如果说网络安全的本质是攻防,那么攻防的本质又是什么呢?
这里给出一个答案:攻防的本质,就是人与人的对抗,是人与人网络安全意识的对抗。大家可能也认同这个观点,但很多人却是错认了对抗的对象。
比如红队攻击手段中常用的社工、钓鱼,是蓝队在对抗吗?其实并不是,针对社工、钓鱼攻击,与红队直接对抗的是全体职员。全体职员都需要掌握比如常用攻击流程、攻击手段、安全操作规范等方面的安全知识。只要有一个职员的安全意识不足被突破,就有可能让所有的防御措施失效,让蓝队的所有准备归零。
其次,面对红队直接的网络攻击时,蓝队也并不是直接的对抗对象。因为对这类攻击来说,本质是体现在对安全漏洞的掌握上。而常见的安全漏洞实际上是来源于开发人员的产品架构、程序代码上面。与红队直接对抗的其实是网络安全设备、网络安全软件、业务应用系统等背后的开发人员。
最后,红蓝对抗才体现在网络安全设备、网络安全软件能否有效发现攻击行为、攻击特征上,体现在蓝队能否通过网络安全设备、流量分析、系统日志等发现、阻止红队的攻击行为上。如果把网络安全的防御,全部寄托在网络安全设备上、寄托在安全运维人员上是很错误的,因为网络安全设备和安全运维人员也不能防止大多数的0day攻击。蓝队人员反而是攻防中的最后一道防线。
防御体系建设的关键!
防御体系的建设和发展,在于提高全民网络安全意识、提高开发人员的安全开发水平、提高安全厂商的创新能力与产品的技术水平、提高安全运维人员的技能水平,四个方面都缺一不可。只有这四个方向同时都得到发展,才有可能渐渐改变20年来,攻防体系发展失衡的现状。
如何建设战力更强的防守组织?
面对纵深化的防守要求,建立清晰、高效的人员组织体系已成为协同式防御工作的重要基础。我们在多次实战化攻防对抗中,提炼出一套行之有效的防守方人员分工体系。
首先,防守方人员组织体系最重要的就是“扁平化”,以减少决策层级,赋予前敌一线人员最大的决策处置权限,做到未雨绸缪。
其次,防守方的组建需要企业管理层自顶向下进行推进。团队的建设离不开跨中心、跨部门多方协调资源,所以必须选择一名懂专业、善沟通、权威性强的角色来牵头。
第三,防守方行动组应包括统筹组、事件上报组、监控组、研判组、溯源反制组、处置组,且各组之间需分工明确,密切配合。
借助上述组织结构,防守方可在横向上以监控组为抓手实时把控,实现异常情况的快速响应,借助研判组的研究与分析制定解决方案。同时,异常情况交由处置组和溯源组并行处理,在解决风险的同时进行溯源。在纵向上,以事件上报组为纽带向下收集安全事件并进行归因分析,向上输出定性报告并给出结果导向。
以统筹组统一调度,以事件上报组为枢纽,以监控组、研判组、溯源反制组、处置组为抓手的人员分布模型,固化落实了监控、研判、溯源等一系列防御工作。该模型将不同阶段的防守责任明晰到人,使防守工作更加高效,并在过往的多次攻防实践中获得一致好评。
“红蓝对抗”是企业网络安全防御能力的试金石,企业可通过开展常态化的内部“红蓝对抗”来不断完善对抗机制,从而提升演练效果,做好内部红蓝军队伍建设。通过模拟网络遭到攻击的情况,锻炼和建设情报共享、应急反应处置、协同作战的能力,从而不断提升企业安全防护能力。