江苏龙网

  1. 首页 > 人文 > >

「黑客与极客」对抗中的主动防御:攻防演练和小规模网络对抗的战术分析( 二 )


主动防御或机动防御理念 , 是在真实入侵成功之前通过精确预警 , 有针对性、机动地集中资源重点防御并伺机进行反击 。 在网络安全领域 , 目前其方法论和技术方案尚不成熟 。
在小规模对抗中 , 攻击者可能来自于任何地方 , 但具备攻击能力的人群总数是有限的 , 对有生力量的精力和时间的打击和消耗 , 以及进行可能的自然人溯源 , 是目前我认为的主动防御思想的核心 。
「黑客与极客」对抗中的主动防御:攻防演练和小规模网络对抗的战术分析
本文插图
在传统安全模型中经常提到“木桶原理”、PDCA、PDRR等概念 , 旨在强调加强短板建设、形成周期性闭环等等 , 这些理论是正确的 , 但这些理论的出发点更多的是考虑通过“知己”及“内建” , 以应对外界威胁 , 更适合用来作为指导性思想 , 进行常态化和持久化信息安全建设 。 而在主动防御理论中 , 更优先考虑的是“知彼” , 依据攻击者可能的手段及弱点协调资源进化自己 。
所以在整体资源有限、时间周期不长、攻击者相对较明确的网络攻防中 , 应将资源用于主动防御对抗中 , 这样能更加明显地实现预期效果并取得更优的成果 。
主动防御的出发点应该围绕“敌人” , 方案应该更强调“立竿见影” 。
以下部分将进行主动防御思想体系下 , 应对HW及小规模网络对抗的战术方法介绍 。
四、如果内部安全人员有限 , 可以更多地使用自动化工具或外采人工服务
包括政府、事业单位、央企、国企、大中型企业等在内的大部分组织中 , 受内部信息安全岗位编制、人员专业技能等的局限 , 往往对于突发性或阶段性高强度的网络对抗感到资源有限、力不从心 。 在这种情况下 , 长期或阶段性使用自动化工具会让工作事半功倍 。
这里指出的自动化工具 , 包括:网络资产测绘、漏洞扫描器、IDS/IPS、防火墙、防病毒、云防御、WAF、堡垒机、日志审计、蜜罐、SOC等等常态化信息安全产品 , 更重要的是需要使用SOAR(安全编排自动化响应工具) 。
SOAR是Gartner缔造及推广的 。 一个好的SOAR , 在网络对抗中应该可以做到以下两方面:
第一、可以进行综合数据处理和分析 , 这些数据应该包括资产、风险、威胁、日志、防御状态等等 , 如果有可能 , 最好是能够内置或挂载一些开源情报和秘密情报 , 能够快速构建及调整数据处理和分析模型 。 高效、准确地处理和分析数据 , 与各类情报数据进行匹配 , 可以在攻击初始即发现其动机 , 甚至可以预知攻击的方向及强度 , 再配合人性化的UI界面、大屏展示和趋势分析图 , 可以达到“态势感知”的效果;
第二、可以进行设备联动处理 , 并能够进行一定针对安全工作的流程处理 , 以简化安全事件响应流程 , 极大地缩短事件处理时间 。 在网络对抗中 , 至为关键的因素就是平均检测时间(MTTD)和平均修复时间(MTTR) 。 越准确地发现自己的薄弱点、越高效地发现攻击行为、越快速地进行修复、越简化的工作流程 , 就能使攻击者浪费更多的时间和精力 , 进而耗尽其有生力量 。 而需要达到这样的效果 , 必须依托于自动化处理手段;
以上 , 一方面可以进行小规模网络对抗 , 在建设完成后 , 也可以完善常态化网络安全建设 。
「黑客与极客」对抗中的主动防御:攻防演练和小规模网络对抗的战术分析
本文插图
不过在SOAR建设初期 , 由于其专业性及需要与所在组织和流程进行磨合 , 以达到默契 , 所以这方面工作更建议阶段性使用安全服务?? , 以期能够快速打造出初始效果 , 并在之后进行阶段性调整 , 以完善其效果 。 这部分一般是需要人工服务的 。
另一方面 , 在进行正常流程之外遇到突发事件 , 包括一些无法完全自动化和工具化的工作中 , 例如:黑客入侵中后期的应急响应、反制和溯源等等 , 以及在完善的SOAR建设起来之前和建设中 , 是需要人工专家服务的 , 如果资源较少可以使用阶段性服务 , 这样可以集中优势资源迅速占领对抗中的制高点 。


推荐阅读


上一篇:小红书■“种草”社区头牌小红书,如何走出商业化迷途?

下一篇:【真创业者】真创业者社群:2020年4月10日投融资事件汇总