隨著新一代通信技術(shù)的發(fā)展以及物聯(lián)網(wǎng)、信息化、智能化等新一輪技術(shù)革命的到來(lái)，各個(gè)行業(yè)面臨的網(wǎng)絡(luò)安全防護(hù)壓力也在不斷加重。為更加全面地保障網(wǎng)絡(luò)安全、社會(huì)安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全，國(guó)家對(duì)攻防演練的重視程度不斷提升，自《網(wǎng)絡(luò)安全法》頒布后，越來(lái)越多的行業(yè)都進(jìn)行了網(wǎng)絡(luò)攻防實(shí)戰(zhàn)對(duì)抗演練。天融信攻防專(zhuān)家根據(jù)以往經(jīng)驗(yàn)，總結(jié)出攻防演練防守工作中應(yīng)注意的要點(diǎn)。

攻防演練防守方注意要點(diǎn)

要點(diǎn)一：安全設(shè)備攔截

雖然目前大多數(shù)企業(yè)都非常重視信息安全，但是在攻防演練初期，大部分攻擊者會(huì)使用掃描工具來(lái)收集資產(chǎn)及漏洞信息，攻擊告警量會(huì)大幅度增加，對(duì)應(yīng)的防守人員無(wú)法逐個(gè)處理所有攻擊告警。因此各企業(yè)需要部署帶有攔截功能的安全設(shè)備，比如防火墻、Web應(yīng)用防護(hù)系統(tǒng)、入侵防御系統(tǒng)等，以便在演練前做好兼容性測(cè)試及告警攔截策略?xún)?yōu)化，提升處置效率。

要點(diǎn)二：攻擊源封堵

在攻防演練前，應(yīng)收集威脅源IP及惡意域名進(jìn)行封堵，然后在演練中對(duì)安全設(shè)備的高危告警IP進(jìn)行封堵，進(jìn)一步降低告警數(shù)量，避免防守人員監(jiān)控精力的消耗，將重心放在真實(shí)攻擊的研判分析上。

要點(diǎn)三：應(yīng)急響應(yīng)和追蹤溯源

在攻防演練中，當(dāng)主機(jī)被奪取權(quán)限，會(huì)造成防守方陣地淪陷。因此需要實(shí)時(shí)監(jiān)控異常流量及告警信息，及時(shí)對(duì)失陷主機(jī)或被攻擊成功的系統(tǒng)啟動(dòng)響應(yīng)處置流程：檢測(cè)階段、系統(tǒng)隔離、問(wèn)題定位、調(diào)查取證、木馬清除、主機(jī)修復(fù)及恢復(fù)。根據(jù)應(yīng)急響應(yīng)過(guò)程中取證的數(shù)據(jù)，結(jié)合威脅情報(bào)、蜜罐等工具，利用社工等多種手段進(jìn)行追蹤溯源，從而實(shí)現(xiàn)為防守方有效加分。

要點(diǎn)四：漏洞修復(fù)

當(dāng)安全監(jiān)控人員發(fā)現(xiàn)因漏洞導(dǎo)致的攻擊事件時(shí)，必須及時(shí)進(jìn)行漏洞修復(fù)，以防止問(wèn)題進(jìn)一步擴(kuò)大。漏洞修復(fù)的主要流程為：封堵攻擊IP以及非正常請(qǐng)求的IP，監(jiān)控被攻擊的流量數(shù)據(jù)，制定漏洞修復(fù)方案，評(píng)估和測(cè)試方案的可行性，完成漏洞修復(fù)。

要點(diǎn)五：補(bǔ)丁修復(fù)

補(bǔ)丁修復(fù)也是關(guān)乎防守效果的重要環(huán)節(jié)，即使系統(tǒng)、應(yīng)用的補(bǔ)丁在演練前完成修復(fù)，在演練中仍可能會(huì)出現(xiàn)“高危0day漏洞”或“官方補(bǔ)丁”。由于防守方既要保證生產(chǎn)系統(tǒng)的穩(wěn)定又要保證安全，存在不能及時(shí)更新版本的問(wèn)題，攻擊者有可能利用老版本的漏洞進(jìn)行攻擊。因此在演練過(guò)程中應(yīng)成立安全專(zhuān)家組，專(zhuān)門(mén)負(fù)責(zé)評(píng)估、測(cè)試和修復(fù)此類(lèi)型的問(wèn)題，完善該類(lèi)系統(tǒng)的應(yīng)急預(yù)案。

總 結(jié)

天融信攻防專(zhuān)家總結(jié)的上述要點(diǎn)，目的是幫助相關(guān)防守單位提升防護(hù)能力，更好地應(yīng)對(duì)實(shí)戰(zhàn)攻擊。通過(guò)該服務(wù)能成功幫助企業(yè)應(yīng)對(duì)安全威脅、處置安全事件，將臨時(shí)安全措施進(jìn)行鞏固并做常態(tài)化處理，有效提升企業(yè)的網(wǎng)絡(luò)安全整體防御能力。