测、弱点检测、访问控制、入侵监测等众多安全能力提供全局业务视角,构建可视、可管、可控的网络安全策略一体化新视野。
漏洞管理安全能力者:华云安
漏洞永远是攻守双方争夺的焦点。但时间和资源是有限的,基于漏洞情报、资产暴露面和严重程度等,为安全人员提供漏洞修复优先级指导,在最短的时间内进行一键式自动化漏洞修复,通过建立自身的威胁与漏洞管理平台,将有效降低企业的安全风险,解决漏洞管理中的痛点问题。
网络资产测绘安全能力者:白帽汇
随着新应用和技术的不断推出、新漏洞的不断发现,攻击面的规模和复杂性也在不断扩大。在这样的情况下防御者如何实现网络攻击面的监测、评估与收敛是防御者亟需解决的问题。新的IT设施越来越普遍、我们持续研究,在网络空间测绘领域、建立大量指纹规则,通过主动扫描的方式采集资产信息,有效测绘包括IP、资产名称、端口、协议、操作系统、设备类型、所属厂商、应用组件等信息,形成信息系统资产库,帮助防守方收敛攻击面。同时结合最新暴露的 POC,通过风险特征等规则进行专项风险验证,精准描绘漏洞风险影响面,形成应急通报与处置。
数据安全管理能力者:中信网安
网络安全本质是攻防,没有攻的前提,就没有防的必要。攻者掘洞,或主机、或网络、或应用、或数据库,乃至人性,意在泄露、窃取和破坏。御者多思,或管理体系、或技术体系、或运营体系,意在防丢、防损、保可用。然,攻者已不满于炫技破坏之事,趋之数据。从已掘漏洞,均被勒索病毒所利用,可见一斑。数据作为攻防的核心焦点,要站在数据安全监管角度,通过资产画像,帮助用户掌握数据资产分布、价值和资产脆弱性,结合威胁行为评估数据资产风险。
攻击溯源安全能力者:中睿天下
随着网络攻防对抗日益加剧,越来越多的企业考虑基于全局视角,对全网安全事件进行发现、响应、追踪和溯源,以提升整体的安全防护能力。「网络攻击溯源」正是在这一背景下出现的新安全需求,从攻击方视角出发,通过分析将不同时点、不同部位的攻击碎片重组为攻击事件,并对攻击方手法、目的、背景等进行深度溯源,实现更精准、高效的威胁发现与处置。采用「攻击溯源」,为安全运营者单位带来全新的威胁监测思路,通过实现web、邮件等关键节点进行威胁监测和溯源,为安全运营单位构建面向实战对抗的新一代威胁监测体系。
安全渗透服务能力者:九州聚源
攻与防好比“矛”与“盾”,想不被“矛”轻易刺穿,就要不断强化“盾”的防御能力,这就需要从技术角度充分了解“矛”的作战方式,网络攻击方都会针对目标搜集尽可能多的目标信息、包括不局限于一些开源的应用、服务器开发的特殊端口、第三方共享平台的一些源代码及帐号等等。防守方需要对网络安全状态合理的评估,识别出风险及暴露面信息及网络入口点等。
攻击方的对象是一个点,目标系统规模越大可被利用的薄弱点就越多,尤其人在行为上的弱点。比如定向漏洞挖掘、APT攻击、提权漏洞利用、weblogic RCE系列以及自动化攻击工具等,针对SVN、gitlab、zabbix、redis、企业wiki、OA系统等进行攻击。防守者借用攻防场景异常行为识别告警工具,结合多线索的关联分析以提高发现并响应攻击的能力。攻防本质是人与人之间的投入、技术的博弈,进而通过攻防技术演进从而获得更高效的安全防护策略。
数据安全能力者:中安威士
SQL注入攻击是对数据库安全攻击的主要手段之一。数据库防御设备如果内置大量SQL注入特性库、虚拟补丁,并通过对访问行为的自动学习形成基线,可对外来CVE漏洞攻击,以及SQL注入行为进行综合诊断,并实时阻断非法操作,从而确保数据库免受SQL注入攻击。
数据库审计对数据库访问行为进行全面监控与审计,可通过内置的数据库攻击识别特征对数据库的访问做攻击检测,发现攻击行为立即告警。并可对数据库所有访问行为进行追踪溯源。
数据安全能力者:美创科技
攻防是网络安全世界永远绕不开的话题,也只有真实的攻防对抗,才能真正检验出防御体系的健壮性。面对层出不穷的漏洞以及千变万化的黑客攻击,我们长期作为零信任数据安全理念的实践厂商,以ATT&CK 模型为抓手,从身份、资产、行为三方面分析全面透视数据安全,定义基于确定性资产的安全新边界,从资产数据安全风险进行全面防护,从而解决传统网络安全体系中黑客攻击的"不确定性"。
数据安全能力者:杭州世平
网络攻防的对象是系统和数据,攻击者的目标一般是破坏系统稳定性或者窃取数据,数据安全一直是网络攻防中的重中之重。等保2.0及《大数据基本要求》对数据安全检测评估技术能力提出了新的更高的要求。数据安全合规性检查是数据安全防护的基石。数据运营及管理机构需要确认敏感数据及重要数据的分布,同时在数据全生命周期每个环节,确保数据安全合规性。数据合规检查包括数据完整性、剩余信息保护、数据保密性等基本要求,又有覆盖数据全生命周期的大数据安全扩展合规。
威胁情报能力者:微步在线
红蓝对抗中,红方不断收集目标信息、分析资产和薄弱环节,从正面攻击和侧面渗透突破防御,进而横向渗透直至攻陷目标。与之对应,蓝方则需要提前进行资产梳理、加固和收敛,全程对来源IP进行威胁预判和封禁以及内部失陷主机发现,才能达到良好的立体防御效果。
威胁情报是为蓝方体提供可以利用全球网络空间情报采集分析能力,实时监控蓝队暴露于公网或暗网中的资产或敏感数据。提供本地情报平台助力态感识别失陷主机和可疑来源IP,自动化联动处置,并支持旁路流量的威胁监测阻断产品。
我们汇聚国内顶尖安全服务与分析团队,为安全运营者建立实施有效的威胁情报体系,快速提升蓝方攻击监测、取证定位、应急处置、溯源分析能力。
硬件底层安全能力者:安芯网盾
攻击找的是短板,防御也可以找到关键点,所有的攻击最终回归到核心点就是计算环境,从计算机的体系结构出发,任何需要CPU执行的代码、处理的数据都需要经过内存进行存储。通过内存虚拟化等技术来监控内存的读、写、执行行为可阻止异常内存访问和恶意代码执行等各种攻击行为,为计算机系统构建一个完整的内存安全环境。我们持续研究多年,将内存保护系统基于硬件虚拟化技术,在CPU指令集这个层面监控所有程序行为,可以做到第一时间检测和响应。
网络攻防靶场安全能力者:赛宁网安
网络战争会造成社会瘫痪,危害生命安全与国家安全。需要下一代网络靶场,来有效验证网络攻击手段、研究新型安全技术、挖掘漏洞、产出标准化威胁响应流程和响应团队、经过验证的网络防御架构等。聚焦网络安全攻防对抗核心技术,红蓝方需要采用专业网络靶场进行安全演练,开展人员训练->业务演练->战略战法演练各个维度,就攻防对抗中的核心问题及技术进行有效的演练及研究,动态有效的提升攻击和防御的整体能力。
综合安全能力者:深信服
通过经历大量攻击和防守的案例,我们发现很多单位现有的防护措施很多,但是仅仅停留在以防御为主的“被动运维”层面,没有很好的基于资产、漏洞、威胁、事件等要素进行持续的监测和闭环响应,做到“主动运营”。究其原因,主要受限于单位的安全人才和技术资源不足,导致没有足够的能力和精力来把现有安全技术体系和管理体系有效运转起来,从而达到持续有效的安全效果。
我们秉承“人机共智”的服务理念,有效整合了安全专家的丰富实战经验以及机器的自学习和自动化能力,通过一个安全运营平台,三级安全专家,四大运营机制(资产、漏洞、威胁、事件),帮助用户构建持续、闭环、主动的安全运营体系,从而达到快速扩展安全能力,提升安全效果的目标。
综合安全能力者:新华三
红蓝对抗中,蓝军要想守住自己的城池,必须做足充分的准备,知己知彼方能应对自如。首先要摸清自身资产及所有业务、应用,对重点资产、业务进行巡查、防护、配置最小、最优授权等。从攻击方视角来看,其采用的攻击手段、攻击方法、工具的利用都是可以放眼被攻击目标全局的,因此红蓝对抗是一个全局的、纵深的系统工程。构建整体纵深防御是我们的安全的核心理念,力争从数据层面、应用层面、服务器层面、网络层面以及网络边界构筑多道防线,恶意攻击方必须突破所有防线才能接触到核心数据资产,同时结合运维的集中监测和分析,及时发现并可视化展示攻击行为和攻击路径,使攻击方的攻击成本大大提高。
安全服务能力者:太极股份数字安全事业部(踏实实验室)
了解国家安全观,理解网络安全观,做好一个组织的网络安全保障体系,是组织开展业务数字化、信息化发展的重要组成部分,一体两翼、双轮驱动、平衡发展需要做好基本功。
经历主机时代、网络时代、信息时代、数字时代,安全已经由单维进入到多维,踏实做好每一步才能心不慌、觉安稳。
1.意识共识:宏观十中观十微观三层组织安全观达成正确共识,是开展工作的良好基础;
2.组织协同:管理十业务十IT十安全十运营多方协同是做好工作的重要保障;
3.安全方针:业务十数据定义安全战略,刚需十合规完成顶层规划与体系设计;
4.一体化落地:管理要求、技术建设和运营体系的IT耦合,让安全成为业务,才能真真一体化落地;
5.三层保护:根据安全成熟度和保护对象的不同,做好基础性合规保护,提升整体底座,识别好重点关键点,实施强化保护,涉及国家重要、重大、重点并行开展协同保护,
6.三个基础:保护对象(资产清晰化、人员账号清晰化、关联对应清晰化)
数字时代,数字中国,数字安全3.0,我们协同用户一起做好保护对象识别--防御成熟度评估--安全战略确定--顶层规划与设计--防御落地体系持续完善--安全运营一体化
国信政务云运营服务商:国信新网

云服务是集约化运行、管理的趋势,业务集中、系统集中、数据集中,大大提高了运行效率、缩短建设周期、节约运行成本、减低运维费用,但也集中了安全风险,这对建设者、运营者、租户都是严峻的考验和挑战。如何提升综合安全防护能力、加强云内东西向的安全保护,特别是数据安全、访问控制需要下大功夫。在业务上云的趋势下,云上安全的攻防分析相较于传统环境,有很多共通性,又增加很多特有关键点。云上安全从角色上可划分为云平台服务商、云租户及云安全监管者三方,其视角与承担的安全责任和风险都有所不同。云平台服务商需首要保障云平台自身安全性合规与防护能力,云租户对上云的业务和数据负有上层安全责任,而云安全监管者,则站在第三方视角,监管云上业务与数据的运行安全及云平台运行合规安全等。云上安全的防护,应在三方角色合力配合下统一进行管理与保障。

三、第三方安全机构

 

中国信息协会信息安全专业委员会

网络安全的本质在对抗,对抗的本质在攻防两端能力较量。这一系列红蓝攻防全景推演图非常生动地诠释了网络攻防的多样性和复杂性,也让我想到了网络攻防人才培养的重要性和紧迫性。当前,随着“云大物移智”等新一代信息技术的快速发展,特别是“新基建”的大力推进和战略布局,网络攻防问题已经渗入到国民经济和社会发展的各个领域,对网络攻防人才的需求和要求都大幅提升。亟需从基础教育到高等教育、从学历教育到职业培训、从常识普及到实战竞赛等多方面着手,加强网络攻防人才的体系化、专业化、动态化、实战化培养,为专业能力强、实战经验丰富的网络攻防高精尖人才脱颖而出创造良好的环境和条件。
公安部信息安全等级保护评估中心
网络攻防是一场没有硝烟的战争。在新型数字基础设施建设过程中,必须坚持安全与发展双轮驱动,入侵与反制,进攻与防守,网络空间战场形势瞬息万变。红蓝对抗攻防不能仅仅是演练,必须以实战为出发点,关键信息基础设施运营者必须发展攻防兼备的安全能力,打破信息不对称和能力不对称所造成的被动局面。当今的网络对抗已经突破传统的单纯安全边界保护能力,在人工智能和云计算赋能下的网络安全攻防不仅仅是算力和速度的对抗,更是综合情报能力的对抗,谁能洞察网络空间资产分布,掌握网络安全变化趋势,掌握一手的网络作战地图,谁就能在网络对抗中占得先手。其实网络安全攻防能力的高下应验了武林中的一句俗话:功夫皆在功夫外。
信息产业信息安全测评中心
“没有网络安全就没有国家安全”习近平总书记高屋建瓴的论断为我国关键信息基础设施的安全防护指明了方向。近些年来,以合规为抓手,以攻防为驱动成为了我国网络安全领域的重要特点,“实战化、体系化、常态化”的网络安全新理念深入人心,只有经过实战检验的网络安全防护体系才能从基础架构安全升级到主动防御、联动反制的层面。重要行业部门的每个节点要构建抵御0day漏洞等“黑天鹅”事件巨大破坏的能力,模拟边界失守后如何解决内生安全问题,为国家关键信息基础设施网络安全防护贡献自己的力量,做到“守网有责,守网尽责”。
数世咨询

网络安全的本质在于“对抗”,而所有对抗领域的事情,都是动态变化的,不存在一劳永逸。没有银弹,也没有万灵药,只有永远此消彼长的“道高一尺,魔高一丈。”因此,基于攻击视角的主动防御,其重要性和关键性不言而喻,这也是为什么业内要长期举行攻防演练活动的根本原因。希望在国内能看到越来越多的优秀安全能力者加入,共同把网安产业做大做强。

四、安全运营单位

 

某国家部委

感谢红蓝攻防全景推演系列图的研究者,这个系列确实可以能够让我们单位的业务和IT等多方面看清网络安全防御工作的全貌与保护目标,一是能够跟上级领导说明白网络安全工作量到底有多大,二是深刻看清是一个持续不断积累和投入的过程,三是既对自己的工作可以捋清架构、内容和工序,又能够向上汇报工作清楚明了;向下安排工作不疏漏,重点与主次得当清晰。
某金融机构
金融系统的网络安全就是生命线,做好安全防护涉及的面太多了,之前都是各种复杂的工作,不仅是安全技术要做到位,管理体系也要真正的落地可执行,最重要的就是安全运营工作的效力必须到位,尤其是三个体系一体化(管理、技术、运营)和三个保护(基础、强化、协同)层次化,这几张图非常清晰的把要做的工作和为什么做这些工作讲的明白了,很值得我们学习,这里边我们还看到了很多自己不足的地方,后续参考可以持续进行改进。
某央企集团
资产库、风险库、暴露面,感谢给我们上了一堂生动的网络安全实战课,尤其攻防两端视角像作战图一样的沙盘推演,让我们能够全面清晰的了解攻击方的目标、策略与思路、方法与步骤、攻击的手段等等,并且也有相对应的不同阶段不同层次的防御内容、要点、作用、效果等内容,清晰的了解了双方,促成我们未来的工作将会有的放矢,大大提高工作效果与效率。
某互联网公司
面对互联网公众服务,我们最大的担心就是生产业务出现网络安全事故,而对于暴露的服务,我们一直是慎之又慎,每天的工作就是绞尽脑汁的思考攻击方找到了我们的什么弱点、漏洞;对我们进行的什么攻击会造成什么威胁与风险;出现这些问题后我们是否能够应对,事故后是否能够恢复等等问题。此图基本全面的推演了攻击的全部内容与要点,又提炼了防御纵深的体系化内容,值得我们深入分析研究与学习转化。
 
 

 

花絮
PHL、喷子、白胖子、ThatHeraoZhao77、Cabbage、围脖、未央、小林家粗汉子、岐。、Ln(K)、撞墙、行云、飞行、YY、高达、乔帮主、威士君、信服君、Steve、Zwell、邓焕等安全小伙伴持续 N次研讨、评判与修订!Update!烧脑和推演的过程是这样的……
 

 

PCSA联盟

数字中国、网络强国战略指引全国各领域都在走向数字化,中国的数字化率将大幅提高,未来国家级、行业级、城市级关键信息基础设施、重要信息系统将成为经济社会运行的神经中枢。

未来面临的网络安全挑战原来越清晰和紧迫,主要包含:

  • 威胁挑战:由黑客组织升级到敌对势力、霸权国家网络空间超限战威胁挑战
  • 转型挑战:由烟筒式系统升级到大数据、大平台、大系统、大运营、大安全挑战
  • 防御挑战:由合规性基础防御升级到神经中枢强化防御和多方协同防御挑战
  • 安全挑战:在面临高水平攻击“常态化、实战化”情况下,确保“资产清晰化、风险动态化、能力生态化”的基础上满足“监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全运营一体化挑战。
面对四大挑战,PCSA持续协同中国关键安全能力者打造共生平台《网络空间安全管理与运营平台》、《数据流动安全监管平台》、《云安全一体化综合服务平台》,规划《业务数据IT动态强关联资产库》、《高频与全量风险库》、《网络安全能力库》、《网络安全综合防御(蓝方)平台》实现从供应链安全,合规基础保护,强化保护,协同保护,实现预测、防御、检测、响应的实时动态闭环的运营体系,实现信息共享、应急协同,一体化指挥清晰,确保数字社会神经中枢的安全稳定运行,填补技术空白持续为用户打造安全中枢不断努力。
PCSA成立于2016年10月20日北京
PCSA愿景:聚合中国关键安全能力、赋能数字智能时代
PCSA使命:持续为用户打造安全中枢
PCSA价值观:质由新生 信仰共造

关键字:安全

本文摘自:数世咨询

x 年度大型攻防实战全景:红蓝深度思考及多方联合推演 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

年度大型攻防实战全景:红蓝深度思考及多方联合推演

责任编辑:zhaoxiaoqin 作者:数世咨询 |来源:企业网D1Net  2020-05-25 17:44:16 本文摘自:数世咨询

一张红蓝攻防全景框架、五张动态推演图、红蓝双方深度思考打磨、几十位攻防技术高手博弈、上百次的线上线下会议,历时三月,共性智慧、初具成果,分享业界,持续研究,质由新生,信仰共造!
致敬和鸣谢以下红蓝双方安全能力者和第三方机构的点评和指导,一起为数字中国持续打造安全中枢贡献力量。
科来、青藤云安全、长亭科技、圣博润、安博通、华云安、白帽汇、可信华泰、中信网安、中睿天下、九州聚源、中安威士、杭州世平、微步在线、安芯网盾、美创科技、赛宁网安、深信服、新华三、太极股份、国信新网、中国信息协会信息安全专业委员会、信息产业信息安全测评中心、公安部信息安全等级保护评估中心。
-- 数世咨询&PCSA安全能力者联盟
 
概要:本报告通过六张实战推演图,结合安全能力者、第三方机构和安全运营者的观点,展示了攻击方从攻击面分析、边界突破、横向渗透到靶标攻陷的攻击过程,防守方从基础保护、强化保护到协同保护的纵深防御体系,描绘了大型网络安全攻防实战演习的全景对象和步骤推演。
一、实战推演

 

图一

图解:红蓝双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定,在攻击面分析与暴露面收敛、边界突破与防御、横向渗透和区域控制,核心区攻陷或强控开展推演;
重点: 攻击防守策略的制定犹如作战计划和防御计划是推演的前提,不同阶段制定不同的攻击和防守策略,攻击方总体是由点到面再回到点,防守方则是由面到面再回到核心点,策略方法与攻防双方的能力结合进行层层渗透和纵深防御;
攻击:策略制定-攻击面分析-边界突破-横向渗透-攻陷目标-潜伏/掩盖/撤退;

防御:策略制定-暴露面收敛-边界防护-区域控制-强化控制-基础/强化/协同;

图二

图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛;
重点:互联网信息、组织结构、人员信息、第三方平台(开源平台、云平台等)、供应链体系(设备、人员、服务、DNS、ISP、ICP)等,以及对外服务的业务应用层、系统层、数据层、网络层、平台层等的弱点以及互联网IP、端口、域名、VPN、邮件等以及各方面的用户信息,口令等;
攻击:信息收集、社工、多层扫描、爬虫、钓鱼、撞库、SQL注入等;
防御:规范上线第三方平台安全要求、提高供应链服务商安全要求、规范组织互联网信息、减少不必要的互联网出口、关闭不必要的业务、服务和端口、常态化动态化实时深度监测、识别嗅探者工具、清楚暴露面以及实时更新弱点问题及时加固、安全组织常态化、意识培训常态化等。

图三

图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段。
重点:攻击方根据攻击面分析与攻击方案推演,洞悉可以利用的各种漏洞,进行攻击路径的选择、渗透与突破。边界突破利用的攻击手段将会是多种多样,目的就是撕开靶标的最外层防御系统,突破的点往往是常令人疏忽的或难于管理的地方。防守方意识是第一位的、应清晰了解自身的边界防御情况,了解短板,做好第一道防线,开展管理、技术、运营体系落地建设与运营;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、DDOS、后门、钓鱼等
防守:多因素认证、访问控制、双冗余、异构、web监测及防御、蜜罐、流量监测与清洗、恶意代码防护、入侵监测与防护、实时弱点监控与加固、特权用户管控、弱口令策略及清理、清除冗余安全策略、威胁情报、攻击溯源等。

图四

图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段,渗透成功将进入第三步横向渗透和区域控制的较量阶段;
重点:攻击方突破边界防护的概率是和防守方防御成熟度有很大关系,突破第一道防线以后攻击方一方面会尽可能的伪装自己,同时在黑暗处持续寻找下一步进攻路径和跳板,防守方丢失第一防线其实还不算可怕,虽然形势非常严峻和被动,如果深度监测检测方法有效、安全域控策略和加固做的到位,还可以及时发现渗透横向移动的异常行为,致使攻击方只能短期进入,也可以通过强大的区域控制策略和手段,在第三阶段取得胜利;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、提权攻击等;
防守:安全域分层划分、域访问制定强控制策略、清除冗余策略、内部账号强认证与监控、分层区域边界异构、实施深度流量监测与预警、恶意代码防护异构、实施可信、实时弱点监控与加固、特权用户管控、弱口令策略及清理、清除冗余安全策略等。

图五

图解:红蓝攻守双方围绕保护对象(神经中枢靶标)进行攻击与防御策略制定后,第一步双方开展的则是攻击面分析与暴露面收敛,第二步进入到边界突破/防守阶段,第三步横向渗透和区域控制后如果域控失陷,就将进入核心较量的第四步神经中枢靶标攻陷/强控阶段;
重点:攻击方一旦突破域控,一般拿下核心靶标不会遥远,虽然这个过程往往需要有较长的一段时间,但确实已到了关键时刻,如果这个时候防守方还没有监测发现,核心靶标被攻陷的概率几乎是100%,但并不是完全没有机会,防守方如果在一些核心点做好,虽然肯定有较大损失,但还可以保护好核心神经中枢靶标不被攻陷;
攻击:漏洞利用、自动及手工渗透、字典攻击、口令爆破、提权攻击等;
防守:实时深度流量监测与预警、实时弱点监控与加固、强控特权用户、关闭靶标不必要的服务和端口,实施可信黑白名单强策略、清除靶标不必要的用户、强化靶标多因素认证和增强口令强度等。

