简介:从网络安全策略管理视角出发,带您重温红蓝攻防实战推演。
2020年5月12日,数世咨询、PCSA安全能力者联盟,以及包括安博通在内的数十家安全能力者和第三方机构联合参与的《年度大型攻防实战全景:红蓝深度思考及多方联合推演》报告正式发布,让许多读者对攻防实战有了全新认知。
安全策略作为防御手段的重要体现,贯穿于实战推演的每个阶段。下面,我们就从网络安全策略管理视角出发,重温报告中的红蓝攻防全景框架与动态推演。
在攻防过程中,红蓝双方围绕保护对象(神经中枢靶标)制定攻击和防御策略。作为防御方,在策略制定、暴露面收敛、边界防护、区域控制、强控等任一阶段,都需要具备全局的安全策略分析与灵活管控能力,才能做到安全防护的全面覆盖和有的放矢。
1、策略制定阶段
策略制定需要综合考虑资产属性、防护能力、威胁情报及网络架构,从全局高度制定覆盖全面且切实可行的策略体系:既要考虑安全策略与业务体系的一致性原则,在遵从业务体系的基础上设计策略;又要考虑策略体系落地的技术可行性,尽量降低主观形成的策略运维风险。
其中,仅是简单的域间访问控制策略落地,就使很多网络管理者步履维艰。
2、暴露面收敛阶段
很多网络运维者对资产暴露面进行分析时,会采用数据层、应用层、主机层、网络层等不同手段,因为缺乏对整体的关联分析,往往导致暴露面收敛效果差强人意。
例如,主机存在的漏洞风险,如果业务不接受补丁修复的话,似乎只剩下接受风险一个选项。但是通过对整体策略的综合分析,我们可以得到网络封堵、上游控制等暴露面收敛建议,通过安全策略整体分析破除单项安全能力的壁垒,评估资产暴露风险并提供收敛措施,使暴露面收敛工作更加得心应手。
3、边界防护阶段
边界防护需要结合网络架构与攻击方的边界突破手段,制定严格的边界防护策略,其中最应该注意的是安全策略的精准落地。由于安全防护能力多样、防护策略繁多、人为主观因素的限制,策略运维过程中难免出现配置不合理甚至配置错误的问题,这会给攻击方留下可乘之机。
4、区域控制阶段
无论是传统的纵深防御体系,还是新兴的零信任网络架构,其核心都是通过区域间的隔离策略阻断攻击行为在网络中的横向渗透。在实际动态攻防过程中,还需要强调防护策略与监测能力的有效联动,以做到对横向渗透的及时控制。
5、强控阶段
强化控制阶段是攻击方突破堡垒的最后一道防线,无论是通过主机微隔离还是网络封堵进行强控,都要以策略执行为具体手段。
综上所述,网络安全策略管理贯穿于红蓝攻防实战推演的每个阶段,策略管理的质量将在很大程度上决定攻防的最终结果。
安博通经过近十年的技术积累,结合成熟的策略智能运维产品,形成了一套完善的安全策略自动化运维解决方案:
1)构建网络安全控制的全局视角
说起全局视角,网络运维者最快想到的可能就是网络拓扑。单纯的网络拓扑更多关注路由指向,无法分析安全控制的内容。举个简单的例子,服务器A到服务器B有路由指向,但中间一台防火墙配置了一条控制策略:A访问B deny,这条策略在网络拓扑上就无法体现。
因此,网络安全控制的全局视角需要通过安全控制策略来构建。方案实现采集并解析网络、安全设备的控制策略,通过关联分析建立包含设备连接、路由指向、地址映射、访问控制等全维度信息的网络安全拓扑架构,从业务视角解决信息化建设和应用中,网络与安全融合难题,避免网络放通、安全阻断“两张皮”的现象。
图:网络安全拓扑架构
网络安全控制的全局视角就像一张作战地图,使防御方能够看清自身网络形势,根据全局防护情况综合制定不同阶段的防护策略。
2)建立安全策略审查和优化机制
安全策略变更存在两种可能:一种是正常的业务变更,出现配置错误,例如冲突策略、空策略等;另一种是内外部人员的恶意变更,例如开放高危端口或越权访问权限等。这两种情况都会带来安全风险,让防御方处于劣势地位。有效的安全策略优化和审查可以充分发现这些策略风险,提高暴露面收敛、边界防护和区域控制的效果。
图:安全策略优化梳理
图:域间访问路径
图:策略风险检查
图:策略变更告警
3)构建安全控制策略自动运维与审查机制
为了避免策略风险的导入,有必要建立安全控制策略自动运维与审查机制,实现从策略变更请求、业务连接状态研判、策略变更选路建议、业务变更风险分析、策略自动生成与配置验证到策略变更审计的变更全流程控制体系,确保安全控制策略运维的高效和精准。
图:策略变更全流程控制体系
4)构建针对网络攻击事件的快速响应机制
针对检测到的网络攻击事件,通过自动化路由封堵和策略封堵方式实现权限强控,建好神经中枢靶标的最后一道堡垒。
目前,安全策略自动化运维解决方案已广泛应用于政府、金融、运营商、能源、大型企业等行业网络中,为网络安全策略管理的合规性、可靠性、无间断提供全方位技术支持,帮助作为防御方的行业用户更好体验网络安全带来的价值。