《03张佳发-网络战争场景下的事前防御思考.pdf》由会员分享,可在线阅读,更多相关《03张佳发-网络战争场景下的事前防御思考.pdf(21页珍藏版)》请在三个皮匠报告上搜索。
1、网络战争场景下的事前防御思考张佳发南方电网数字集团 高级经理世界战争格局01现代战争表现02国家企业思考03解决方案04 随着网络化的迅速发展和全球化进程的加速,各国为维护自身的竞争优势和国家利益,通过互联网收集情报、实施网络攻击等行动,将网络空间与现实地缘政治相互交织,形成新的“战场”,其中高级持续威胁(APT)攻击是最具威胁性的攻击类型。具有专业性、攻击技术手法成熟、攻击方案较为先进等特点,给当前防御手段带来极大的挑战。因此,亟需防御APT攻击解决方案,提升APT攻击检测和防御能力,应对不断变化的网络威胁。01 世界战争格局l网络空间战场 自2022年2月24日俄乌冲突正式爆发以来,双方在
2、网络上展开了大规模、高强度的对抗。俄乌双方在网络对抗中构建了大批前沿阵地,组合运用 DDoS 攻击、数据擦除软件等多种工具及攻击手段,广泛应用于政府单位、关键基础设施等领域,给双方造成巨大损失,凸显网络攻击在现代战争中的巨大威力。02 现代战争表现l俄乌冲突作战目标上,瞄准军事、关键基础设施双方均将网络攻击目标瞄准对方军事、关键基础设施,旨在造成敌方社会混乱、通信中断,削弱政府军事及民间机构的协同作战能力。02 现代战争表现l俄乌冲突网络战特点攻击手段上,运用多种手段制造打击本次冲突中,俄罗斯使用的攻击活动包括DDoS攻击、钓鱼欺诈、漏洞利用、供应链攻击、恶意数据擦除攻击等,扩大网络攻击的杀伤
3、面。作战力量上,国家力量、黑客组织主导冲突俄乌冲突的网络作战主力是国家级网络力量、黑客组织及民间力量,多方势力纷纷表态和行动,为此次冲突增加了更多复杂性。作战方式上,辅以心理战和舆论战作战俄乌双方在发动网络战的同时,综合运用心理战、舆论战,制造心理威慑、引导舆论走向,以达到全面压制、舆论胜利的效果。10月7日,伴随着数千枚火箭弹的发射,巴勒斯坦伊斯兰抵抗运动(哈马斯)宣布对以色列发动军事行动。随着现实世界中的冲突爆发,多方势力的黑客行动主义组织开始在双方网络空间区域内进行持续的博弈,攻击方式主要以DDoS为主,并包括数据窃取、网站污损等其他攻击手段实施网络攻击,宣传对己方有利的言论,引导舆论导
4、向。02 现代战争表现l巴以冲突02 现代战争表现l巴以冲突网络战特点破坏性DDoS攻击成为国家级网络战重要手段大量物联设备不断接入互联网,脆弱性广泛存在,成为DDoS攻击的主要目的。针对关键基础设施的攻防对抗成为网络战的关键关键基础设施方面已成为现代战争的首要选项,因其可用性、完整性、保密性对国家安全至关重要。黑客组织影响网络攻防和认知态势走向非国家级黑客组织可以在任何时间、任何地点、任何位置自主对目标实施网络攻击。网络战成为现代战争的首要选择因成本低、隐蔽性强、溢出效应显著等原因,网络攻击行动已成为现代战争的首要选项。湖北省武汉市公安局江汉分局发布警情通报称,武汉市应急管理局地震监测中心的
5、部分网络设备被植入木马病毒,初步判定这一事件为境外具有政府背景的黑客组织和不法分子发起的网络攻击行为。国家计算机病毒应急处理中心和360公司对木马病毒进行了溯源分析,获悉该境外黑客组织来自美国,攻击的原因是地震监测中心的相关数据可推导出某区域的地下结构和岩性。02 现代战争表现l关键信息基础设施的攻防战03 国家企业思考随着信息化的快速发展,国家之间的“战争”已逐渐演变为网络空间的较量。在网络空间新战场上,国家利益是APT攻击的重要驱动原因之一。攻击者针对目标国家企业实施APT攻击,通过获取目标企业的敏感信息、情报等重要资源,实现对受害国的政治和经济利益产生深远的影响。信息化的快速发展影响国家
6、政治、经济网络空间战场攻击者损害目的国家利益APT攻击目的国家企业敏感信息、情报等资源演变提供驱动攻击获取实现目的l国家利益驱动03 国家企业思考l遭受APT攻击原因随着国际局势的紧张变化和网络博弈的加剧,2023 年上半年,趋于政治因素的各类 APT 攻击活动显著增加。国家企业遭受APT攻击的主要原因为以下方面:政治动机 因地缘政治因素,APT攻击成为国家之间冲突、竞争或敌对关系的表现形式之一。旨在削弱敌对国家或获取战略优势,实现自身利益最大化。软件漏洞 由于软件行业中的微软产品或服务普遍存在漏洞,已上升为除了政府以外的第二大易受到APT组织攻击的原因。重要价值 APT攻击其主要目标是政府机
7、构、大型企业、关键基础设施等。通过利用各种技术手段,获取目标的敏感信息、情报等价值。03 国家企业思考l事前防御为有效应对APT攻击,企业应全面梳理企业数字资产清单,并主动进行漏洞扫描和识别,以发现存在的漏洞和威胁。同时,还应梳理攻击链路,了解攻击者可能利用的路径和手段,以便更好地防范和应对APT攻击。1、全面梳理企业数字资产清单 通过建立数字资产管理体系,梳理数字资产,完善资产准确性、完整性,为资产漏洞风险排查奠定基础。2、主动发现资产存在的威胁 对已梳理的资产进行漏洞扫描及威胁识别,识别资产是否存在漏洞,以便后续的修复和应对。3、梳理明晰攻击链路 通过对传播路径的推导和分析,可了解攻击者的
8、攻击路径、目标等,以便更好防范和应对APT攻击。04 解决方案l指导思想以“摸清家底、找出漏洞、通报结果、督促整改”为指导思想,全面摸清企业数字资产情况,掌握存在安全风险和漏洞资产,通报漏洞扫描和识别结果,并督促相关部门进行整改,以便更好保护企业数字资产安全,应对APT攻击等网络安全事件。指导思想对企业内部资产进行全面、准确、详尽的梳理。摸清家底在已梳理的资产上进行风险识别,识别潜在的漏洞和弱点。找出漏洞支撑将漏洞结果及时、精准通报至相应部门及人员。通报结果督促相应部门及人员整改修复已发现的安全漏洞。督促整改通报整改04 解决方案l解决思路解决思路包括事前、事中、事后三方面,核心为事前检测,全
9、面掌控资产信息、开展安全检测,当发现发现后,事中将快速开展应急工作,定位资产确定威胁范围,事后持续监测存在风险资产,闭环完成整改工作。1、事前 全面摸查企业全方位资产信息,并主动进行脆弱性分析、弱口令扫描,识别潜在的资产风险漏洞。2、事中 当发现风险后,快速关联定位风险资产;并提供风险治理规范流程、治理步骤,准确解决问题。3、事后 实时掌握资产动态、持续监测风险整改状态,全局掌握风险整改进度。04 解决方案l解决技术以资产测绘技术手段为基础,实现自动化全网资产排查和精准漏洞定位,并关联漏洞资产及风险接口,打破原有资产扫描探测不准确的现状,提升网络资产安全管理效率和质量。04 解决方案l解决技术
10、点n 快速定位资产+精准POC扫描验证通过主动扫描探测与Agent本机自检两种技术手段,实现快速定位网络资产,精准对指定资产执行POC扫描、弱口令验证等风险检测任务,在威胁来临之前消除资产安全风险。n 主机网络拓扑+业务流图形展示结合通过主机网络拓扑、业务流图形展示结合,并基于资产收集数据和关系模型,关联分析展示主机网络拓扑、业务资产全链路。04 解决方案l解决流程-资产数据采集与流转分析数据关联分析多维度收集模式主动资产探测主机Agent流量数据获取多维度收集模式多维数据提供资产关联性分析基底数据库中间件web服务API接口容器资产数据流向与分析数据采集层数据关联分析层网络策略有向拓扑资产依
11、赖有向拓扑基础服务04 解决方案l解决流程-脆弱性发现与传播路径自主推导信息聚合推理 选择主动探针或主机Agent的poc验证方式,获取脆弱性验证数据POC业务系统 主机Agent支持无感式点对点可达性发现,获取可达性数据业务系统业务系统脆弱性发现可达性发现可视化传播路径04 解决方案l解决流程-敏感数据传输发现对API访问的数据进行持续监测评估,自动梳理API 接口中的敏感数据流,并生成API接口与敏感数据映射。04 解决方案l解决流程-API威胁检测在识别API资产的基础之上,综合利用智能规则匹配及行为分析的智能威胁检测,持续监控并分析流量行为。智能威胁检测引擎在用户与应用程序交互的过程中
12、收集数据,并利用统计模型来确定 HTTP 请求的异常。网络流量到其他特征向量到时间序列值标记向量的URL 到实体关系按动作顺序内部威胁业务风险数据泄露数据采集客户端数据采集客户端数据采集客户端数据采集客户端数据采集客户端应用会话外部攻击特征引擎输出数据数据采集引擎输入数据04 解决方案l解决标准和主旨目的从溯源的角度、攻击者角度开展企业攻击面管理,探测网络资产是否存在潜在漏洞和风险,对突发漏洞进行精准定位。并定位关联漏洞资产,实现以战时可对抗APT攻击为标准,构建事前网络防御工事,打造网络空间民族新长城,提升自身的网络安全防御能力,有效应对APT攻击。溯源角度攻击者角度企业网络资产数据库中间件web服务API接口容器基础服务漏洞资产定位关联探测实现有效应对APT攻击THANKS