图六

图解:综上所述,攻击方不会耗费大量资源和精力去攻击没有价值的系统,防守方的防御思路从被动到主动、从边界到纵深、从基础保护踏实做起(明确保护对象、暴露面进行收敛、多因素认证、访问策略落地清晰、实时深度监测和做好可信加固、管理好用户信息、强管控特权用户,杜绝弱口令等、以合规为基础,完成管理、技术和运维体系基本要求),围绕重点和关键环节,进行强化保护建设(安全策略一体化、深度监测与溯源、深度实时监测、日常加强演练和推演、建立清晰的全量和动态的资产库、建立完整和实时的风险库、建立较为全面的能力库,建设安全运营一体化中心,实现防御、检测、预测和响应核心关键环节的ID、IP、ACT的动态的异常的精准监控和分析,进行精准响应和防御),在大规模攻击和紧急事件的发生时,可以调集运营者自身、行业单位、民间力量、监管单位开展协同保护(信息共享和指挥协同)。

至此,2020年上半年的研究成果告一段落,红蓝双方能力者还在持续开展研究,希望更多的监管单位、行业用户、安全从业者关注和指导,希望更多的安全能力者持续加入研究,期待2021版《红蓝攻防全景推演》。

二、安全能力者

 

网络层安全能力者:科来

任何网络活动必定会产生网络流量,对网络中全部的流量进行全量记录、实时深度监测分析,就可以了解网络中发生的任何情况,做到对未知威胁的第一时间发现、第一时间响应。为用户提供网络安全的“上帝视角”,和其他能力者共同提高网络安全门槛,
在攻防对抗中进行安全事件的追溯和取证是必要的环节。通过高性能的检索和分析能力,全程回溯任意时间段内的历史事件信息,还原真实攻击过程,掌握攻击来源、手法等信息,为安全防御提供策略依据,主动、智能、高效、多维度的提升安全运营者整体安全防护水平。
主机层安全能力者:青藤云安全
攻击方从突破边界到攻陷靶标,主机安全是防御对抗最后一道防线,如何从主机层面减少资产“暴露面”,包括暴露面动态监测、常态化自评估、实时加固等,是减少攻击前提条件。此外,强“区域控制”,包括资产探测、安全加固、事件取证、病毒木马查杀、漏洞检测修补、异常监控、深度检测等,这将关系安全最后一道防线是否可靠。我们可以协助用户通过全面资产清点、快速风险发现、实时入侵检测和一键合规检查,让主机稳定又安全。
主机层安全能力者:可信华泰
核心主机是攻击方最有价值的目标,攻击方利用计算机系统体系结构的天然缺陷构造了病毒木马和漏洞。传统的安全防护思路仍然针对特定的已知安全漏洞及特定的已知攻击方式完成防护。用可信的思想,构建“白细胞”操作系统免疫平台将安全防护与系统运行结合起来,以可信度量和可信验证为基础,对系统运行的所有关键环节形成主动监视和控制,实现对已知和未知威胁的主动防御。既符合等级保护2.0可信验证的技术要求,又实现主机可信统一管理。
应用层安全能力者:长亭科技
经过攻防演练实战后,很多防守方甚至发现,传统边界防御正在逐步失效,新的漏洞正在以几何倍数的速度层出不穷,所搭建的边界防御体系一旦疏忽就会使预期的防护作用大打折扣,防护规则屡屡被绕过,甚至有的安全防护产品由于自身存在漏洞风险隐患成为了攻击方打开内网的入口。防守者需调整其防护体系适应新的安全态势,新时代、新形势,魔高一尺、道高一丈、防守方采用攻击方的伪装欺骗术,可边界外部和内部采用蜜罐引诱并溯源尚在资产探测阶段的攻击方,在应用层采用更先进的语义分析型WAF拦截占大多数的Web攻击,这些防护手段让攻击方无处遁形。
红方实战平台能力者:圣博润
网络攻防对抗的核心是两端技术能力的较量,攻防两端只有不断的进行真实演练碰撞,才能持续提升整理攻防技术。目前,如何保证演练过程的真实性和安全性成为热门话题。日常演练需要常态化,红军实战协同平台可实现模拟攻击、协同作战、数据共享、全称审计等作用,提升防守方理解攻击方攻击效率,同时保障网络攻防工作的真实性及安全性。
网络安全策略可视化能力者:安博通
网络攻击过程是层层突破边界的过程,作为防护方应该以安全策略作为有力抓手强化区域隔离和边界防护能力,站在顶层视角规划网络安全控制策略并定期审计策略配置内容,让冗余策略、过期策略、空策略等错误配置无处藏身,让违规访问、高危端口开放等网络风险无所遁形,形成有效的安全策略集中管理、定期审计与自动维护机制,并为资产探测、弱点检测、访问控制、入侵监测等众多安全能力提供全局业务视角,构建可视、可管、可控的网络安全策略一体化新视野。
漏洞管理安全能力者:华云安
漏洞永远是攻守双方争夺的焦点。但时间和资源是有限的,基于漏洞情报、资产暴露面和严重程度等,为安全人员提供漏洞修复优先级指导,在最短的时间内进行一键式自动化漏洞修复,通过建立自身的威胁与漏洞管理平台,将有效降低企业的安全风险,解决漏洞管理中的痛点问题。
网络资产测绘安全能力者:白帽汇
随着新应用和技术的不断推出、新漏洞的不断发现,攻击面的规模和复杂性也在不断扩大。在这样的情况下防御者如何实现网络攻击面的监测、评估与收敛是防御者亟需解决的问题。新的IT设施越来越普遍、我们持续研究,在网络空间测绘领域、建立大量指纹规则,通过主动扫描的方式采集资产信息,有效测绘包括IP、资产名称、端口、协议、操作系统、设备类型、所属厂商、应用组件等信息,形成信息系统资产库,帮助防守方收敛攻击面。同时结合最新暴露的 POC,通过风险特征等规则进行专项风险验证,精准描绘漏洞风险影响面,形成应急通报与处置。
数据安全管理能力者:中信网安
网络安全本质是攻防,没有攻的前提,就没有防的必要。攻者掘洞,或主机、或网络、或应用、或数据库,乃至人性,意在泄露、窃取和破坏。御者多思,或管理体系、或技术体系、或运营体系,意在防丢、防损、保可用。然,攻者已不满于炫技破坏之事,趋之数据。从已掘漏洞,均被勒索病毒所利用,可见一斑。数据作为攻防的核心焦点,要站在数据安全监管角度,通过资产画像,帮助用户掌握数据资产分布、价值和资产脆弱性,结合威胁行为评估数据资产风险。
攻击溯源安全能力者:中睿天下
随着网络攻防对抗日益加剧,越来越多的企业考虑基于全局视角,对全网安全事件进行发现、响应、追踪和溯源,以提升整体的安全防护能力。「网络攻击溯源」正是在这一背景下出现的新安全需求,从攻击方视角出发,通过分析将不同时点、不同部位的攻击碎片重组为攻击事件,并对攻击方手法、目的、背景等进行深度溯源,实现更精准、高效的威胁发现与处置。采用「攻击溯源」,为安全运营者单位带来全新的威胁监测思路,通过实现web、邮件等关键节点进行威胁监测和溯源,为安全运营单位构建面向实战对抗的新一代威胁监测体系。
安全渗透服务能力者:九州聚源
攻与防好比“矛”与“盾”,想不被“矛”轻易刺穿,就要不断强化“盾”的防御能力,这就需要从技术角度充分了解“矛”的作战方式,网络攻击方都会针对目标搜集尽可能多的目标信息、包括不局限于一些开源的应用、服务器开发的特殊端口、第三方共享平台的一些源代码及帐号等等。防守方需要对网络安全状态合理的评估,识别出风险及暴露面信息及网络入口点等。
攻击方的对象是一个点,目标系统规模越大可被利用的薄弱点就越多,尤其人在行为上的弱点。比如定向漏洞挖掘、APT攻击、提权漏洞利用、weblogic RCE系列以及自动化攻击工具等,针对SVN、gitlab、zabbix、redis、企业wiki、OA系统等进行攻击。防守者借用攻防场景异常行为识别告警工具,结合多线索的关联分析以提高发现并响应攻击的能力。攻防本质是人与人之间的投入、技术的博弈,进而通过攻防技术演进从而获得更高效的安全防护策略。
数据安全能力者:中安威士
SQL注入攻击是对数据库安全攻击的主要手段之一。数据库防御设备如果内置大量SQL注入特性库、虚拟补丁,并通过对访问行为的自动学习形成基线,可对外来CVE漏洞攻击,以及SQL注入行为进行综合诊断,并实时阻断非法操作,从而确保数据库免受SQL注入攻击。
数据库审计对数据库访问行为进行全面监控与审计,可通过内置的数据库攻击识别特征对数据库的访问做攻击检测,发现攻击行为立即告警。并可对数据库所有访问行为进行追踪溯源。
数据安全能力者:美创科技
攻防是网络安全世界永远绕不开的话题,也只有真实的攻防对抗,才能真正检验出防御体系的健壮性。面对层出不穷的漏洞以及千变万化的黑客攻击,我们长期作为零信任数据安全理念的实践厂商,以ATT&CK 模型为抓手,从身份、资产、行为三方面分析全面透视数据安全,定义基于确定性资产的安全新边界,从资产数据安全风险进行全面防护,从而解决传统网络安全体系中黑客攻击的"不确定性"。
数据安全能力者:杭州世平
网络攻防的对象是系统和数据,攻击者的目标一般是破坏系统稳定性或者窃取数据,数据安全一直是网络攻防中的重中之重。等保2.0及《大数据基本要求》对数据安全检测评估技术能力提出了新的更高的要求。数据安全合规性检查是数据安全防护的基石。数据运营及管理机构需要确认敏感数据及重要数据的分布,同时在数据全生命周期每个环节,确保数据安全合规性。数据合规检查包括数据完整性、剩余信息保护、数据保密性等基本要求,又有覆盖数据全生命周期的大数据安全扩展合规。
威胁情报能力者:微步在线
红蓝对抗中,红方不断收集目标信息、分析资产和薄弱环节,从正面攻击和侧面渗透突破防御,进而横向渗透直至攻陷目标。与之对应,蓝方则需要提前进行资产梳理、加固和收敛,全程对来源IP进行威胁预判和封禁以及内部失陷主机发现,才能达到良好的立体防御效果。
威胁情报是为蓝方体提供可以利用全球网络空间情报采集分析能力,实时监控蓝队暴露于公网或暗网中的资产或敏感数据。提供本地情报平台助力态感识别失陷主机和可疑来源IP,自动化联动处置,并支持旁路流量的威胁监测阻断产品。
我们汇聚国内顶尖安全服务与分析团队,为安全运营者建立实施有效的威胁情报体系,快速提升蓝方攻击监测、取证定位、应急处置、溯源分析能力。
硬件底层安全能力者:安芯网盾
攻击找的是短板,防御也可以找到关键点,所有的攻击最终回归到核心点就是计算环境,从计算机的体系结构出发,任何需要CPU执行的代码、处理的数据都需要经过内存进行存储。通过内存虚拟化等技术来监控内存的读、写、执行行为可阻止异常内存访问和恶意代码执行等各种攻击行为,为计算机系统构建一个完整的内存安全环境。我们持续研究多年,将内存保护系统基于硬件虚拟化技术,在CPU指令集这个层面监控所有程序行为,可以做到第一时间检测和响应。
网络攻防靶场安全能力者:赛宁网安
网络战争会造成社会瘫痪,危害生命安全与国家安全。需要下一代网络靶场,来有效验证网络攻击手段、研究新型安全技术、挖掘漏洞、产出标准化威胁响应流程和响应团队、经过验证的网络防御架构等。聚焦网络安全攻防对抗核心技术,红蓝方需要采用专业网络靶场进行安全演练,开展人员训练->业务演练->战略战法演练各个维度,就攻防对抗中的核心问题及技术进行有效的演练及研究,动态有效的提升攻击和防御的整体能力。
综合安全能力者:深信服
通过经历大量攻击和防守的案例,我们发现很多单位现有的防护措施很多,但是仅仅停留在以防御为主的“被动运维”层面,没有很好的基于资产、漏洞、威胁、事件等要素进行持续的监测和闭环响应,做到“主动运营”。究其原因,主要受限于单位的安全人才和技术资源不足,导致没有足够的能力和精力来把现有安全技术体系和管理体系有效运转起来,从而达到持续有效的安全效果。
我们秉承“人机共智”的服务理念,有效整合了安全专家的丰富实战经验以及机器的自学习和自动化能力,通过一个安全运营平台,三级安全专家,四大运营机制(资产、漏洞、威胁、事件),帮助用户构建持续、闭环、主动的安全运营体系,从而达到快速扩展安全能力,提升安全效果的目标。
综合安全能力者:新华三
红蓝对抗中,蓝军要想守住自己的城池,必须做足充分的准备,知己知彼方能应对自如。首先要摸清自身资产及所有业务、应用,对重点资产、业务进行巡查、防护、配置最小、最优授权等。从攻击方视角来看,其采用的攻击手段、攻击方法、工具的利用都是可以放眼被攻击目标全局的,因此红蓝对抗是一个全局的、纵深的系统工程。构建整体纵深防御是我们的安全的核心理念,力争从数据层面、应用层面、服务器层面、网络层面以及网络边界构筑多道防线,恶意攻击方必须突破所有防线才能接触到核心数据资产,同时结合运维的集中监测和分析,及时发现并可视化展示攻击行为和攻击路径,使攻击方的攻击成本大大提高。
安全服务能力者:太极股份数字安全事业部(踏实实验室)
了解国家安全观,理解网络安全观,做好一个组织的网络安全保障体系,是组织开展业务数字化、信息化发展的重要组成部分,一体两翼、双轮驱动、平衡发展需要做好基本功。
经历主机时代、网络时代、信息时代、数字时代,安全已经由单维进入到多维,踏实做好每一步才能心不慌、觉安稳。
1.意识共识:宏观十中观十微观三层组织安全观达成正确共识,是开展工作的良好基础;
2.组织协同:管理十业务十IT十安全十运营多方协同是做好工作的重要保障;
3.安全方针:业务十数据定义安全战略,刚需十合规完成顶层规划与体系设计;
4.一体化落地:管理要求、技术建设和运营体系的IT耦合,让安全成为业务,才能真真一体化落地;
5.三层保护:根据安全成熟度和保护对象的不同,做好基础性合规保护,提升整体底座,识别好重点关键点,实施强化保护,涉及国家重要、重大、重点并行开展协同保护,
6.三个基础:保护对象(资产清晰化、人员账号清晰化、关联对应清晰化)
数字时代,数字中国,数字安全3.0,我们协同用户一起做好保护对象识别--防御成熟度评估--安全战略确定--顶层规划与设计--防御落地体系持续完善--安全运营一体化
国信政务云运营服务商:国信新网

