本文转载自微信公众号「微月人话」,作者卫sir 。转载本文请联系微月人话微信官方账号。
在信息安全管理的九大思维文章中,我提出了网络安全的九大思维:CIA思维、深度防御思维、可控思维、自上而下思维、全局思维、成本收益思维、不信任思维、有效思维、道德法规思维。
现在我们来看看这一旦网络攻防开战,这9种思维能用吗?怎么用?
注:近年来,在我国,“信息安全”和“网络安全”两个概念完全相同。
注:本文中的实战实际上是指高水平的网络攻防演练。
1、CIA思维
CIA思维比较高,平时要下功夫加密。(C),校验(I),高可用性高(A)。
战时主要是检验效果。
这就像防守方的墙壁和堡垒,在设计和建筑时要做好,平时要做好维护,战时要检验质量。
值得注意的是,漏洞破坏了完整性(I)的。
各种常见已知漏洞和0day漏洞是攻击者想要发现和使用的,所以必须玩补丁,简单的硬件设备补丁很容易玩,如果是数据库,中间补丁,不那么容易,因为影响相对较大,开发、运维、制造商、测试,将涉及其中。
因此,从一个单位的补丁能力可以看出其整体水平。
2、纵深防御
深度防御思维是头条金科玉律。
要层层防御,层层监控,从边界到网络分区,从服务器到终端,从操作系统到应用程序。
即使敌人通过0day进城后,城里还是到处都是堡垒,到处都是陷阱(蜜罐),到处都有监控。
深度防御可分为物理、技术和管理三个层次。
物理层位于最外层,可以是门、墙、门禁、警卫、狼狗、摄像头、传感器、报警、锁等防护手段。“近源渗透”的。
技术层包括认证、授权、加密、监控、隔离、禁止、限制、恢复、备份等。
在物理和技术仍然触及不到的地方,通过管理手段来防护,比如规章制度、管理要求、现场检查、安全教育、应急演练、战前动员、全员皆兵等等。
顺便说一句,安全圈从不害怕创造新名词。每年都会有几个新词,比如什么ATP、SIEM、SOC、EDR、UEBA、SOAR、RASP等等,其实只是一些东西,各种包装。
一方面,它看起来更高,更容易营销;另一方面,它也是为了简化描述和交流。例如,现在你说“社工”,大家马上就明白了。
3、一切都要控制
可控思维的要点是:可视、可封、坚壁清野。
因为敌我双方都讲究“让对方在明处,让自己在暗处”。所以尽量让攻击队看到最少的东西,让我们看到最多的东西。
这一节是重点,所以我多说。
先说下坚壁清野:把可以忍着不用的业务都停了,把意思不大的专线都shutdown了,把云上的东西都下了,把访客可触及的信息点(网口)都关了,把笔记本上的内部文档都删了。
搜索云盘和github有没有单位的东西,有的话赶紧清理。这也是一个“可视”问题,能看到自己的东西。
上次实战的时候,我已经打了好几天了。一个朋友打电话给我,说我单位有一个系统,开了几个端口。打开一看,真的是对的,吓得我赶紧查IP,却发现IP不是我们的,一开始以为是假网站,后来查了一下,原来是云上开发商的测试系统!
坚壁清野很难做到彻底,但要尽量做到。
以下是攻击“可视”。
在进入服务器之前,攻击都在流量中。
若条件允许,建议大量购买网络流量相关工具,一两个是不够的,要有多个。
首先,我们应该建立一个交通收集平台,收集网络的流量输入,然后按需处理和分发。网络设备给出流量,安全分析工具享受流量。这样,每个安全分析工具都不会像以前那样到处连接镜像。
然后是各种流量分析和处置工具,如WebIDS、APT防护、沙箱、邮件安全WAF、IPS等等,买十八个这样的工具也不多。
最后,流量可追溯性工具是必不可少的。它可以节省所有的流量。上述工具通常不记录全流量。当检查具体的具体流量时,它仍然取决于它。
最好从流量上看到密码暴力猜测,虽然有点难。如果企业认证点集中,则更容易处理。
例如,一个单位的所有系统都使用AD验证密码,然后监控AD如果每秒都有多个密码验证错误,立即报警。
蜂蜜罐是一种独特有效的视觉工具。您可以购买特殊的蜂蜜罐/蜂蜜网络系统、负载平衡设备的蜂蜜罐功能、主机蜂蜜罐、邮箱蜂蜜罐、数据库蜂蜜罐等。简言之,多开一些总是好的。一个典型的中型金融机构也应该有数百个蜂蜜罐。
为了看到主机上的攻击行为,必须有主机安全工具。如密码尝试、漏洞提升、木马上传、远程登录、反弹等shell可以及时看到攻击行为。此外,它还可以发现弱密码并监控它web目录,可以保护可执行文件,可以设置主机蜜罐,总之,这是一件好事,谁用谁知道。
此外,日志汇聚分析平台、报警平台CMDB、应该有威胁情报等,这些都有助于发现和定位攻击。
以下是网络封禁:
- IP禁令应尽可能方便和自动化。可以开发特殊的IP封禁系统,实现方便的一键封禁。必要时,一键关闭线路(即关闭路由器端口)。
- 应具备封禁IP列表的导入功能。在实战中,攻击情报是成千上万的IP方便导入列表。
- 防止误封。不要误封正常用户,不要误封出口地址。您可以将您的地址列入禁止系统的白名单。
