在探討面向?qū)崙?zhàn)的常態(tài)化安全運營體系建設之前,我們先來明確一下安全運營的定義。安全運營是為了實現(xiàn)組織的安全目標,提出安全解決構(gòu)想、驗證效果、分析問題、診斷問題、協(xié)調(diào)資源、解決問題并持續(xù)迭代優(yōu)化的統(tǒng)籌管理過程,是為了滿足組織信息安全的動態(tài)性、持續(xù)性和整體性需求,保持和提升安全狀態(tài)與安全能力的過程。
實戰(zhàn)化安全運營體系建設理念
在面臨不同的安全場景時,企業(yè)的防御體系需要選擇不同的安全防護模式。例如在臨時演練期間,企業(yè)的防御體系通常會選用一系列的防護技術(shù)來構(gòu)成,在這個場景下,企業(yè)更多地考慮是技術(shù)的互補、產(chǎn)品能力的異構(gòu)等,為了成績而投入大量資源。但在日常工作中,企業(yè)的安全建設不僅僅是安全產(chǎn)品和技術(shù)的堆疊,更需要考慮安全與業(yè)務的平衡、安全資源的有效整合,以及如何使有限的投入發(fā)揮最大的價值 。
因此,我們認為企業(yè)應建設一套防護體系,將網(wǎng)絡安全工作體系化,通過制定不同的防御策略,來應對各種企業(yè)可能面臨的安全風險。在這個需求下,面向?qū)崙?zhàn)的常態(tài)化安全運營體系應運而生。搭建一套安全運營平臺、實現(xiàn)全網(wǎng)安全設備數(shù)據(jù)集中管控,及安全態(tài)勢數(shù)據(jù)可視化展示,為網(wǎng)絡安全管理工作提供數(shù)據(jù)支撐。建立一個安全運營體系,貫穿預警、防護、監(jiān)測、響應和處置各環(huán)節(jié),實現(xiàn)資產(chǎn)、漏洞、威脅閉環(huán)管理,降低業(yè)務安全風險。打造一支高效的安全運營團隊,立足實戰(zhàn)化能力建設,提升網(wǎng)絡安全防護水平,保障業(yè)務平穩(wěn)運行。
通過安全運營建設,將攻防演習啟動、備戰(zhàn)、演練、保障、總結(jié)階段的工作落實到常態(tài)化規(guī)劃、建設、運營,并通過統(tǒng)一和協(xié)調(diào)企業(yè)的技術(shù)工具、人員能力、流程規(guī)范,對企業(yè)在實戰(zhàn)期間及日常面臨的安全風險進行識別、防御、檢測、響應、恢復等全方位的安全運營防護,持續(xù)提升威脅感知和事件響應能力,降低威脅處置時間以及企業(yè)面臨的安全風險,實現(xiàn)可持續(xù)安全運營保障 。
從臨時演練防護模式到運營體系建設
很多企業(yè)在大型演練活動結(jié)束之后,都面臨著資源的投入無法維持 (如臨時部署的設備需下線、 臨時投入的人員需離場);制度難以繼續(xù)推行,恢復日常模式后,安全對業(yè)務的影響容忍度大大降低等問題。企業(yè)安全水平也隨之回到最初的起點,再次遇到攻防演練活動時,企業(yè)還需繼續(xù)從頭開始。通過打造常態(tài)化安全運營體系,借助安全運營將突擊性的演習保障工作轉(zhuǎn)化為常態(tài)化、實戰(zhàn)化、體系化的安全運營能力。
在演習成果的基礎上進一步提升企業(yè)安全水平,保障業(yè)務安全,將演習的價值最大化。但建設一個適合企業(yè)實際情況的常態(tài)化運營體系,僅靠攻防演練成果參考略顯單薄。在安全運營建設前期,通常引入“安全運營能力成熟度模型”這一內(nèi)容,對企業(yè)的安全運營情況做一次評估。通過評估定位當前安全運營水平,安全運營能力成熟度,發(fā)現(xiàn)企業(yè)當前存在的短板,明確企業(yè)安全運營需達成目標后,制定后續(xù)的運營建設方案。
本文主要描述常態(tài)化運營體系中基本流程體系建設,根據(jù)以往的實踐,本文所涉及的建設內(nèi)容對標運營能力成熟度3級,企業(yè)可根據(jù)自身運營能力成熟度及目標調(diào)整建設內(nèi)容。以下為國內(nèi)某網(wǎng)絡安全公司安全運營能力成熟度模型 (如圖2所示),以及成熟度各級別對應的運營狀態(tài) (如圖3所示)。
圖2.某網(wǎng)絡安全公司安全運營能力成熟度模型
圖3.安全運營能力成熟度級別對應運營狀態(tài)
為什么要寫這本書?
最早萌生寫這本書的想法,是2019年戰(zhàn)隊成立之際,我與幾個戰(zhàn)隊創(chuàng)始人及核心骨干坐在一起討論,要打造一支怎樣的攻防隊伍,我們要如何向業(yè)界,發(fā)出自己驚雷般的聲音。很快,我們就確認了“以攻促防,以攻塑防”的技術(shù)理念。這在當時駢興錯出的攻防實驗室和團隊里面,并不特殊,但我們并不只是喊喊口號,而是要堅定地朝著攻防轉(zhuǎn)換的研究方向去發(fā)展,用最直接的成果和應用來證明我們的技術(shù)理念。
因此,我們分別設立了以高級攻擊技術(shù)研究、攻擊自動化以及基于ATT&CK框架的專業(yè)紅隊評估為目標的實戰(zhàn)攻防小組,以及專注于前沿檢測與防護技術(shù)研究、產(chǎn)品對抗能力提升、防御能力度量以及威脅分析與狩獵的威脅對抗小組?!肮ァ保覀円谟邢薜馁Y源下做到行業(yè)領(lǐng)先,在過去的幾年時間里戰(zhàn)隊在各級實戰(zhàn)攻防演練和賽事中屢獲佳績,并且實現(xiàn)了“K”系列全攻擊階段行動的武器化自研;“防”,我們要做到技術(shù)前沿和能力落地,戰(zhàn)隊將“靈”系列的防御能力評估與驗證、域攻擊檢測、Webshell檢測引擎、加密流量檢測以及高頻攻擊場景的檢測能力輸入至安全產(chǎn)品側(cè),并連續(xù)多年在實戰(zhàn)中成功擊退攻擊組織及頂級隊伍。我們在實戰(zhàn)中鍛煉隊伍,驗證成果,同時在攻防之間進行所需研究的方向和技術(shù)的突破,持續(xù)循環(huán)。
這本書既蘊含了梅花K戰(zhàn)隊過去幾年的一部分沉淀,也象征著我們秉持最初的技術(shù)理念,想要分享給業(yè)界和從業(yè)人員的聲音。時至今日,攻防之間如何轉(zhuǎn)換,依然是橫在各大攻防團隊從技術(shù)研究到實現(xiàn)價值之間的一堵墻,我們需要一種有力的武器,突破攻防之間的這道墻,讓攻防之間不只是對抗,還有思想的融合。我們有幸,在“以攻促防,以攻塑防”的技術(shù)理念中走出了自己的道路并有了不少的收獲。希望這本書能夠成為讀者手中趁手的兵器,打破攻防之間的鴻溝。讀者對象為參加攻防對抗的網(wǎng)絡安全人員、甲方企業(yè)信息安全部門從業(yè)人員、其他對網(wǎng)絡安全感興趣的讀者。
如何閱讀這本書
全書共10章,分為紅方攻擊篇(第1~5章)和藍方防守篇(第6~10章)兩大部分。
第1章介紹互聯(lián)網(wǎng)信息收集?;ヂ?lián)網(wǎng)信息收集是攻防演練中的第一步,也是非常重要的一步,本章講解了攻擊者視角下的攻防演練信息收集手法。
第2章介紹外網(wǎng)邊界突破。外網(wǎng)邊界突破是攻防演練中的得分門檻,只有獲取突破點之后,才能進行后續(xù)的內(nèi)網(wǎng)滲透和橫向移動,本章將從正面突破、釣魚社工、供應鏈攻擊、近源滲透方面介紹攻擊者如何獲取邊界突破點。
第3章介紹內(nèi)網(wǎng)滲透。包含內(nèi)網(wǎng)信息收集、內(nèi)網(wǎng)漏洞利用、內(nèi)網(wǎng)邊界突破三個維度,介紹了內(nèi)網(wǎng)滲透環(huán)節(jié)的常見思路和技巧。
第4章介紹權(quán)限提升與維持。權(quán)限提升與維持是攻防演練中關(guān)鍵的一環(huán),本章講解了實戰(zhàn)中常見的權(quán)限提升與維持的攻擊手法,以及樣本免殺技術(shù)。
第5章介紹攻擊方經(jīng)典案例。本章案例均為作者團隊在實際項目中落地的案例,希望通過案例的介紹為大家展示部分典型場景下可能發(fā)生的問題及對應的解決方案。
第6章介紹防護體系常用技術(shù)。本章主要介紹防守方常用的一些工具、產(chǎn)品及技術(shù),并介紹了作者團隊為解決保障中的一些常見問題而自研的工具平臺。
第7章介紹實戰(zhàn)防護體系的落地。本章主要講解了實戰(zhàn)防護體系的建設過程及方法,以防守方的視角落地實戰(zhàn)期間的安全防護體系。
第8章介紹實戰(zhàn)化運營體系的落地。本章主要講解了實戰(zhàn)化安全運營理念,包含如何將實戰(zhàn)成果沉淀至日常的保障中,以及如何通過常態(tài)化的運營實現(xiàn)可持續(xù)的安全保障。
第9章介紹典型攻擊突破場景的防護策略。本章結(jié)合攻擊案例,講解了幾類特殊攻擊突破場景下的防守策略。
第10章介紹防守方經(jīng)典案例。本章案例均為作者團隊在實際項目中的落地實踐,希望通過案例的介紹為讀者展示部分典型場景下可能發(fā)生的問題及對應的解決方案。
本書看點:
撰? 稿? 人:計旭
責任編輯:張淑謙
審? 核? 人:曹新宇