"网络安全实战演练中的攻与防"
网络安全实战演练是网络安全建设的重要组成部分,已经在《中华人民共和国网络安全法》和《国家网络安全事件应急预案管理》等法律法规中有所阐述。网络安全实战演练包括三种主要模式:桌面推演、预案演习和实战演练。这三种模式都各有其必要性和不可替代的作用,尤其是实战演练,以其震撼的直观性,越来越成为社会和媒体关注的焦点。
一、网络安全实战演练的现状与问题
目前,各种网络安全实战演练已经展示出一定的效果,但是,存的问题也值得思考。一般来说,一场网络安全实战演练由三个团队完成:裁判方(筹办方或监管机构)、防守方(系统建设者与维护者)、进攻方(渗透测试人员)。
裁判方在选定测试目标上,目前有两个悖论无从解决:一是网络攻击具有一定的安全隐患。由于现在的安全审计手段并不完善,如何验证测试方是否将所有问题如实上报,是一个问题;二是成本和风险控制。没有任何人可以预估攻击会造成的风险,测试方也不能,因此,问题在于,核心系统是否能承受网络安全演习的风险。
防守方因为网络安全实战演练的结果会对多方产生影响,因此,在演练时出现不惜以损伤业务连续性为代价的应对措施,包括断网断电。本应平常用于安全维护的操作,因要进行实战演练才紧急部署,例如紧急修改口令等。
测试方需要认清的是,渗透测试绝不是真正意义上的攻击,不能代表真实的攻击能力。此外,由于受限于时间短和对测试目标的了解浅,多数情况下只能进行扫描器通网扫描,查找公开漏洞。
二、网络安全实战演练的实践调整
网络安全实战演练既然是实战,那么,就需要脚踏实地,来不得半点虚假。无论是裁判方、防守方还是测试方,都有很多实践操作环节可以调整和落地,以达到增进实战促安全的目的。
(一)裁判方:裁判方对于裁判方来说,要有敢于暴露问题的勇气和决心,要演练就要演练最核心的部分。裁判方需要做的是要最大程度上的审计和监督,确保整个过程在人员上可信任、过程上可控制和出问题可回溯。
(二)防守方:防守方需要做的是,建设全面的应急处置能力体系,打造应急响应团队,将演练视为常态化事件,这是检验应急能力的一种手段。能力体系以网络安全事件为核心,包括事前、事中、事后三个环节。
事前:评估与监控并行,既查缺补漏又掌控态势从多次应急处置的过程发现,应急对象往往都是在事件发生后才觉察日志没有打开、防护措施没有配备、运维人员不知道怎么用监控等,而这些内容都是应该在平常工作中固化下来的工作制度,因此,需要建立完整而全面的定期安全评估和检查,建设完整的监控体系,对安全设备、网络设备、备份环境、终端、舆情等各方面进行有效监控,确保监控有效性并能够及时响应。
事中:快速有效处置,最大程度减少损失、保存证据监测到安全事件发生后,绝不仅仅是断网、断电、找厂家这么简单的操作,应急响应团队需要能力建设和储备丰富的知识,随时做到第一时间响应。事件定位与分析。网络攻击事件的表现多数是访问不正常、监测设备报警等,能够定位到具体的原因,是第一步首先要做到的。取证。对攻击事件的痕迹、日志、文件进行取证和保存,包括硬盘留存、文件扫描等取证工作,以备后续分析。这是事件处理最为重要的环节,却是最容易疏漏的地方。快速修复。对存在的漏洞进行应急性快速修复,防止攻击的扩散和恶化。
因此,网络安全实战演练是为了让参与各方拥有更强的应对能力,发现不足,尽快弥补,不能将网络安全国之大计建于浮躁的空中楼阁,网络安全建设必须要经得起检验。
