?

?

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題變得日趨突出和重要，愈演愈烈的網(wǎng)絡(luò)攻擊也成為企業(yè)安全的新挑戰(zhàn)。因此，如何識(shí)別網(wǎng)絡(luò)環(huán)境中的各種威脅，并采取有效的措施防范和消除隱患，已成為保證網(wǎng)絡(luò)安全的重點(diǎn)?！毒W(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的頒布，要求各行業(yè)單位和主管部門定期開展應(yīng)急演練，在實(shí)戰(zhàn)中及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)架構(gòu)中的風(fēng)險(xiǎn)點(diǎn)，提升企業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)能力和快速應(yīng)急響應(yīng)能力。

演習(xí)活動(dòng)經(jīng)過(guò)近幾年的發(fā)展，攻擊方的專業(yè)水平已大幅提高，逐漸呈現(xiàn)出隱秘化、APT化的趨勢(shì)。其利用滲透技術(shù)對(duì)目標(biāo)系統(tǒng)做深入探測(cè)，不斷挖掘防守方網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，這就要求防守方構(gòu)建立體式縱深防護(hù)體系來(lái)抵御入侵。同時(shí)，基于攻擊者的多點(diǎn)攻擊，威脅檢測(cè)設(shè)備會(huì)產(chǎn)生龐大的安全告警事件，防守方需要進(jìn)行多源融合，將相關(guān)事件利用算法聚類關(guān)聯(lián)分析，并配置自動(dòng)化的處置能力，以此提高應(yīng)急響應(yīng)效率，避免攻擊者進(jìn)一步漫延。但防守方僅做到堅(jiān)守陣地是不可取的，信息的不對(duì)等化導(dǎo)致其處于天然的劣勢(shì)，如何誘敵深入并溯源攻擊者身份才是得分的關(guān)鍵。綜上所述，防守方在攻防戰(zhàn)役中的主要技戰(zhàn)法可歸納為：縱深防御、網(wǎng)安聯(lián)動(dòng)、誘捕溯源，以下從這三方面進(jìn)行闡述防護(hù)方案。

縱深防御方案

參照《等級(jí)保護(hù)制度條例2.0》相關(guān)標(biāo)準(zhǔn)，以“一個(gè)中心，三重防御”為指導(dǎo)原則，從安全區(qū)域邊界、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)和安全管理中心等方面落實(shí)安全保護(hù)縱深技術(shù)要求，利用不同區(qū)域、不同層面的安全保護(hù)措施形成有機(jī)的安全保護(hù)體系。同時(shí)，圍繞重要區(qū)域和網(wǎng)絡(luò)系統(tǒng)重點(diǎn)布防，切實(shí)有效地設(shè)置安全防護(hù)措施、監(jiān)控檢查措施和響應(yīng)阻斷措施，多層次阻斷攻擊鏈，增強(qiáng)抵御威脅的能力。

方案設(shè)計(jì)思路：

構(gòu)建縱深的防御體系從“通訊網(wǎng)絡(luò)》區(qū)域邊界》計(jì)算環(huán)境”分層落實(shí)各種安全防御措施。

采取互補(bǔ)的安全措施各安全控制措施在層面內(nèi)、間產(chǎn)生協(xié)同關(guān)聯(lián)，共同作用于保護(hù)對(duì)象。

保證一致的安全強(qiáng)度防止某個(gè)層面安全功能的減弱導(dǎo)致整體安全保護(hù)能力的削弱。

建立統(tǒng)一的管理平臺(tái)保證各個(gè)層面的安全功能在統(tǒng)一的策略管控下實(shí)現(xiàn)，各安全設(shè)備在可控的條件下發(fā)揮作用。

等級(jí)保護(hù)方案構(gòu)建縱深安全防御體系，擺脫網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等單點(diǎn)的防護(hù)現(xiàn)狀，實(shí)現(xiàn)網(wǎng)絡(luò)安全綜合管理，并充分考慮各種技術(shù)的組合和功能的互補(bǔ)性，建立多道安全能力，增加攻擊成本和攻擊難度。

網(wǎng)安聯(lián)動(dòng)方案

除了構(gòu)建防護(hù)能力，對(duì)企業(yè)更重要的是如何快速響應(yīng)和處置，最大程度的攔截入侵。自動(dòng)化的處置能力可以有效阻斷威脅，防止攻擊者進(jìn)一步入侵探測(cè)組網(wǎng)架構(gòu)；同時(shí)可以減輕現(xiàn)場(chǎng)運(yùn)維人力投入，降低企業(yè)日常運(yùn)維成本。

方案設(shè)計(jì)思路：

利用邊界防護(hù)網(wǎng)關(guān)（防火墻）基于指紋特征匹配及時(shí)攔截惡意流量入侵。

利用沙箱對(duì)文件進(jìn)行靜態(tài)和動(dòng)態(tài)深度檢測(cè)，發(fā)現(xiàn)潛在惡意未知威脅。

利用HiSec Insight態(tài)勢(shì)感知系統(tǒng)全面感知網(wǎng)絡(luò)資產(chǎn)狀態(tài)、網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、通過(guò)日志與全流量綜合分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊跟蹤；同時(shí)與防火墻聯(lián)動(dòng)下發(fā)自動(dòng)處置策略，自動(dòng)高效攔截惡意攻擊。

自動(dòng)化的監(jiān)測(cè)、檢測(cè)、響應(yīng)防護(hù)系統(tǒng)，可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài)，使得防守方能夠便捷地進(jìn)行網(wǎng)絡(luò)攻擊事件的關(guān)聯(lián)與研判，大幅提升網(wǎng)絡(luò)安全防御的工作效率，為防守方獲取證據(jù)鏈提供有利條件。

誘捕溯源方案

當(dāng)前網(wǎng)絡(luò)形勢(shì)下，伴隨著僵木蠕病毒的傳播，系統(tǒng)0day漏洞威脅、APT攻擊、社會(huì)工程學(xué)攻擊等攻擊手法不斷涌現(xiàn)，這些攻擊使用傳統(tǒng)基于特征匹配的檢測(cè)防御技術(shù)很難有效檢測(cè)出。所以，防守方在修繕加固自身堡壘的同時(shí)，也逐漸由被動(dòng)防御向主動(dòng)防御做轉(zhuǎn)變，通過(guò)構(gòu)建欺騙防御系統(tǒng)對(duì)攻擊者實(shí)施誘捕。

方案設(shè)計(jì)思路：

部署內(nèi)網(wǎng)誘捕探針監(jiān)控橫向擴(kuò)散流量，部署端點(diǎn)誘捕防護(hù)能力感知主機(jī)層探測(cè)行為，擴(kuò)大蜜網(wǎng)感知面，提高誘捕成功效率。

部署蜜網(wǎng)系統(tǒng)構(gòu)造陷阱混淆黑客攻擊目標(biāo)，延緩攻擊者對(duì)真實(shí)網(wǎng)絡(luò)的探測(cè)，同時(shí)結(jié)合攻擊反制和攻擊溯源精確獲取黑客的網(wǎng)絡(luò)身份和指紋信息，以便對(duì)其進(jìn)行攻擊者取證分析。

部署HiSec Insight態(tài)勢(shì)感知系統(tǒng)根據(jù)誘捕系統(tǒng)告警信息關(guān)聯(lián)分析，判定、呈現(xiàn)威脅狀況，下發(fā)決策給SecoManager控制器聯(lián)動(dòng)防火墻處置閉環(huán)。

防守方利用蜜網(wǎng)系統(tǒng)詳細(xì)記錄攻擊者行為細(xì)節(jié)，高效捕獲攻擊者源IP、設(shè)備指紋和網(wǎng)絡(luò)身份，快速進(jìn)行身份溯源甚至反制。同時(shí)，配置蜜罐聯(lián)動(dòng)HiSec Insight態(tài)勢(shì)感知系統(tǒng)，實(shí)現(xiàn)統(tǒng)一分析、自動(dòng)聯(lián)動(dòng)處置閉環(huán)。

結(jié)束語(yǔ)

本文介紹了在攻防演練中常用的三個(gè)防御方案，企業(yè)應(yīng)針對(duì)攻防演練的實(shí)戰(zhàn)結(jié)果進(jìn)行科學(xué)總結(jié)，對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)及時(shí)整改，結(jié)合自身的系統(tǒng)情況和業(yè)務(wù)特點(diǎn)，有效提升網(wǎng)絡(luò)安全保障能力。同時(shí)還需要不斷強(qiáng)化全員安全意識(shí)，加強(qiáng)各部門之間協(xié)作，逐步優(yōu)化完善自身安全防護(hù)體系，確保網(wǎng)絡(luò)安全防護(hù)能力最大化?！　?/p>