約定目標和手段:選擇適當的系統作為目標是很重要的,切忌將目標設置的過于簡單,會導致攻防演練的效果大打折扣。建議將演練目標設定為保障手段比較完善,且對企業非常重要的系統。另外,在約定目標的同時當然也要約定攻擊隊的手段,以避免對企業實際運行業務造成影響。比如:應避免使用DDoS、DNS(Domain Name System)劫持、ARP(AddressResolution Protocol)欺騙等手段。從這個約定可以看出,由于種種限制,攻擊隊并不能發現網絡安全所有的問題,在真實對抗中這些破壞性攻擊是很有可能出現的。所以,在攻防演練之外,企業安全團隊要單獨考慮這些破壞性攻擊的可能性和應對機制。
網絡攻防演練能給企業帶來以下價值:
弱點發現:與漏洞掃描和滲透測試一樣,攻防演練也一定會找到企業IT系統的脆弱性問題。尤其像提到的,企業對自己內部的安全能力已經很有信心的情況下,能找到企業的脆弱性問題就不僅僅是一兩個漏洞的問題。很可能是幫助企業安全團隊發現自己工作中的一個盲點,甚至盲維。
考驗對抗能力:由于有防守方的實時參與,攻防演練在給攻擊方團隊帶來挑戰的同時,更能考驗企業安全團隊的實時對抗能力。對于防守方來說,實時對抗在日常工作中是很難遇到的,而一旦遇到很可能是場生死之戰。所以,攻防演練是一個很難得的機會,讓防守方可以考驗自己的實時對抗能力。具體來說可以分為:實時檢測能力、實時防御能力、應急響應能力。企業可以在開展演練之前全面梳理這三方面的能力。在啟動攻防演練后,并不是坐等結果就可以的。攻防演練中還需要關注以下關鍵點,以保證攻防演練的質量。
約定目標和手段:選擇適當的系統作為目標是很重要的,切忌將目標設置的過于簡單,會導致攻防演練的效果大打折扣。建議將演練目標設定為保障手段比較完善,且對企業非常重要的系統。另外,在約定目標的同時當然也要約定攻擊隊的手段,以避免對企業實際運行業務造成影響。比如:應避免使用DDoS、DNS(Domain Name System)劫持、ARP(AddressResolution Protocol)欺騙等手段。從這個約定可以看出,由于種種限制,攻擊隊并不能發現網絡安全所有的問題,在真實對抗中這些破壞性攻擊是很有可能出現的。所以,在攻防演練之外,企業安全團隊要單獨考慮這些破壞性攻擊的可能性和應對機制。
防御手段:在絕大部分情況下,演練過程中防守方都會選擇嚴防死守,但嚴防也要考慮一個度的問題。比如,為了防御住攻擊方的入侵,防守方選擇以A段(如:202.0.0.0/8)為封堵單位,雖然可以取得很好的封堵效果,但也會嚴重影響業務的連續性。在實際攻防場景中也是不太可能實現的。因為演練主要還是為了應對真正的攻擊行為,所以防御手段也應盡量采用實際對抗中可能采用的手段。
結果分析:攻防結束后,最重要的環節就是對結果的分析。只有做好這一步才能真正體現攻防演練的價值。為了全視角觀察整個過程,我們會從攻擊者和防御者兩個視角去分析結果,這與對安全事件的復盤方式有些類似。在第7章將展開論述復盤工作的要點。
指導建設:通過結果分析,會發現我們在安全保障體系上的不足,這是下一步安全建設的重要參考。筆者在與很多安全團隊管理者溝通時,經常會聽到對申請資源困難的抱怨。我給他們的建議是從安全事件入手去提出安全需求,畢竟相比于相對務虛地建設一個安全保障體系,解決以前出現過的問題更容易讓人接受。在短期內沒有出現過安全問題的情況下,攻防演練的結果就是安全團隊重要的參考。所以,再次強調,一定要重視攻防演練的結果分析。
回答所涉及的環境:聯想天逸510S、Windows 10。