- 一些安全工具可以与防火墙连接。通过调用防火墙API接口或命令接口可以自动封禁高危攻击,必要时可以使用,但也要防止误封。
工程师文化自下而上,但作战需要自上而下。
自上而下强调领导的重视和良好的指挥;强调组织严密、协调有力。
领导在组织、动员、规划、决策、资源调动、物流供应等方面发挥着最重要的作用,也是战斗成败的关键因素。
在当今人类社会,“命令体系”它仍然是最有效的战争组织体系。毕竟,人类还没有发展出分散的作战能力,也没有发展出我在如何从高层把握区块链本质中想象的领导作战机制。
今天的攻防演演练中,大量的人集中在ECC,必然会有大量的组织管理工作,如团队合作、规章制度、应急流程等;如场地、车站、门禁、值班、人吃马喂等,需要自上而下的管理,需要领导的指挥、布局、坐着和协调。
不像攻击队、3人不同,防守方是多队作战,指挥部、判断组、监控组、网络组、主机组、终端组、邮件组、应用组,加上24小时排班,少数十人,多数百人。
要和谐有序地在一起工作,除了指挥和命令,还要有协同工具。IM工具(如微信或其他)是首要必要的,在线文档编辑工具可以增加翅膀,监控小组及时报告攻击信息,其他小组快速跟进、分析、定位、确认、禁止,整个团队通过工具协调。
5、全局思维
全局思维是指安全定位自己,不要把自己放在业务上。
因为世界上最重要的任务是发展,安全只是保障。
平时安全要以业务为重;战时,业务可以适当让步,有些业务可以关闭。
但关键业务,仍应保持运营。不能因为害怕而停止。
毕竟,本文所说的战斗实际上只是一种练习。
6、成本收益思维
穷有穷的打法,富有富的打法。
如果你很穷,没有太多的资源和人力,保护最重要的资产,防止最常见的攻击。
攻击者最喜欢的、技术要求最低、最有效的攻击手段无非是漏洞、弱密码和钓鱼邮件。在漏洞中,文件上传的漏洞是非常重要的。
因此,重点防范以上三点。
注:大多数被打穿的人也在这三点上失败了。
所有的漏洞都弥补了,这是一项艰苦的工作,但必须做到。如果真的无法弥补,关闭、隔离或想办法。
仔细检查文件上传入口,如有必要,全部关闭。即使必须上传,也要进行严格的检查和过滤。
在管理上,使用工具发现弱密码、禁止弱密码、强制定期修改密码是通知、检查和通知。
培训大家警惕钓鱼邮件,测试几次,看员工是否掌握了。
假如有钱,那就是买买买,买尽可能多的一流工具,买尽可能多的一流人才。
兵强马壮,一般没问题。
每年都有更新更好的工具,所以每年都要买;
每个工具都有自己的局限性,所以同一类工具可以买到多个;
每个团队都有自己的优缺点,可以同时邀请多个团队。
7、不信任思维
不信任思维很简单,就是不信任内网,不信任内部人士,不信任合作伙伴,最终不信任任任何人或任何东西。
毕竟多一份不信任,少一份不安全。
在某次大型演练中,某处于中心地位的机构被攻破,立刻变成风险中心,所有联入该机构的单位吓得纷纷拔网线。
这也说明外联机构要有明确严格的访问控制策略,只能开业。IP和端口。
从非技术的角度来看,不信任思维主要是为了防止社会工作者。
许多所谓的著名黑客,其实只是社工高手,许多不可思议的突破案例,其实只是精致的社工。
通过培训,告诉大家如何识别钓鱼邮件和社工。
有时候,不仅要拒绝,还要学会深入诱敌。
抓住社工可以加分。
有一次实战,一个单位义正严辞地拒绝了一个自称来修理的人ATM机器,事后回想起来,觉得有些遗憾,错过了加分的机会,应该把他放进去,看看他到底做了什么才开始。
8、检验有效性
顾名思义,有效性意味着你设计和执行的一切都有效。
比如你封IP,是封好了吗?你打补丁了吗?你的监控有用吗?你不让电子邮件,员工点了吗?你制定的流程执行了吗?
所有这些都必须进行测试和验证。
不要指望一个命令下去,一切都会到位。
除非你经常检查。
正式开战前,可以做几次演练,找最厉害的攻击队,实地攻击几次,看能不能突破,看有没有漏洞。
这些都做了,心里才能有点底。
9、实践道德法规思维
法律思想是守法合规;
攻击队可能会感觉更强烈,毕竟,非法攻击将受到惩罚。
双方交战,至少不能误伤群众。
追溯时,往往追溯到普通人,遇到这种情况,应尽快无损退出,而不是进一步扩大“战果”。
我曾经总结过道德思维,就是要正直、尽责、贡献。
这里就不多说了,自然懂。
10、结语
综上所述,作战思维和日常管理思维还是有区别的。虽然实战中会涵盖9种思维,但最重要的思维是“纵深防御”和“可控”,然后是“自上而下”、“成本收益”和“不信任”。
“纵深防御”和“可控”同时也是最费力的,需要长期不懈的建设和战前的密集准备。
如果“纵深防御”到位,又把“可控”思维中的“可视”、“可封”、“坚壁清野”攻击队基本上没有办法开始。
防守者基本上是盯着监控,密封IP,然后翘脚喝咖啡。
假如你不想加分。