云服务是集约化运行、管理的趋势,业务集中、系统集中、数据集中,大大提高了运行效率、缩短建设周期、节约运行成本、减低运维费用,但也集中了安全风险,这对建设者、运营者、租户都是严峻的考验和挑战。如何提升综合安全防护能力、加强云内东西向的安全保护,特别是数据安全、访问控制需要下大功夫。在业务上云的趋势下,云上安全的攻防分析相较于传统环境,有很多共通性,又增加很多特有关键点。云上安全从角色上可划分为云平台服务商、云租户及云安全监管者三方,其视角与承担的安全责任和风险都有所不同。云平台服务商需首要保障云平台自身安全性合规与防护能力,云租户对上云的业务和数据负有上层安全责任,而云安全监管者,则站在第三方视角,监管云上业务与数据的运行安全及云平台运行合规安全等。云上安全的防护,应在三方角色合力配合下统一进行管理与保障。

三、第三方安全机构

 

中国信息协会信息安全专业委员会

网络安全的本质在对抗,对抗的本质在攻防两端能力较量。这一系列红蓝攻防全景推演图非常生动地诠释了网络攻防的多样性和复杂性,也让我想到了网络攻防人才培养的重要性和紧迫性。当前,随着“云大物移智”等新一代信息技术的快速发展,特别是“新基建”的大力推进和战略布局,网络攻防问题已经渗入到国民经济和社会发展的各个领域,对网络攻防人才的需求和要求都大幅提升。亟需从基础教育到高等教育、从学历教育到职业培训、从常识普及到实战竞赛等多方面着手,加强网络攻防人才的体系化、专业化、动态化、实战化培养,为专业能力强、实战经验丰富的网络攻防高精尖人才脱颖而出创造良好的环境和条件。
公安部信息安全等级保护评估中心
网络攻防是一场没有硝烟的战争。在新型数字基础设施建设过程中,必须坚持安全与发展双轮驱动,入侵与反制,进攻与防守,网络空间战场形势瞬息万变。红蓝对抗攻防不能仅仅是演练,必须以实战为出发点,关键信息基础设施运营者必须发展攻防兼备的安全能力,打破信息不对称和能力不对称所造成的被动局面。当今的网络对抗已经突破传统的单纯安全边界保护能力,在人工智能和云计算赋能下的网络安全攻防不仅仅是算力和速度的对抗,更是综合情报能力的对抗,谁能洞察网络空间资产分布,掌握网络安全变化趋势,掌握一手的网络作战地图,谁就能在网络对抗中占得先手。其实网络安全攻防能力的高下应验了武林中的一句俗话:功夫皆在功夫外。
信息产业信息安全测评中心
“没有网络安全就没有国家安全”习近平总书记高屋建瓴的论断为我国关键信息基础设施的安全防护指明了方向。近些年来,以合规为抓手,以攻防为驱动成为了我国网络安全领域的重要特点,“实战化、体系化、常态化”的网络安全新理念深入人心,只有经过实战检验的网络安全防护体系才能从基础架构安全升级到主动防御、联动反制的层面。重要行业部门的每个节点要构建抵御0day漏洞等“黑天鹅”事件巨大破坏的能力,模拟边界失守后如何解决内生安全问题,为国家关键信息基础设施网络安全防护贡献自己的力量,做到“守网有责,守网尽责”。
数世咨询

网络安全的本质在于“对抗”,而所有对抗领域的事情,都是动态变化的,不存在一劳永逸。没有银弹,也没有万灵药,只有永远此消彼长的“道高一尺,魔高一丈。”因此,基于攻击视角的主动防御,其重要性和关键性不言而喻,这也是为什么业内要长期举行攻防演练活动的根本原因。希望在国内能看到越来越多的优秀安全能力者加入,共同把网安产业做大做强。

四、安全运营单位

 

某国家部委

感谢红蓝攻防全景推演系列图的研究者,这个系列确实可以能够让我们单位的业务和IT等多方面看清网络安全防御工作的全貌与保护目标,一是能够跟上级领导说明白网络安全工作量到底有多大,二是深刻看清是一个持续不断积累和投入的过程,三是既对自己的工作可以捋清架构、内容和工序,又能够向上汇报工作清楚明了;向下安排工作不疏漏,重点与主次得当清晰。
某金融机构
金融系统的网络安全就是生命线,做好安全防护涉及的面太多了,之前都是各种复杂的工作,不仅是安全技术要做到位,管理体系也要真正的落地可执行,最重要的就是安全运营工作的效力必须到位,尤其是三个体系一体化(管理、技术、运营)和三个保护(基础、强化、协同)层次化,这几张图非常清晰的把要做的工作和为什么做这些工作讲的明白了,很值得我们学习,这里边我们还看到了很多自己不足的地方,后续参考可以持续进行改进。
某央企集团
资产库、风险库、暴露面,感谢给我们上了一堂生动的网络安全实战课,尤其攻防两端视角像作战图一样的沙盘推演,让我们能够全面清晰的了解攻击方的目标、策略与思路、方法与步骤、攻击的手段等等,并且也有相对应的不同阶段不同层次的防御内容、要点、作用、效果等内容,清晰的了解了双方,促成我们未来的工作将会有的放矢,大大提高工作效果与效率。
某互联网公司
面对互联网公众服务,我们最大的担心就是生产业务出现网络安全事故,而对于暴露的服务,我们一直是慎之又慎,每天的工作就是绞尽脑汁的思考攻击方找到了我们的什么弱点、漏洞;对我们进行的什么攻击会造成什么威胁与风险;出现这些问题后我们是否能够应对,事故后是否能够恢复等等问题。此图基本全面的推演了攻击的全部内容与要点,又提炼了防御纵深的体系化内容,值得我们深入分析研究与学习转化。
 
 

 

花絮
PHL、喷子、白胖子、ThatHeraoZhao77、Cabbage、围脖、未央、小林家粗汉子、岐。、Ln(K)、撞墙、行云、飞行、YY、高达、乔帮主、威士君、信服君、Steve、Zwell、邓焕等安全小伙伴持续 N次研讨、评判与修订!Update!烧脑和推演的过程是这样的……
 

 

PCSA联盟

数字中国、网络强国战略指引全国各领域都在走向数字化,中国的数字化率将大幅提高,未来国家级、行业级、城市级关键信息基础设施、重要信息系统将成为经济社会运行的神经中枢。

未来面临的网络安全挑战原来越清晰和紧迫,主要包含:

  • 威胁挑战:由黑客组织升级到敌对势力、霸权国家网络空间超限战威胁挑战
  • 转型挑战:由烟筒式系统升级到大数据、大平台、大系统、大运营、大安全挑战
  • 防御挑战:由合规性基础防御升级到神经中枢强化防御和多方协同防御挑战
  • 安全挑战:在面临高水平攻击“常态化、实战化”情况下,确保“资产清晰化、风险动态化、能力生态化”的基础上满足“监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全运营一体化挑战。
面对四大挑战,PCSA持续协同中国关键安全能力者打造共生平台《网络空间安全管理与运营平台》、《数据流动安全监管平台》、《云安全一体化综合服务平台》,规划《业务数据IT动态强关联资产库》、《高频与全量风险库》、《网络安全能力库》、《网络安全综合防御(蓝方)平台》实现从供应链安全,合规基础保护,强化保护,协同保护,实现预测、防御、检测、响应的实时动态闭环的运营体系,实现信息共享、应急协同,一体化指挥清晰,确保数字社会神经中枢的安全稳定运行,填补技术空白持续为用户打造安全中枢不断努力。
PCSA成立于2016年10月20日北京
PCSA愿景:聚合中国关键安全能力、赋能数字智能时代
PCSA使命:持续为用户打造安全中枢
PCSA价值观:质由新生 信仰共造

关键字:安全

本文摘自:数世咨询

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^