在网络红蓝对抗中,如何“守城”?

“守城”的困惑“我是一名网络安全从业者,最近我很焦虑,因为我要守一座城。”这座城是单位的整个网络系统,官道是网络

“守城”的困惑

“我是一名网络安全从业者,最近我很焦虑,因为我要守一座城。”

这座城是单位的整个网络系统,官道是网络链路,城门和哨卡是安全设备(比如防火墙),城内建筑是业务主机等固定资产,城内外人流是流转的数据包,城中情报则是数据资产。我认为这座城现在运行良好,但是敌军必将在近期的某个时间段挥师攻城。

在敌军到来之前要如何完善防御工事,减少破城的可能性?敌军是否会乔装混入城中,什么样的人允许入城?如果敌人埋伏在城中,在攻城时里应外合,怎样及时发现这些细作?假如城防失守,又要如何剿灭城中敌军,并修复破损位置?当敌军窃取我方城内情报时,怎样探知敌军的潜入路线、窃取方式,并防止窃取事件再次发生?这些问题都深深困扰着我。

“过程安全”为你解忧

在红蓝对抗和HW行动中,经常会有防守方发出“怎么办”的感慨。别担心,“过程安全”理念可以让你高枕无忧。

什么是“过程安全”?过程安全架构(SIIP , Security is in Process)是安博通总结自身技术和经验提出的网络安全管理与运维体系框架,它强调:网络安全是一种过程,而不是一个结果,安全只是阶段性的,而威胁是持续性的。本质上网络攻击是一个持续的过程,网络防护是一个持续的过程,那么网络安全自然也是一个持续的过程。

网络攻击过程示意图过程安全架构要如何解除安全从业者的忧虑呢?

SIIP过程安全架构问题一:在敌军到来之前要如何完善防御工事,城中建筑(主机)是否存在脆弱性?

首先,需要明确内网有哪些业务主机,了解主机的详细资产信息、主机上运行的业务、开放端口、现有账号等,对主机资产进行盘点。接着,需要明晰主机上有哪些风险,是否存在漏洞、弱口令、Web后门、可执行恶意程序、Shell脚本等,分析脆弱性风险。

通过SIIP架构中的主机安全可视化模块,进行事前防御优化,发现并弥补主机风险,提升城池自身强度。

SIIP架构之主机安全可视化问题二:如何减少破城的可能性,摸清城池内外的道路、哨卡和入城人流特征?

这就需要绘制城防图,即安全域业务拓扑,实现资产防护边界可视,看清主机是否被防护。同时梳理城池内外的有效业务道路和哨卡准入规则,理清业务路径和安全策略。最后确认哨卡规则有无问题,无关人员是否也可随意出入,对策略风险和主机攻击面进行分析。

通过SIIP架构中的安全架构可视化模块,分析防护策略的健壮性、资产防护的全面性和资产暴露风险,缩减网络暴露面,降低攻入城池的可能。

SIIP架构之安全架构可视化问题三:敌军是否会乔装混入城中?

符合哨卡准入规则的人即可入城,敌人伪装成符合规则的模样同样可以混入。网络攻击使用防火墙开放端口和业务主机可达路径进行攻击,就不会被防火墙拦截,因此需要持续对攻击面进行收敛。

安全架构可视化模块可以与主机安全可视化模块联动,持续可视化评估并收敛网络攻击面,最小化风险暴露面被访问可能,缓解网络风险。

SIIP架构之攻击面分析与收敛过程问题四:被攻击怎么办?如果敌人埋伏在城中,在攻城时里应外合,怎样及时发现这些细作?假如城防失守,又要如何剿灭城中敌军,并修复破损位置?

需要及时准确检测到攻击者嗅探网络、发起攻击或异常外发等行为。受到攻击后,能够快速识别、响应并阻断攻击源,防止威胁进一步扩散。

SIIP架构中的攻击面可视化模块关联安全架构可视、主机安全可视和网络流量可视,实现自动化编排安全策略,多维度数据关联分析,加速调查响应。

SIIP架构之安全监测与自动响应过程问题五:城防失守怎么办?当敌军窃取到我方城内情报时,怎样探知敌军的潜入路线、窃取方式,并防止窃取事件再次发生?

针对已发生的安全事件,SIIP架构通过流量可视、主机可视、架构可视的联动,经过流量溯源,叠加威胁情报功能,可以查出事件详情,找到涉事主机的风险并进行路径溯源,然后进行针对性风险修复、补偿控制或安全加固,防止同类事件再现。

SIIP架构之回溯分析及安全弥补过程“知己知彼,可视可控。”SIIP过程安全架构提供从事前防御优化、事中检测响应到事后回溯分析三维一体的闭环机制,让城池的网络暴露面收敛50%,检测误报率下降30%,应急响应率提升50% ,让防守方在红蓝对抗和HW行动中守城无忧。

后记

“我是一名网络安全从业者,这次的红蓝对抗中我不焦虑了,但怎么样一直不焦虑呢?”

答案就是“过程安全”,网络安全的本质是一个过程,而过程需要持续化。

关于安博通

北京安博通科技股份有限公司(简称“安博通”),是国内领先的可视化网络安全专用核心系统产品与安全服务提供商,2019年成为中国第一家登陆科创板的网络安全企业。

其自主研发的ABT SPOS可视化网络安全系统平台,已成为众多一线厂商与大型解决方案集成商最广泛搭载的网络安全系统套件,是国内众多部委与央企安全态势感知平台的核心组件与数据引擎。

您可能有感兴趣的文章
Check Point:以AI技术赋能云端交付平台化安全如何解决方案

首版“国际版”中国网络安全全景图正式发布,瑞数信息强势入选!

Check Point 推出 Infinity AI Copilot:如何利用智能 GenAI 自动化和支持能力变革网络安全

Check Point 软件技术公司推出 Infinity 平台,引领云端 AI 网络安全新未来

Check Point 全球网络安全回顾,2023 堪称大规模勒索软件攻击元年