從網絡安全策略管理的角度,我將帶你回到紅藍攻防實戰推演。
2020年5月12日,由幾代顧問、PCSA安全能力聯盟、包括安本在內的數十個安全能力和第三方組織共同參與的《年度大型攻防實戰全景:紅藍深度思考及多方聯合推演》報告正式發布,讓許多讀者對攻防對抗有了全新的認識。
作為防御手段的重要體現,安全策略貫穿于實戰推演的各個階段。接下來,從網絡安全策略管理的角度,我們回顧了紅藍攻擊和防御全景框架以及報告中的動態演繹。
在攻防過程中,紅藍雙方圍繞被保護對象(神經中樞目標)制定攻防策略。作為防御方,在政策制定、暴露趨同、邊境保護、區域控制和強控制的任何階段,都需要具備全球安全政策分析和靈活管控能力,以實現全面覆蓋和有針對性的安全保護。
1.戰略制定階段
政策制定需要綜合考慮資產屬性、保護能力、威脅情報和網絡架構,從全局角度制定全面、實用的政策體系:需要考慮安全政策與業務系統的一致性原則,根據業務系統的合規性設計政策;也有必要考慮登陸戰略系統的技術可行性,盡量減少主觀形成的戰略運行和維護風險。
其中,僅僅一個簡單的域間訪問控制策略就讓許多網絡管理者舉步維艱。
2.暴露表面的會聚階段
許多網絡運營商在分析資產的暴露面時使用不同的手段,如數據層、應用層、主機層和網絡層。由于缺乏整體的相關性分析,曝光面的會聚效果往往不能令人滿意。
例如,如果企業不接受修補程序修復,似乎只有一個選項來接受主機的漏洞風險。但是,通過對總體策略的綜合分析,我們可以得到一些暴露面收斂的建議,如網絡阻塞和上游控制。通過對安全策略的整體分析,可以突破個體安全能力的障礙,評估資產暴露的風險,并提供收斂措施,使暴露面的收斂更加便捷。
3.邊境保護階段
邊界保護需要將網絡架構與攻擊者的邊界突破手段結合起來,制定嚴格的邊界保護策略,最重要的是要注意安全策略的準確實施。由于各種安全防護能力、各種防護策略以及主觀因素的限制,在策略運行和維護過程中不可避免地會出現配置不合理甚至錯誤的情況,這就給攻擊者留下了機會。
4.區域控制階段
無論是傳統的縱深防御系統還是新興的零信任網絡架構,其核心都是通過區域間的隔離策略來阻擋攻擊在網絡中的橫向滲透。在實際的動態攻防過程中,也有必要強調保護策略和監控能力之間的有效聯系,以便及時控制橫向滲透。
5.強控制階段
強化控制階段是攻擊者突破堡壘的最后一道防線。無論是通過主機的微隔離還是網絡的阻斷,都應該把策略的實施作為具體的手段。
綜上所述,網絡安全策略管理貫穿于紅藍攻防實戰推演的每一個階段,策略管理的質量將在很大程度上決定攻防的最終結果。
經過近十年的技術積累和成熟的戰略智能運維產品,安博托已經形成了一套完整的安全戰略自動化運維解決方案:
1)構建網絡安全控制的全球視角
從全球角度來說,網絡拓撲可能是網絡運營商考慮得最快的。簡單網絡拓撲更注重路由選擇
因此,網絡安全控制的全局視角需要通過安全控制策略來構建。該方案收集和分析了網絡和安全設備的控制策略,通過關聯分析建立了包括設備連接、路由指向、地址映射、訪問控制等全維信息的網絡安全拓撲結構,從業務角度解決了信息建設和應用中網絡和安全的融合問題,避免了網絡廣播和安全封鎖的“兩張皮”現象。圖:網絡安全拓撲結構
網絡安全控制的全局視角就像一張作戰地圖,使防御方能夠清晰地看到自己的網絡態勢,并根據全局保護態勢在不同階段全面制定保護策略。
2)建立安全策略審查和優化機制
安全策略更改有兩種可能性:一種是帶有配置錯誤的正常業務更改,如沖突策略和空策略;另一種是由內部和外部人員進行的惡意更改,例如打開高風險端口或未經授權的訪問權限。這兩種情況都會帶來安全風險,并使辯護方處于不利地位。有效的安全政策優化和審查可以充分發現這些政策風險,提高風險暴露趨同、邊境保護和區域控制的效果。圖:安全策略優化梳理圖:域間訪問路徑圖:策略風險檢查圖:策略更改警報
3)建立安全控制策略的自動運行維護和審核機制
為避免戰略風險的引入,有必要建立安全控制策略的自動運行、維護和審核機制,實現從策略變更請求、業務連接狀態判斷、策略變更路由建議、業務變更風險分析、策略自動生成和配置驗證到策略變更審核的全過程控制系統,以確保安全控制策略運行和維護的效率和準確性。圖:戰略變化的全過程控制系統
4)建立網絡攻擊事件快速響應機制
根據檢測到的網絡攻擊事件,通過自動路由阻斷和策略阻斷對權限進行強有力的控制,構建神經中心目標的最后堡壘。
目前,安全策略自動運行維護解決方案已廣泛應用于政府、金融、運營商、能源、大型企業等工業網絡,為網絡安全策略的合規性、可靠性和不間斷管理提供全方位的技術支持,幫助防御方行業用戶更好地體驗網絡安全帶來的價值。
關于安博東
北京安博托科技有限公司(“安博托”)是中國領先的視覺網絡安全核心系統產品和安全服務提供商。2019年,它成為中國首個登陸科技板塊的網絡安全企業。
由其自主開發的ABT SPOS可視化網絡安全系統平臺,已經成為眾多一線廠商和大型解決方案集成商使用最廣泛的網絡安全系統套件,是中國多個部委和中央企業安全態勢感知平臺的核心組件和數據引擎。
有關更多詳細信息,請參考: