在网络红蓝对抗中,如何“守城”? – 作者:abtnetworks2018

 “守城”的困惑

 “我是一名网络安全从业者,最近我很焦虑,因为我要守一座城。”

这座城是单位的整个网络系统,官道是网络链路,城门和哨卡是安全设备(比如防火墙),城内建筑是业务主机等固定资产,城内外人流是流转的数据包,城中情报则是数据资产。我认为这座城现在运行良好,但是敌军必将在近期的某个时间段挥师攻城。

1.jpg

在敌军到来之前要如何完善防御工事,减少破城的可能性?敌军是否会乔装混入城中,什么样的人允许入城?如果敌人埋伏在城中,在攻城时里应外合,怎样及时发现这些细作?假如城防失守,又要如何剿灭城中敌军,并修复破损位置?当敌军窃取我方城内情报时,怎样探知敌军的潜入路线、窃取方式,并防止窃取事件再次发生?这些问题都深深困扰着我。

“过程安全”为你解忧

在红蓝对抗和HW行动中,经常会有防守方发出“怎么办”的感慨。别担心,“过程安全”理念可以让你高枕无忧。

什么是“过程安全”?过程安全架构(SIIP , Securityis in Process)强调:网络安全是一种过程,而不是一个结果,安全只是阶段性的,而威胁是持续性的。本质上网络攻击是一个持续的过程,网络防护是一个持续的过程,那么网络安全自然也是一个持续的过程。

2.jpg

网络攻击过程示意图

 

过程安全架构要如何解除安全从业者的忧虑呢?

3.jpg

SIIP过程安全架构

 

问题一:在敌军到来之前要如何完善防御工事,城中建筑(主机)是否存在脆弱性?

首先,需要明确内网有哪些业务主机,了解主机的详细资产信息、主机上运行的业务、开放端口、现有账号等,对主机资产进行盘点。接着,需要明晰主机上有哪些风险,是否存在漏洞、弱口令、Web后门、可执行恶意程序、Shell脚本等,分析脆弱性风险。

通过SIIP架构中的主机安全可视化模块,进行事前防御优化,发现并弥补主机风险,提升城池自身强度。

4.jpg

SIIP架构之主机安全可视化

 

问题二:如何减少破城的可能性,摸清城池内外的道路、哨卡和入城人流特征?

这就需要绘制城防图,即安全域业务拓扑,实现资产防护边界可视,看清主机是否被防护。同时梳理城池内外的有效业务道路和哨卡准入规则,理清业务路径和安全策略。最后确认哨卡规则有无问题,无关人员是否也可随意出入,对策略风险和主机攻击面进行分析。

通过SIIP架构中的安全架构可视化模块,分析防护策略的健壮性、资产防护的全面性和资产暴露风险,缩减网络暴露面,降低攻入城池的可能。

5.jpg

SIIP架构之安全架构可视化

 

问题三:敌军是否会乔装混入城中?

符合哨卡准入规则的人即可入城,敌人伪装成符合规则的模样同样可以混入。网络攻击使用防火墙开放端口和业务主机可达路径进行攻击,就不会被防火墙拦截,因此需要持续对攻击面进行收敛。

安全架构可视化模块可以与主机安全可视化模块联动,持续可视化评估并收敛网络攻击面,最小化风险暴露面被访问可能,缓解网络风险。

6.jpg

SIIP架构之攻击面分析与收敛过程

 

问题四:被攻击怎么办?如果敌人埋伏在城中,在攻城时里应外合,怎样及时发现这些细作?假如城防失守,又要如何剿灭城中敌军,并修复破损位置?

需要及时准确检测到攻击者嗅探网络、发起攻击或异常外发等行为。受到攻击后,能够快速识别、响应并阻断攻击源,防止威胁进一步扩散。

SIIP架构中的攻击面可视化模块关联安全架构可视、主机安全可视和网络流量可视,实现自动化编排安全策略,多维度数据关联分析,加速调查响应。

7.png

SIIP架构之安全监测与自动响应过程

 

问题五:城防失守怎么办?当敌军窃取到我方城内情报时,怎样探知敌军的潜入路线、窃取方式,并防止窃取事件再次发生?

针对已发生的安全事件,SIIP架构通过流量可视、主机可视、架构可视的联动,经过流量溯源,叠加威胁情报功能,可以查出事件详情,找到涉事主机的风险并进行路径溯源,然后进行针对性风险修复、补偿控制或安全加固,防止同类事件再现。

8.png

SIIP架构之回溯分析及安全弥补过程

 

“知己知彼,可视可控。”SIIP过程安全架构提供从事前防御优化、事中检测响应到事后回溯分析三维一体的闭环机制,让城池的网络暴露面收敛50%,检测误报率下降30%,应急响应率提升50%,让防守方在红蓝对抗和HW行动中守城无忧。

9.jpg

后记

“我是一名网络安全从业者,这次的红蓝对抗中我不焦虑了,但怎么样一直不焦虑呢?”答案就是“过程安全”,网络安全的本质是一个过程,而过程需要持续化。

来源:freebuf.com 2020-06-19 17:00:36 by: abtnetworks2018

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论