加入星計劃,您可以享受以下權益:

  • 創(chuàng)作內容快速變現
  • 行業(yè)影響力擴散
  • 作品版權保護
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
    • 實戰(zhàn)化安全運營體系建設理念
    • 從臨時演練防護模式到運營體系建設
    • 為什么要寫這本書?
  • 相關推薦
  • 電子產業(yè)圖譜
申請入駐 產業(yè)圖譜

紅藍攻防實戰(zhàn)技術———實戰(zhàn)化運營體系的落地

09/26 08:56
468
閱讀需 10 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論

在探討面向實戰(zhàn)的常態(tài)化安全運營體系建設之前,我們先來明確一下安全運營的定義。安全運營是為了實現組織的安全目標,提出安全解決構想、驗證效果、分析問題、診斷問題、協調資源、解決問題并持續(xù)迭代優(yōu)化的統(tǒng)籌管理過程,是為了滿足組織信息安全的動態(tài)性、持續(xù)性和整體性需求,保持和提升安全狀態(tài)與安全能力的過程。

實戰(zhàn)化安全運營體系建設理念

在面臨不同的安全場景時,企業(yè)的防御體系需要選擇不同的安全防護模式。例如在臨時演練期間,企業(yè)的防御體系通常會選用一系列的防護技術來構成,在這個場景下,企業(yè)更多地考慮是技術的互補、產品能力的異構等,為了成績而投入大量資源。但在日常工作中,企業(yè)的安全建設不僅僅是安全產品和技術的堆疊,更需要考慮安全與業(yè)務的平衡、安全資源的有效整合,以及如何使有限的投入發(fā)揮最大的價值 。

因此,我們認為企業(yè)應建設一套防護體系,將網絡安全工作體系化,通過制定不同的防御策略,來應對各種企業(yè)可能面臨的安全風險。在這個需求下,面向實戰(zhàn)的常態(tài)化安全運營體系應運而生。搭建一套安全運營平臺、實現全網安全設備數據集中管控,及安全態(tài)勢數據可視化展示,為網絡安全管理工作提供數據支撐。建立一個安全運營體系,貫穿預警、防護、監(jiān)測、響應和處置各環(huán)節(jié),實現資產、漏洞、威脅閉環(huán)管理,降低業(yè)務安全風險。打造一支高效的安全運營團隊,立足實戰(zhàn)化能力建設,提升網絡安全防護水平,保障業(yè)務平穩(wěn)運行。

通過安全運營建設,將攻防演習啟動、備戰(zhàn)、演練、保障、總結階段的工作落實到常態(tài)化規(guī)劃、建設、運營,并通過統(tǒng)一和協調企業(yè)的技術工具、人員能力、流程規(guī)范,對企業(yè)在實戰(zhàn)期間及日常面臨的安全風險進行識別、防御、檢測、響應、恢復等全方位的安全運營防護,持續(xù)提升威脅感知和事件響應能力,降低威脅處置時間以及企業(yè)面臨的安全風險,實現可持續(xù)安全運營保障 。

從臨時演練防護模式到運營體系建設

很多企業(yè)在大型演練活動結束之后,都面臨著資源的投入無法維持 (如臨時部署的設備需下線、 臨時投入的人員需離場);制度難以繼續(xù)推行,恢復日常模式后,安全對業(yè)務的影響容忍度大大降低等問題。企業(yè)安全水平也隨之回到最初的起點,再次遇到攻防演練活動時,企業(yè)還需繼續(xù)從頭開始。通過打造常態(tài)化安全運營體系,借助安全運營將突擊性的演習保障工作轉化為常態(tài)化、實戰(zhàn)化、體系化的安全運營能力。

在演習成果的基礎上進一步提升企業(yè)安全水平,保障業(yè)務安全,將演習的價值最大化。但建設一個適合企業(yè)實際情況的常態(tài)化運營體系,僅靠攻防演練成果參考略顯單薄。在安全運營建設前期,通常引入“安全運營能力成熟度模型”這一內容,對企業(yè)的安全運營情況做一次評估。通過評估定位當前安全運營水平,安全運營能力成熟度,發(fā)現企業(yè)當前存在的短板,明確企業(yè)安全運營需達成目標后,制定后續(xù)的運營建設方案。

本文主要描述常態(tài)化運營體系中基本流程體系建設,根據以往的實踐,本文所涉及的建設內容對標運營能力成熟度3級,企業(yè)可根據自身運營能力成熟度及目標調整建設內容。以下為國內某網絡安全公司安全運營能力成熟度模型 (如圖2所示),以及成熟度各級別對應的運營狀態(tài) (如圖3所示)。

圖2.某網絡安全公司安全運營能力成熟度模型

圖3.安全運營能力成熟度級別對應運營狀態(tài)

為什么要寫這本書?

最早萌生寫這本書的想法,是2019年戰(zhàn)隊成立之際,我與幾個戰(zhàn)隊創(chuàng)始人及核心骨干坐在一起討論,要打造一支怎樣的攻防隊伍,我們要如何向業(yè)界,發(fā)出自己驚雷般的聲音。很快,我們就確認了“以攻促防,以攻塑防”的技術理念。這在當時駢興錯出的攻防實驗室和團隊里面,并不特殊,但我們并不只是喊喊口號,而是要堅定地朝著攻防轉換的研究方向去發(fā)展,用最直接的成果和應用來證明我們的技術理念。

因此,我們分別設立了以高級攻擊技術研究、攻擊自動化以及基于ATT&CK框架的專業(yè)紅隊評估為目標的實戰(zhàn)攻防小組,以及專注于前沿檢測與防護技術研究、產品對抗能力提升、防御能力度量以及威脅分析與狩獵的威脅對抗小組。“攻”,我們要在有限的資源下做到行業(yè)領先,在過去的幾年時間里戰(zhàn)隊在各級實戰(zhàn)攻防演練和賽事中屢獲佳績,并且實現了“K”系列全攻擊階段行動的武器化自研;“防”,我們要做到技術前沿和能力落地,戰(zhàn)隊將“靈”系列的防御能力評估與驗證、域攻擊檢測、Webshell檢測引擎、加密流量檢測以及高頻攻擊場景的檢測能力輸入至安全產品側,并連續(xù)多年在實戰(zhàn)中成功擊退攻擊組織及頂級隊伍。我們在實戰(zhàn)中鍛煉隊伍,驗證成果,同時在攻防之間進行所需研究的方向和技術的突破,持續(xù)循環(huán)。

這本書既蘊含了梅花K戰(zhàn)隊過去幾年的一部分沉淀,也象征著我們秉持最初的技術理念,想要分享給業(yè)界和從業(yè)人員的聲音。時至今日,攻防之間如何轉換,依然是橫在各大攻防團隊從技術研究到實現價值之間的一堵墻,我們需要一種有力的武器,突破攻防之間的這道墻,讓攻防之間不只是對抗,還有思想的融合。我們有幸,在“以攻促防,以攻塑防”的技術理念中走出了自己的道路并有了不少的收獲。希望這本書能夠成為讀者手中趁手的兵器,打破攻防之間的鴻溝。讀者對象為參加攻防對抗的網絡安全人員、甲方企業(yè)信息安全部門從業(yè)人員、其他對網絡安全感興趣的讀者。

如何閱讀這本書

全書共10章,分為紅方攻擊篇(第1~5章)和藍方防守篇(第6~10章)兩大部分。

第1章介紹互聯網信息收集?;ヂ摼W信息收集是攻防演練中的第一步,也是非常重要的一步,本章講解了攻擊者視角下的攻防演練信息收集手法。

第2章介紹外網邊界突破。外網邊界突破是攻防演練中的得分門檻,只有獲取突破點之后,才能進行后續(xù)的內網滲透和橫向移動,本章將從正面突破、釣魚社工、供應鏈攻擊、近源滲透方面介紹攻擊者如何獲取邊界突破點。

第3章介紹內網滲透。包含內網信息收集、內網漏洞利用、內網邊界突破三個維度,介紹了內網滲透環(huán)節(jié)的常見思路和技巧。

第4章介紹權限提升與維持。權限提升與維持是攻防演練中關鍵的一環(huán),本章講解了實戰(zhàn)中常見的權限提升與維持的攻擊手法,以及樣本免殺技術。

第5章介紹攻擊方經典案例。本章案例均為作者團隊在實際項目中落地的案例,希望通過案例的介紹為大家展示部分典型場景下可能發(fā)生的問題及對應的解決方案。

第6章介紹防護體系常用技術。本章主要介紹防守方常用的一些工具、產品及技術,并介紹了作者團隊為解決保障中的一些常見問題而自研的工具平臺。

第7章介紹實戰(zhàn)防護體系的落地。本章主要講解了實戰(zhàn)防護體系的建設過程及方法,以防守方的視角落地實戰(zhàn)期間的安全防護體系。

第8章介紹實戰(zhàn)化運營體系的落地。本章主要講解了實戰(zhàn)化安全運營理念,包含如何將實戰(zhàn)成果沉淀至日常的保障中,以及如何通過常態(tài)化的運營實現可持續(xù)的安全保障。

第9章介紹典型攻擊突破場景的防護策略。本章結合攻擊案例,講解了幾類特殊攻擊突破場景下的防守策略。

第10章介紹防守方經典案例。本章案例均為作者團隊在實際項目中的落地實踐,希望通過案例的介紹為讀者展示部分典型場景下可能發(fā)生的問題及對應的解決方案。

本書看點:

撰? 稿? 人:計旭

責任編輯:張淑謙

審? 核? 人:曹新宇

相關推薦

電子產業(yè)圖譜