在网络安全“实战化、常态化、体系化”背景下,实战攻防演练成为检验企业网络安全体系建设的有效手段,提升安全运营水平的常备动作,依据实战攻防演练实践经验,我们把网络安全保障工作分为四个阶段:备战阶段、临战阶段、实战阶段、总结阶段。
1、备战阶段: 在备战阶段中,主要完成网络安全保障的准备工作,包括全网资产梳理、攻击面风险识别、防御能力验证,内网横移路径识别等。
2、临战阶段: 完善网络安全保障机制,打通应急响应流程,加强网络安全保障能力,改进缺陷和不足,并进行内部网络安全保障工作的预演、安全培训宣贯,为实战阶段提前做好准备工作。
3、实战阶段: 在实战阶段中,重点加强防护过程中的安全保障工作,各组人员各司其职,从攻击监测,攻击分析,攻击阻断,漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果,避免非必要减分,并主动获取各项加分。
4、总结阶段: 在实战阶段结束后,会进入总结复盘阶段,对网络安全保障工作过程中发生的安全事件进行汇总整理,对攻击路径进行溯源分析,总结安全防护缺陷,总结本次网络安全保障攻防演练的工作成果并进行汇报,将网络安全保障工作形成常态化运营。
在网络安全保障工作几个阶段中,其中备战与临战阶段是网络安全保障工作的极为重要的阶段,通过该阶段的信息收集、风险摸排,找出企业网络中真实存在的漏洞风险、防护风险,并有针对性的进行安全加固和风险治理,将企业要面临的安全风险问题降至最低,以及通过网络安全保障工作预演,检验安全保障机制,在面对正式的实战攻防对抗心不慌。
对于企业来说安全保障人员要完成全网资产梳理、对全网风险进行摸排,识别验证漏洞风险并进行加固修复、安全设备策略检查与优化,每项工作都需要大量人力支撑,工作量巨大,企业面对任务重、时间紧、人手不够的情况,往往会邀请外部的安服人员协助完成相关工作,在增加成本投入同时,安全服务效果也难保障。
在备战阶段,企业常常会遇到如下问题:
1、内外网资产台账信息是否全面,准确?能否为网络安全保障工作做好基础数据支撑?
2、漏扫扫描出的漏洞是否存在误报?哪些是真实存在且可被利用的漏洞?什么攻击手段会利用这些漏洞?哪些漏洞对业务有影响,需要优先修复?对于不能及时修复的漏洞是否有相应的防护措施?
3、安全监控与防护设备是否发挥作用?特征库是否更新为最新?安全策略能否实现业务全覆盖?面对新型的网络攻击能否有效检测和阻断?
4、全网共有多少条攻击入侵路径?什么样的攻击会能够利用这些风险路径进行入侵?如何即准确又全面的识别这些风险路径,以及如何聚焦精力进行有效治理?
基于上述系列的问题分析,灰度安全专家建议企业亟需采用自动化评估手段,即自动化对全网进行风险摸排,包括安全设备防护风险评估、资产可利用漏洞摸排验证、整体网络纵深风险路径识别,从而支撑企业红蓝对抗演习,减少大量重复性成本的投入。
自动化风险评估帮助企业解决如下问题:
1、通过扫描方式自动发现企业网络中存活的IP资产及WEB资产,并识别资产开放的端口、服务等资产指纹信息,帮助企业自动梳理内外网资产,形成准确、全面的资产信息台账,加强资产信息精细化管理同时收敛攻击暴露面。
2、通过漏扫扫描排查与POC漏洞验证手段结合手段,精准验证企业资产真实可利用漏洞,帮助企业尽可能全面识别资产可利用漏洞;并通过VPC技术对漏洞风险进行计算,指导漏洞修复先后顺序。
3、通过实战攻击模拟技术手段,对企业网络安全监测与防护设备如防火墙、WAF、IPS、安全网关、EPP/EDR、数据防泄漏、IDS、NTA等,对安全设备覆盖完整性、策略健壮性、设备内核能力进行评估验证,分析出安全设备监测及防护不足,帮助企业有针对性的对安全设备进行优化策略及产品升级。
4、通过风险链路感知技术,对入侵风险的链路进行绘制,分析网络入侵攻击与资产漏洞的利用关系,帮助企业聚焦入侵风险有针对性进行治理,对目标系统重点把守。
通过自动化风险评估,减少人工成本投入同时缩短评估周期,精准高效的帮助企业进行安全保障工作备战阶段全网风险摸排,以及临战阶段内部保障工作预演的支撑。企业在实现风险评估工作的常态化运营的同时,建立攻防知识与经验沉淀机制,持续提升企业安全运营工作效益。
灰度安全率先提出的网络安全管理的全新理念,通过自动化攻击模拟技术,构建可弹性扩展的专项评估场景,度量网络安全风险,提升安全防御体系对抗能力,实现企业安全管理的可感、可控。灰度安全自主研发的先知·智能风险评估系统,助力企业数字化安全运营,提升企业网络安全实战化风险对抗能力,让企业安全价值看得见。