护网行动演练红蓝对抗中的防御框架

护网演练分红、紫、蓝三支队伍。进攻型:红队,通过模拟攻击实现系统提权,控制业务获取数据等,并通过这些攻击实验发现系统的弱点,综合提升系统的安全性。防守:蓝色球队。这是我们这次的重点。一般而言,参演单位是以网络防护系统为基础,在演练中组成防御队,紫队是组织方,以组织方为人物,进行组织工作流程监管具体指导应急保障等,及其演练最终汇总和调优建议。


在公司大规模数字化转型的趋势下,各种各样网络入侵事件频频出现,APT和hack团伙活动猖狂,合规管理驱动的过去安全防护体系建设无法符合要求。近几年来,随着各级“红蓝对抗”行动的进行,企业安全建设逐渐向实战演练化变化,而ICMRe(为美政府提供系统工程、产品研发和信息技术支持的非营利组织)所提到的DAT&CK框架,恰好是可以在这个流程中发挥指导作用的重要参考。


在二零一九年的YorsSiaSecurommany&RiskManagededuceSummit交流会上,DAT&CKFramework被F-Secure评选为“前十名网络热点”。DAT&CK是一个分享的共享资源,它叙述了网络攻击者的战略、技术和表述流程,可以将已发现的黑客组织、攻击工具、检测数据源和检测思想、缓解措施等内容联系起来。DAT&CK可以全面涵盖洛克希德马丁-乔治公司建议的KillChain内容,并在此基础上提供攻击技术的更精细矩阵和技术细节。DAT&CK被分成几个部分,即PRE-DAT&CK、公司DAT&CK和MafaleDAT&CK。这些PRE-DAT&CK包含了优先级定义、选择目标、信息收集、漏洞识别、网络攻击者开放平台、基础设施建设和维护、人员开发等战略。公司DAT&CKwhenEncerprise包含下列战略:复位访问、表述、持久、权限提升、防御性逃避、凭据访问、发现、横向移动、收集、命令和控制、数据外传、影响。分析整理了这些以APT组织和hack团伙为基础的披露信息,可以有效地具体指导实战演练的红蓝对抗,目前已经在许多领域得到了较好的应用。


红蓝战中,防守方均可根据事前、事中、事后几个阶段的要求,在DAT&CK框架的具体指导下,实现对安全体系建立、操作和升级的闭环改进。第一阶段准备。当公司遭受内外入侵时,攻击面是指起始突破或中间突破的可能性,包含但不限于:网络系统,外部提供业务的邮件系统,VPN系统,内部提供服务的OA系统,运营系统,开发环境,员工使用的各种各样账户,办公终端等等。


企业级攻击面广泛存在,在企业级中进行攻击面评估是一种信息收集和漏洞识别的流程,可以帮助公司及早应对网络攻击者的入侵活动。这一流程在攻击链中属于“侦察”阶段。红蓝战中,由于攻防不对称性,防守方往往处于弱势地位,进攻方只需一击即破,而防守方需要建立一个涵盖所有攻击面的纵深防御系统,无法做到万无一失。但是在信息收集阶段,防守方占优势,其主要原因包含:


1.攻击方只能通过因特网公开信息(Google、社交网站、Github)或过去社会工作方式获取公司的部分信息,而防御方则能获得企业内部的完整信息,包含网络架构、商业系统、资产信息、雇员信息等,掌握上述信息不仅可以梳理潜在的入侵点,发现防御中的弱点,还可以结合诱骗或欺诈技术(如蜜罐),在攻击方能获得的信息中埋入点,实现类似软件的“动态污染”的检测和跟踪。

分享: