攻防論道之總結篇 | 往者不可諫,來者猶可追
網絡攻防演練的目的是發現當前關鍵信息基礎設施防護體系中存在的不足,找出解決的方案。因此在演練結束之后,必須及時進行復盤總結,以期全面改進。在總結階段,需要做三項工作:過程復盤、經驗總結和提升規劃。
一、 過程復盤
1. 安全事件匯總分析
攻防演練防護結束后,攻防演練防護項目組將對演練期間的數據進行匯總,并從以下維度展開分析:
- 攻擊事件
- 針對不同的攻擊事件進行攻擊時段、頻率、次數的統計,分析常見攻擊事件行為,識別已受攻擊的業務風險。
- 風險等級
- 風險等級由高到低排序,重點關注高危行為,根據高危行為指向的目的地址,識別易受攻擊的業務模塊。
- 攻擊路徑
- 復現環境拓撲,還原攻擊者的入侵路徑,分析攻擊思路,回溯業務薄弱環節,根據薄弱點制定對應的加固措施。
- 漏洞利用
- 匯總攻擊者入侵路線所利用的漏洞,追溯漏洞形成原因。
2. 缺陷問題輸出閉環
攻防演練防護項目組將針對重大保障前期的待處理事件和中期發生的安全事件進行梳理,根據安全問題風險程度由高到低設置處理優先級,繪制輸出安全事件跟蹤表,內容包括但不限于:問題分類、影響范圍、問題描述、發現時間、處置完成時間、主要跟進人、問題進展、是否閉環、事件優先級等。
二、 經驗總結
完成對演練過程中安全事件的全面復盤之后,就進入了經驗總結環節。經驗總結一般從兩方面進行:防守經驗和反制經驗。
1.防守經驗
在備戰階段,項目組進行了資產安全評估、業務缺陷識別、風險整改推進、防護能力補差、整體策略優化和意識能力培訓。在做經驗總結時,項目組需要全面回顧前期的工作,判斷在資產安全評估中是否有遺漏的資產被攻擊方發現,是否有未修復的漏洞被攻擊方利用;在業務缺陷識別中是否有未識別的缺陷造成數據泄露,是否有供應鏈被攻擊方利用;在風險整改中是否已知風險未閉環使得攻擊方得分;在防護能力補差中是否有短板未消除,新增的安全防護設備是否真正起到了作用;在整體策略優化中是否能從優化后的日志中快速定位攻擊事件,是否切實減少了誤報而沒有增加漏報;在意識能力培訓中是否做到了全員安全意識增強,而沒有被攻擊隊釣魚利用。
2.反制經驗
攻防演練的過程也是項目組溯源反制能力的檢驗過程。在本階段主要總結是否發現了攻擊方利用的0day漏洞,是否定位了攻擊方的真實IP,是否通過溯源發現了攻擊方的人員真實信息。
三、 提升規劃
通過經驗總結,項目組可以明晰整個攻防演練過程中的成績和不足。這些不足暴露了當前網絡和業務系統中存在的安全薄弱部分,也就是需要改進的方向。
網絡攻防演練,既是檢查網絡安全建設成果的試金石,也是指導開展下一步建設的指路燈。通過攻防演練,企業應以體系化建設為指引,構建“全場景、可信任、實戰化”的安全運營能力,實現“全面防護,智能分析,自動響應”的防護效果,使得企業的網絡安全平穩健康的發展。
