从网络安全策略管理的角度,我将带你回到红蓝攻防实战推演。
2020年5月12日,由几代顾问、PCSA安全能力联盟、包括安本在内的数十个安全能力和第三方组织共同参与的《年度大型攻防实战全景:红蓝深度思考及多方联合推演》报告正式发布,让许多读者对攻防对抗有了全新的认识。
作为防御手段的重要体现,安全策略贯穿于实战推演的各个阶段。接下来,从网络安全策略管理的角度,我们回顾了红蓝攻击和防御全景框架以及报告中的动态演绎。
在攻防过程中,红蓝双方围绕被保护对象(神经中枢目标)制定攻防策略。作为防御方,在政策制定、暴露趋同、边境保护、区域控制和强控制的任何阶段,都需要具备全球安全政策分析和灵活管控能力,以实现全面覆盖和有针对性的安全保护。
1.战略制定阶段
政策制定需要综合考虑资产属性、保护能力、威胁情报和网络架构,从全局角度制定全面、实用的政策体系:需要考虑安全政策与业务系统的一致性原则,根据业务系统的合规性设计政策;也有必要考虑登陆战略系统的技术可行性,尽量减少主观形成的战略运行和维护风险。
其中,仅仅一个简单的域间访问控制策略就让许多网络管理者举步维艰。
2.暴露表面的会聚阶段
许多网络运营商在分析资产的暴露面时使用不同的手段,如数据层、应用层、主机层和网络层。由于缺乏整体的相关性分析,曝光面的会聚效果往往不能令人满意。
例如,如果企业不接受修补程序修复,似乎只有一个选项来接受主机的漏洞风险。但是,通过对总体策略的综合分析,我们可以得到一些暴露面收敛的建议,如网络阻塞和上游控制。通过对安全策略的整体分析,可以突破个体安全能力的障碍,评估资产暴露的风险,并提供收敛措施,使暴露面的收敛更加便捷。
3.边境保护阶段
边界保护需要将网络架构与攻击者的边界突破手段结合起来,制定严格的边界保护策略,最重要的是要注意安全策略的准确实施。由于各种安全防护能力、各种防护策略以及主观因素的限制,在策略运行和维护过程中不可避免地会出现配置不合理甚至错误的情况,这就给攻击者留下了机会。
4.区域控制阶段
无论是传统的纵深防御系统还是新兴的零信任网络架构,其核心都是通过区域间的隔离策略来阻挡攻击在网络中的横向渗透。在实际的动态攻防过程中,也有必要强调保护策略和监控能力之间的有效联系,以便及时控制横向渗透。
5.强控制阶段
强化控制阶段是攻击者突破堡垒的最后一道防线。无论是通过主机的微隔离还是网络的阻断,都应该把策略的实施作为具体的手段。
综上所述,网络安全策略管理贯穿于红蓝攻防实战推演的每一个阶段,策略管理的质量将在很大程度上决定攻防的最终结果。
经过近十年的技术积累和成熟的战略智能运维产品,安博托已经形成了一套完整的安全战略自动化运维解决方案:
1)构建网络安全控制的全球视角
从全球角度来说,网络拓扑可能是网络运营商考虑得最快的。简单网络拓扑更注重路由选择
因此,网络安全控制的全局视角需要通过安全控制策略来构建。该方案收集和分析了网络和安全设备的控制策略,通过关联分析建立了包括设备连接、路由指向、地址映射、访问控制等全维信息的网络安全拓扑结构,从业务角度解决了信息建设和应用中网络和安全的融合问题,避免了网络广播和安全封锁的“两张皮”现象。图:网络安全拓扑结构
网络安全控制的全局视角就像一张作战地图,使防御方能够清晰地看到自己的网络态势,并根据全局保护态势在不同阶段全面制定保护策略。
2)建立安全策略审查和优化机制
安全策略更改有两种可能性:一种是带有配置错误的正常业务更改,如冲突策略和空策略;另一种是由内部和外部人员进行的恶意更改,例如打开高风险端口或未经授权的访问权限。这两种情况都会带来安全风险,并使辩护方处于不利地位。有效的安全政策优化和审查可以充分发现这些政策风险,提高风险暴露趋同、边境保护和区域控制的效果。图:安全策略优化梳理图:域间访问路径图:策略风险检查图:策略更改警报
3)建立安全控制策略的自动运行维护和审核机制
为避免战略风险的引入,有必要建立安全控制策略的自动运行、维护和审核机制,实现从策略变更请求、业务连接状态判断、策略变更路由建议、业务变更风险分析、策略自动生成和配置验证到策略变更审核的全过程控制系统,以确保安全控制策略运行和维护的效率和准确性。图:战略变化的全过程控制系统
4)建立网络攻击事件快速响应机制
根据检测到的网络攻击事件,通过自动路由阻断和策略阻断对权限进行强有力的控制,构建神经中心目标的最后堡垒。
目前,安全策略自动运行维护解决方案已广泛应用于政府、金融、运营商、能源、大型企业等工业网络,为网络安全策略的合规性、可靠性和不间断管理提供全方位的技术支持,帮助防御方行业用户更好地体验网络安全带来的价值。
关于安博东
北京安博托科技有限公司(“安博托”)是中国领先的视觉网络安全核心系统产品和安全服务提供商。2019年,它成为中国首个登陆科技板块的网络安全企业。
由其自主开发的ABT SPOS可视化网络安全系统平台,已经成为众多一线厂商和大型解决方案集成商使用最广泛的网络安全系统套件,是中国多个部委和中央企业安全态势感知平台的核心组件和数据引擎。
有关更多详细信息,请参考: