一、什麼是HW
網絡安全形勢近年出現新變化,網絡安全態勢變得越來越複雜,黑客攻擊入侵、勒索病毒等網絡安全事件愈演愈烈,嚴重威脅到我國的網絡空間安全。同時,國內不少關鍵信息基礎設施的建設管理單位安全意識不夠、安全投入不足,面臨網絡安全保護的巨大挑戰,讓國家關鍵信息基礎設施成爲網絡攻擊的重災區。
護網行動是由公安部牽頭,針對全國範圍的真實網絡目標單位進行的一種網絡安全攻防演練。這種行動的主要目的是評估企事業單位的網絡安全防護能力和水平,發現可能存在的安全漏洞,並提升相關人員的網絡安全意識和應對能力。
在護網行動中,公安部會組織攻防兩方,其中進攻方會在特定的時間內對防守方發動網絡攻擊,通過模擬真實的網絡威脅來檢驗防守方的網絡安全防護措施是否有效。這種實戰化的演練有助於企事業單位更好地瞭解自身的網絡安全狀況,從而有針對性地加強防護措施。
護網行動是一種積極、有效的網絡安全防護措施,它通過實戰化的演練來提升網絡安全防護能力,確保網絡系統的安全和穩定。
二、HW行動具體採取了哪些攻防演練措施
護網行動採取了多種攻防演練措施,以模擬和應對網絡攻擊,從而提升網絡安全防護能力。以下是一些具體的攻防演練措施:
- 制定演練計劃:明確演練的目標、參與人員、時間和場地,爲演練準備必要的設備、工具和系統環境。
- 設定演練情景:設定模擬黑客攻擊、內部威脅、網絡故障等演練情景,這些情景通常包括不同類型的攻擊技術和威脅,以全面檢驗網絡系統的防禦能力。
- 實施攻防演練:根據設定的情景,模擬攻擊者進行攻擊,挑戰網絡安全防禦能力。同時,團隊成員需要響應並採取相應的應對措施,以檢驗和鍛鍊他們的響應和處置能力。
- 攻擊分析和演練評估:記錄並分析攻擊過程,對攻擊行爲進行深入剖析。同時,評估團隊的反應和應對能力,發現並修復存在的漏洞和弱點。
- 總結和改進:總結演練結果,包括表現出色的方面和需要改進的方面,並制定改進措施和行動計劃,以加強網絡安全防禦。
這些措施旨在通過實戰模擬,全面檢驗和提升網絡系統的安全防護能力,確保在面對真實網絡攻擊時能夠迅速、有效地進行應對。同時,護網行動還促進了網絡安全團隊的協作和溝通,提升了整體的安全意識和應對能力。
需要注意的是,攻防演練過程中需要確保參與者的安全和免受損害,避免演練本身對網絡系統造成不必要的風險。因此,在演練過程中需要嚴格遵守安全規定和操作流程,確保演練的順利進行和目標的達成。
三、攻擊方一般的攻擊流程和方法
HW攻防演練的安全評價關注點已經從安全防護投入過渡到講究實戰效果,拒絕紙上談兵,直接真槍實戰。
攻擊方一般目標明確、步驟清晰。
目標明確: 攻擊者只攻擊得分項,和必要路徑(外網入口,內網立足點),對這些目標採取高等級手段,會隱蔽操作;對非必要路徑順路控制下來的服務器,並不怕被發現,用起來比較隨意,甚至主動製造噪音,干擾防守方。
步驟清晰: 信息收集-控制入口-橫向移動-維持權限-攻擊目標系統。
攻擊流程:
攻擊手法:
四、企業HW保障方案
企業護網安全保障是一個多層次、多方面的綜合性任務,涉及技術、管理、人員培訓等多個環節。以下是一些關鍵措施,可以幫助企業加強護網安全保障:
1.建意識
護網安全意識培訓是一項至關重要的工作,它旨在提升個人和組織對網絡安全的認識和應對能力,從而保護個人隱私、企業數據以及整個網絡環境的安全。
首先,培訓應涵蓋網絡安全的基本概念、原則和特點,包括密碼安全、網絡釣魚、惡意軟件等。這有助於人們理解網絡安全的重要性,以及如何在日常生活中識別和防範網絡威脅。
其次,培訓內容應根據不同崗位的需求進行個性化設計。例如,對於IT人員,可以強調網絡漏洞掃描和安全配置等專業技能;而對於普通員工,則應重點強調密碼安全、社交工程攻擊的防範等基礎知識。
此外,培訓內容還需與最新的網絡威脅和漏洞保持同步,確保培訓的實用性和時效性。這有助於人們瞭解最新的網絡攻擊手法和防範措施,從而更有效地應對網絡威脅。
企業需要向員工提供網絡安全意識培訓,使他們瞭解各種網絡威脅和攻擊方式,並知道如何避免和應對這些威脅。包括護網技能的培訓,通過模擬黑客攻擊等場景,讓員工在實際操作中學習和掌握網絡安全技能。
2.摸家底
護網資產梳理是縮小攻擊面的關鍵步驟,有助於企業更好地瞭解自身的網絡安全狀況,從而制定更有效的安全防護策略。
首先,明確資產梳理的目標和範圍。這包括確定需要梳理的資產類型,如硬件資產、軟件資產、數據資產等,以及梳理的深度和廣度。通過明確目標和範圍,可以確保資產梳理工作的針對性和有效性。梳理互聯網類業務、暴露面、中間件、業務管理後臺、供應鏈、 WIFI、VPN、安全意識、終端等邊界突破點,實施清查和管控,縮小攻擊面。
其次,收集資產信息並建立清單。通過收集資產的詳細信息,如IP地址、設備名稱、操作系統、數據庫類型等,可以建立全面的資產清單。這有助於企業對自身的資產進行清晰的瞭解,併爲後續的安全評估和風險分析提供基礎數據。
3.固城池
護網行動中的安全檢測和整改加固是確保企業網絡安全的重要環節。通過安全檢測,可以發現潛在的安全隱患和漏洞,而整改加固則是針對這些問題採取具體的措施,以提升網絡安全防護能力。
在安全檢測方面,可以採取多種手段,如滲透測試、漏洞掃描、代碼審查等。滲透測試通過模擬黑客的攻擊方式來評估系統的安全性,發現潛在的漏洞和薄弱點。漏洞掃描則是使用自動化工具掃描網絡和系統,識別存在的安全漏洞,並提供修補建議。代碼審查則是對軟件代碼進行詳細的審覈和分析,以發現可能的安全漏洞。
在進行安全檢測後,需要根據檢測結果制定整改加固方案。整改加固措施可能包括強化設備訪問控制、安裝防火牆和入侵檢測系統、建立虛擬專用網絡(VPN)、限制網絡服務和端口等。此外,加強用戶身份認證也是關鍵的一環,包括強化密碼策略、使用多因素身份認證、建立訪問權限管理機制等。
4.配神器
配置相應的有效防護技防手段,“護網神器”通常指的是一系列網絡安全產品和解決方案,它們被設計用來保護企業的網絡系統免受各種網絡攻擊的威脅。這些神器能夠檢測和防禦各類網絡攻擊,包括但不限於病毒、木馬、黑客攻擊、釣魚網站等。它們通過採用先進的技術手段如:動態防護、下一代防火牆、態勢感知平臺、SOAR等。進行實時監控和預警、智能防禦和攻擊溯源、高效的自動處置等。
實時監控和預警:通過部署流量探針、EDR、態勢感知平臺等建立監控手段實時監控網絡流量和用戶行爲,一旦檢測到異常或可疑活動,立即發出預警,提醒管理員進行處置。
智能防禦和攻擊溯源:通過部署下一代防火牆、動態防護設備等平臺建立智能防禦功能,能夠自動識別和阻斷攻擊行爲。同時,它還能對攻擊進行溯源,幫助管理員定位攻擊源頭,採取相應的措施進行防範。
高效快速處置:通過部署SOAR,能夠針對實時監控發現的安全告警事件,通過實戰化的劇本來聯動人員、流程、安全設備進行快速的研判和阻斷。
5.增值守
在護網行動中,增加監控值守是一項重要的舉措,7*24小時監控值守可以幫助企業實時瞭解網絡系統的運行狀態和安全狀況。通過對網絡流量、系統日誌、用戶行爲等進行實時監控,可以及時發現異常和可疑活動,從而迅速採取措施進行處置。
爲了增加監控值守的有效性,企業可以採取以下措施:
- 建立專門的監控團隊,負責網絡系統的實時監控和安全事件的處置。
- 配置先進的監控設備和軟件,確保能夠全面、準確地收集和分析網絡數據。
- 制定完善的監控流程和規範,確保監控工作的有序進行。
- 加強監控人員的培訓和教育,提高其專業技能和應對能力。