《2019年面向常态化对抗的安全运营.pdf》由会员分享,可在线阅读,更多相关《2019年面向常态化对抗的安全运营.pdf(27页珍藏版)》请在三个皮匠报告上搜索。
1、面向常态化对抗的安全运营目录1.企业如何面对有组织有针对性的“实战”对抗2.从普适性的安全运维转向专业性常态化的安全运营3.以安全运营的视角构建面向对抗的安全体系目录企业如何面对有组织有针对性的“实战”对抗01“实战”背景下的安全新常态“实战”是检验安全的唯一标准:各类法律法规标准,网络安全法,等保2.0,各类网络安全管理规定,数据安全管理办法等等,加深了对企业的管理粒度,传统监督检查手段也在由沙盘推演向攻防演习转变。20062018年,美军先后举行的大规模“网络风暴”演习共6次。近几年我国由主管单位牵头的红蓝对抗演习也常态化开展,政企安全建设都面临新的挑战。攻击目标转变:重要单位都是国家级网
2、空对抗中的分子。攻击体系提升:人员向有组织化,专业化提升。攻击手段升级:成建制攻击,对互联网暴露攻击面的梳理。外围情报共享,攻击具有更快的攻击速度,打击更精准。政企面临威胁升级“实战”对抗趋于常态化实战的专业化趋势资产发现端口扫描指纹识别敏感路径探测关联域名探测社工、钓鱼、水坑漏洞测试供应链研究公开资源研究创建攻击树扫描结果关联分析可利用效果验证WAF绕过反病毒检测监测机制回避逆向、流量分析常用WEB攻击模糊测试获取内网敏感信息横向渗透提权、权限维持与长期控制建立隧道中间人劫持清理痕迹前期探测人员黑客组织内网后渗透人员反编译人员社工人员网络设备及集权类设备安全主机安全生产网环境安全系统边界应用
3、安全渗透测试后渗透信息收集漏洞分析控制权核心业务获取核心数据安全核心能力发展参差不齐基 础 架 构被 动 防 御积 极 防 御威 胁 情 报反 制 进 攻加 强 自 身强 身 健 体构 建 工 事纵 深 防 御全 面 监 测快 速 响 应获 取 情 报准 确 预 警进 攻 反 制先 发 制 人 传 统 安 全 防 护 纵 深 防 御 体 系 缩 小 攻 击 面 消 耗 攻 击 资 源 迟 滞 攻 击 持 续 检 测 响 应 完 善 防 御 体 系 信 息 收 集 情 报 生 产 情 报 分 析 验 证 狩 猎 法 律 手 段 对 抗 措 施 自 我 防 卫 行 为安 全 分 析追 踪 溯 源响
4、 应 处 置如同我国基本国情一样,安全核心能力亦是贫富不均 安 全 管 理 体 系 安 全 域 划 分 安 全 加 固 安 全 评 估 应 用 内 建 安 全新挑战与老难题攻防之间理解层面的差异网络安全观的偏差移动端,虚拟化,物联网,急剧扩张的业务及资产。让企业无法准确判断其攻击面。资产边界,攻击面扩大建设思路很多还停留在合规即免责的基础上,“目的性”很明确,没有切实的上升到安全生产的高度。企业大多不了解攻击手段,更不会投入到攻击手段的研究分析。看似“风平浪静”实则“暗流涌动”。网络安全依然还是纸面工作很多单位报告的水平远比技术水平高,网络安全工作更多停留在口头喊重视,人财物投入严重不足。无法
5、选择的大背景对象业务大量依托互联网+的业务互联网+重要关键基础设施社会影响涉及持续性生产、持续性服务的业务可用性大规模用户的敏感数据用户数据关键敏感重要用户的关系延伸价值直接面向大规模用户提供服务TO C即使这些因素都不存在,那也还有一个因素运气互联网出口缩减互联网服务关停突击改口令突击上设备外部力量情报共享联盟“战时“情况全民动员俱乐部打法战术大师也得有必要的人力资源国家队打法自身要硬,内外结合长期准备长期准备,就是居安思危,有计划、有步骤地实行网络安全建设。平时组织网络安全建设,做好网络安全各项准备,是战时保护关键信息系统安全的基础和前提。因此,在日常工作中,必须结合体系建设、基础设施建设
