攻防演练 | 风险收敛加固指南：7个维度，30+Checklist

通过攻防演习，参演单位能够充分检验自身的安全防护、攻击监测和应急处置能力。参演单位作为防守方，面对“隐蔽”的网络攻击，只有了解攻击方是如何开展攻击的，才能根据攻击特点建立完善的安全防护体系，有效抵御网络攻击。前段时间，笔者在《攻防演练中常见的8种攻击方式及应对指南》一文中，从攻击者的角度详细阐述了常见的攻击类型。

 

那么从防守方的角度来看，在网络安全攻防演练中应该采取哪些措施提升安全防护水平呢？一般来说，防守工作分为三大阶段：准备阶段、实战阶段、收尾阶段。本文将要讨论的就是对攻防演练结果至关重要的的事前准备阶段。

图1 攻防演练全流程

 

 

风险收敛加固是攻防演练前序阶段最重要的环节之一

 

 

在攻防演练中，前期的准备工作包括安全团队组建、演练流程制定，以及未知资产排查、安全设备0day排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作，我们可以把这些技术性工作概括为风险收敛与安全加固两个方向。

 

风险收敛与安全加固服务作为攻防演练前序阶段最重要的环节之一，聚焦于安全的多维度精细化提升，从而收敛自身攻击面，满足企业对于前期内外网资产风险测评、安全意识提升、风险事件精准捕获、防御范围最大化等多种类安全需求，全方位巩固安全防线，增强防御效果。

 

 

如何进行风险收敛加固？

 

 

对攻防演练的防守方来说，可以从资产评估、安全策略检查、安全防线加固三个方面实现风险收敛与安全加固，做好攻防演练前期风险管理。

 

1、资产评估

 

大多数情况下，蓝队对于自己的资产情况把控不够，导致部分资产未能纳入有效监测、防护范围，形成了防护薄弱点。红队在发起进攻前，会先收集这些薄弱点，并以此为跳板攻入企业关键系统。所以，提前对资产进行评估，及时关闭“老旧”、“无主”、“无用”资产，收敛对外暴露的攻击面变得尤为重要。

 

公网资产评估：通过收集企业暴露在公网的资产信息和敏感信息，分析存在的未知公网资产、以及业务系统源码、账号密码暴露等安全风险，协助企业在攻击者发起信息收集前收敛外部攻击面，提升企业对自身资产的掌握程度以及应对突发安全事件的能力。

 

内网资产评估：从内网安全维度对主机安全产品核心功能模块的检测结果进行详细分析，从而发现操作系统、业务系统存在的风险隐患，为客户解读并持续跟进风险整改期间各类技术问题，协助企业提升操作系统、业务系统本身的健壮性，进而提高内网横向攻击门槛。

 

2、安全策略检查

 

安全策略可以简单理解为一组用于保护网络安全的既定规则。其目的在于控制进出网络的访问行为，保护特定网络免受攻击，同时保障网络之间的合法通信。安全人员可以结合业务需求在系统中配置合适的安全策略，对通过设备的数据流进行检验，放行符合安全策略的合法流量，阻断非法流量，实现访问控制，保证网络安全。

 

传统的安全策略与业务的结合度不高，难以进行高细粒度的安全分析。在攻防演练中高强度的攻击下，很容易出现策略的检测盲区，进而导致被攻破的局面。因此，在攻防演练前期对安全策略的检查、优化非常重要。

 

3、安全防线加固

 

安全加固和优化是实现网络安全的关键环节。通过安全加固，可以在安全系统的网络层、主机层、软件层及应用层等不同范围建立起符合安全需求的安全状态，并基于此实现对企业组织安全系统的保护。

 

安全加固是配置软件系统的过程，针对服务器操作系统、数据库及应用中间件等软件系统，通过各种不同的方法修复可能被攻击者利用的漏洞，加强系统安全配置，增加攻击者入侵的难度，提升安全防范水平。它与攻击面收敛、漏洞修复、安全策略优化及等工作形成了完整的风险管理闭环。

 

为了帮助企业更好地进行风险收敛加固，笔者特意整理了一份《蓝队风险收敛加固Checklist》可供参照，如下图所示。此清单从设备、系统、应用、网络等七个维度总结了企业风险收敛加固的具体操作，并将这些操作所对应的安全等级分为3个层级，每个层级的安全要求为：Level1-基础级安全、Level2-标准级安全、Level3-高级安全。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！