2024HW-防守思考
1.護網(wǎng)相關(guān)定義
(1)護網(wǎng)定義
護網(wǎng)行動是以公安部牽頭的,用以評估企事業(yè)單位的網(wǎng)絡(luò)安全的活動。具體實踐中。公安部會組織攻防兩方,進攻方會在一個月內(nèi)對防守方發(fā)動網(wǎng)絡(luò)攻擊,檢測出防守方(企事業(yè)單位)存在的安全漏洞。通過與進攻方的對抗,企事業(yè)單位網(wǎng)絡(luò)、系統(tǒng)以及設(shè)備等的安全能力會大大提高。“護網(wǎng)行動”是國家應(yīng)對網(wǎng)絡(luò)安全問題所做的重要布局之一。“護網(wǎng)行動”從2016年開始,隨著我國對網(wǎng)絡(luò)安全的重視,涉及單位不斷擴大,越來越多的單位都加入到護網(wǎng)行動中,網(wǎng)絡(luò)安全對抗演練越來越貼近實際情況,各機構(gòu)對待網(wǎng)絡(luò)安全需求也從被動構(gòu)建,升級為業(yè)務(wù)保障剛需。
(2)護網(wǎng)分類
護網(wǎng)一般按照行政級別分為國家級護網(wǎng)、省級護網(wǎng)、市級護網(wǎng);除此之外,還有一些行業(yè)對于網(wǎng)絡(luò)安全的要求比較高,因此也會在行業(yè)內(nèi)部展開護網(wǎng)行動,比如金融行業(yè)。
(3)護網(wǎng)的時間
不同級別的護網(wǎng)開始時間和持續(xù)時間都不一樣。以國家級護網(wǎng)為例,一般來說護網(wǎng)都是每年的7、8月左右開始,一般持續(xù)時間是2~3周。省級大概在2周左右,再低級的就是一周左右。2023年后,時間長達2個月。
2.工作內(nèi)容
(1)安全評估:對現(xiàn)有的系統(tǒng)進行漏洞掃描、滲透測試等,找出可能存在的安全隱患。
(2)配置加固:根據(jù)安全評估的結(jié)果,加強系統(tǒng)的安全性配置。
(3)監(jiān)控與預(yù)警:實時監(jiān)控網(wǎng)絡(luò)流量和系統(tǒng)日志,建立異常行為檢測機制,及時發(fā)現(xiàn)并響應(yīng)安全事件。
(4)應(yīng)急響應(yīng):制定應(yīng)急預(yù)案,在遭受攻擊時能夠迅速采取措施,減少損失。
(5)培訓(xùn)教育:對相關(guān)人員進行安全意識培訓(xùn)和技術(shù)指導(dǎo),提高整體安全水平。
(6)情報共享:與其他組織或機構(gòu)共享威脅情報,共同應(yīng)對網(wǎng)絡(luò)威脅。
3.主要技術(shù)手段
(1)防火墻:控制進出網(wǎng)絡(luò)的數(shù)據(jù)流,阻止非法訪問。
(2)入侵檢測系統(tǒng)(IDS)/ 入侵防御系統(tǒng)(IPS):監(jiān)測網(wǎng)絡(luò)中的異常行為,主動阻斷惡意攻擊。
(3)安全信息與事件管理系統(tǒng)(SIEM):收集并分析來自不同來源的日志數(shù)據(jù),幫助識別潛在的安全威脅。
(4)加密技術(shù):對敏感數(shù)據(jù)進行加密處理,防止數(shù)據(jù)泄露。
(5)虛擬專用網(wǎng)絡(luò)(VPN):為遠程訪問提供安全通道。
(6)補丁管理:定期更新軟件版本,修復(fù)已知漏洞。
4.防守技巧
(1)模擬攻擊:通過紅隊演習(xí)模擬攻擊者的行為,了解自身的弱點。
(2)強化身份驗證:實施強密碼策略,啟用雙因素認證等。
(3)隔離敏感資源:將敏感信息或服務(wù)放置在隔離的網(wǎng)絡(luò)環(huán)境中。
(4)持續(xù)教育:定期進行安全意識培訓(xùn),提高員工對釣魚郵件等社會工程學(xué)攻擊的警惕性。
(5)自動化工具:利用自動化工具減輕人工負擔(dān),提高效率。例如自動日志研判,對攻擊IP自動進行封堵攔截。
(6)合作與交流:與其他組織共享經(jīng)驗和技術(shù),形成聯(lián)合防御機制。
5.防守的一些思考
(1)基于資產(chǎn)和邊界的梳理。
(2)防火墻waf規(guī)則建立及驗證。廠家自帶的規(guī)則可以作為輔助,在實際過程中會產(chǎn)生很多誤報,需要通過平時的積累,對規(guī)則進行驗證,高效應(yīng)對攻擊。設(shè)置攻擊發(fā)現(xiàn)的聲控報警,夜間值班人員不能像機器一樣24小時都沒有問題,終究會有打盹的時候,因此當(dāng)識別真正的攻擊時,可以通過聲音進行提示。
(3)對于起始攻擊的阻斷和隔離。真正攻擊開始時一定有跡象,最開始的時候防住了,后續(xù)就會好很多,如果覺得這個骨頭難啃,攻擊方可能會換一個地方。
(4)預(yù)案及流程。平時的預(yù)案非常重要,當(dāng)發(fā)生真正的攻擊時,需要排查是否是業(yè)務(wù)部門正常的業(yè)務(wù)。因此需要快速進行處理和識別。
(5)外圍情報的收集及攻擊回滾。