6、,有计划、有步骤地做好网络安全的各项准备,只要存在安全威胁,这项工作就不能停止。重点建设重点建设,就是在服从整体建设大局的前提下,区分轻重缓急,有重点、分层次地实施网络安全建设。这体现了网络安全建设与信息化建设的依赖关系,是和平时期统筹安排网络安全建设的要求。根据单位情况和国家安全监管要求需要,网络安全建设以关键基础设施为重点,特别以核心数据中心、互联网服务以及关系核心生产数据的重要目标为重点。平战结合平战结合,就是在确保战备效益的前提下,兼顾社会效益、投资效益。这充分反映了具有中国特色的网络安全特点,是网络安全发展的必由之路,也是信息化发展对网络安全的客观要求。实践证明,网络安全平战结合,有
7、利于网络安全长期准备,提高网络安全整体防护能力;有利于信息化发展,为企业做贡献;有利于增强网络安全自身发展能力。“平战结合”时刻准备打仗战时较量始于平时准备,“有备则制人,无备则制于人。从普适性的安全运维转向专业性常态化的安全运营02运营运维可用价值由运维至运营理念的变化通过人、工具(平台、设备)、发现安全问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化的过程,通常可以称之为安全运营。常态化运营的构成基础设施(工具平台)以合理的架构方式选择设备布防,实现控制与感知保持所有安全设备的高可用性,确保监控是有效的安全运营以资产、漏洞、补丁、策略等基础配置工作为基石。以检测与响应为核心驱动力
8、,形成闭环体系。安全管理以自身单位体制机制为出发,结合合规化体系,形成完整的管理通路.持续监控分析检测响应预测系统加固诱导攻击防御攻击检测攻击确认及排序遏制攻击调查取证方案改进修复/完善安全基线攻击预测风险评估防御数据交换漏洞管理态势感知合规要求资产管理标准能力工具接口通过对信息系统的管控来实现风险可控的目标。安全配置的基准与核验,要基于建设与运维情况,并及时对漏洞、威胁情报做出适应性调整。依托标准化数据格式,网络接口,数据流来连接资产,并与其它信息化运维体系连通。漏洞及系统脆弱性风险来源于不当的资产架构配置与风险评估。安全运营需要持续投入与迭代01做好安全工作的整体设计、规划、研究工作,设计
9、各类安全体系。安全研究(Plan)02安全基础设施建设,根据业务需要进行的项目建设。安全建设(Do)04安全审计、渗透测试、安全评测、应急响应、安全检测、预警通报、纵深防御等服务。安全服务(Chcek)03逐步完善安全管理体系、安全防护体系、安全评价体系。安全优化(Action)追踪评估通告响应威胁分析威胁发现安全审计、渗透测试、安全评测、应急响应、安全检测、预警通报等服务。安全服务(Check)运营不是一朝一夕,不是一蹴而就,需要一路前行运营要尽可能是高效的以运营的理念,实现安全的自动化改变传统,以一切可管理、可量化、可分析为准则,实现自动化管理和持续的安全响应。安全检测平台资源自助服务安全
10、漏洞管理流程自动跟踪安全检测结果自动化解析与释义安全运维自动化安全运维流程的自动化。安全设备/系统配置的自动化。安全风险/事件分析预警的自动化。安全攻击封堵处置自动化。安全测试自动化安全响应自动化数据是运营量化评估的基础安全响应自动化安全检查合规要求风险评估日常审计审核授权通知通报安全资产管理用户身份管理安全事件响应安全漏洞管理安全知识管理策略基线管理防御平台监测平台采集平台分析平台安全管理安全技术安全设施资产数据事件事态风险源辨识合规数据审计数据考核数据资产数据漏洞数据事件数据策略数据知识数据身份数据日志数据威胁情报网络流量规则数据安全可见安全可控态势感知展示威胁检测分析漏洞管理联动合规管理
11、检查资产管理控制上能汇报下能通报1-3个人基础运营(检测与分析、响应与处置、资产维护与配置管理)5-10个人进阶运营(资产管理(终端及主机安全管理)、漏洞检测与管理、配置管理、安全监控、溯源分析、应急响应、规则建模、事件挖掘、常态化演练、常态化考核).流量分析平台日志收集与分析平台终端安全管理系统主机安全管理系统边界安全统一管理平台自动化扫描与监测平台异常行为类(VPN短时异地登录、敏感账号可疑时段登录.)异常访问类(绕堡垒机访问、内网高危端口访问.)猜测破解类(多次登录失败再成功.)安全审计类(高危操作、非变更时段操作.)资产异常类(台账外资产、台账外端口.).工单流转通报处置考核评价常态演
12、练知识维护.人员组织基础平台USECASE体系与流程核心落到实处不同的单位有不同的组织模式不同的单位有不同的业务类型不同的单位有不同的协同困境不同的单位有不同的现实情况因地制宜,稳扎稳打以安全运营的视角构建面向对抗的安全体系03通过安全运营驱动整体安全安全技术安全管理安全基础设施安全检查合规管理风险评估日常审计安全资产管理用户身份管理安全事件响应安全漏洞管理审核授权通知通报防御平台监测平台采集平台分析平台安全知识管理策略基线管理人员工具流程安全运营体系核心安全运营基础为先虚拟补丁防护修补工具认证许可状态安全配置要求数据提取与共享资产发现与管理安全状态分析配置风险规避安全策略管理漏洞管理策略安全
13、配置策略恶意代码管理策略安全配置要求网络扫描主机发现开放服务持续监测资产属性配置符合性证据安全状态评估处置响应人-安全运营体系构建以人为主导基础结构安全纵深防御积极防御威胁情报进攻反制难度递增技能进阶基础运营人员分析响应人员高级攻防人员ARCHITECTURE强身健体纵深防御监测响应掌握敌情先发制人ACTIVE DEFENSEINTELLIGENCEOFFENSEPASSIVE DEFENSE业务日志终端日志文件行为进程行为邮件行为注册表网络日志流量会话应用行为文件传输账号登陆业务登陆交易记录业务查询应用信息网络设备主机数据库安全日志中间件虚拟化安全设备应用系统网关设备安全运营与态势感知平台数
14、 据 预 处 理常见设备的自动解析、过滤、富化、内容转译、归一化通过Syslog、DB、SNMP、Netflow、API接口、镜像流量、文件等多种采集方式采集、过滤,处置海量数据物-构筑核心平台物-垂直体系化构建上级策略落实桌面支持发布推行威胁情报配置策略追踪配置状态确认修改持续监测形成初步态势感知漏洞修补发布更新安全策略管理资产发现与管理配置风险规避安全状态分析Tier3基层数据共享安全策略管理安全态势分析Tier1总部安全策略管理Tier2分支二级SOC平台安全态势分析总部SOC平台网络管理员系统管理员安全管理团队安全运营团队安全建设团队运维团队业务主管外部服务支撑网络评估团队业务分支主管
15、上级主管机构态势感知审核监控风险评估安全策略管理安全系统管理安全测量管理安全策略管理安全系统管理安全测量管理技-培养核心技术能力态势感知平台专业人才数据工具资产运营基础信息维护安全事件分析安全模型构建事件追踪溯源攻击者刻画日常通报预警应急预案编排应急演练日常运营工作梳理人与人的对抗、人与机器的对抗、人与人工智能的对抗。情报搭建网络安全态势感知所需的基础工具和平台。建立纵向支撑体系和情报数据共享体系。建立自动化、体系化的主动动态防御能力。监控岗:实时监控、预警通报 分析岗:数据分析、验证 追溯岗:情报分析、威胁追溯 处置岗:安全事件技术处置 通报岗:安全事件预警通报“人+机器”协同作战,能极大提升战斗力。战-战术战法演练防御响应预测监测渗透测试风险评估威胁情报安全基线漏洞管理对抗演练靶场仿真应急响应安全运维安全审计事件处置调查取证安全加固访问控制入侵防御动态授权加密脱敏安全隔离威胁检测行为分析流量分析资产检测态势呈现THANKS