隨著信息化時代的到來,網絡戰場成為繼陸??仗熘蟮谋冶貭幹?。公安部自2016年起,每年組織HW行動,檢驗各單位的網絡安全防護能力。

2021 HW行動在上半年已經結束了,但余音裊裊,它的影響仍滲透在日常防護工作中。

今年,安博通參加了多家單位的HW工作,幫助他們嚴防死守安全“底線”。下面就以點帶面,用一次HW實踐來總結:防守方可以做什么。

備戰期

在HW行動備戰階段,防守方要對安全現狀進行排查。

① 清點網絡資產

某局有核心和公共兩套網絡,網絡中除了PC、服務器、虛擬機等終端設備外,還有網絡設備和安全設備。安博通協助某局清點網絡資產、檢查設備運行狀態;對歷史日志進行分析,找出疑似被攻擊的主機并重點排查。確保網絡資產統計完整,在網設備安全可信。

② 排查可用服務

安博通協助某局落實“關閉非必需服務”等關鍵準備工作。通過資產管理、端口掃描、弱密碼掃描等功能,排查各個設備開啟的服務端口,一一核實確認端口的使用情況,關閉非必需服務,縮小網絡攻擊面。

③ 優化安全配置

安博通根據某局的實際業務需求,對安全策略進行整體優化調整。發現并處置沖突策略、冗余策略、空策略等問題策略,逐條核對安全策略是否符合業務要求,在減少策略配置的同時,確保策略與業務相匹配。

決戰期

在HW行動決戰階段,防守方需要7*24小時不間斷值守,實時監控安全態勢,并對安全事件進行應急響應。

① 監控&上報安全事件

安博通派遣專人前往某局值守,一旦發現安全事件,立即分析確認。如果確認為攻擊或異常流量,則上報該IP,由防火墻進行封禁;如果確認為誤報,則對IPS產品的規則進行優化。

② 分析&回溯安全事件

根據第三方情報信息,安博通對指定IP進行查詢回溯,協助某局分析疑似安全事件。

在為期兩周的HW行動期間,安博通提供的高級威脅檢測與響應平臺應用于某局的公共區和核心區。

在公共區,平臺檢測到告警日志1100余條,包含96種攻擊類型;執行攔截操作4400余次。由告警數據可以看出,攻擊方更傾向于利用Struts 2漏洞實施攻擊。防守方應避免使用這些高危組件,如需要使用,請及時升級并打補丁加固,做到定期檢查。

在核心區,平臺告警數量超過15000條,其中有很多為請求惡意DNS域名告警。某局下屬省級單位開始自查自改后,告警數量大幅減少,需要持續排查整改。

防守方HW秘訣

1、資產清點要到位

清點資產是安全防護的第一步,只有看清內部需要保護的資產有哪些、是否有未監管到的資產、網絡安全設備的工作狀態是否正常,才能針對資產制定更深入的安全防護策略。

防守方應加強資產管理力度,日常對所有硬件、軟件、服務登記在冊,不允許未登記的資產加入到網絡中。安博通網絡資源可視化管理平臺,對網絡拓撲和網絡資產進行可視化管理,幫助防守方看清網絡結構及網絡狀態,快速定位網絡故障。

2、策略梳理要定期

安全策略是網絡訪問的紅線和準則,簡潔清晰的安全策略是網絡安全的基線。在策略梳理過程中,有時會出現“不了解,不敢刪”等情況,導致網絡中存在大量與實際業務無關、寬松、無效、重復的策略,這不僅給防火墻等設備增加了計算壓力,也給防守方帶來了更多運維難題。

防守方應定期進行策略梳理,尤其是在HW行動等重大活動前夕。安博通安全策略智能運維平臺,全流程自動化納管安全策略,持續高效合規運維,幫助行業用戶實現安全策略的智能化管理。

3、應急封堵要及時

現在,應急處置方式多為值守人員發現告警后,將告警IP發送給防火墻管理員,由管理員在防火墻上增加配置、下發生效。這一流程不僅耗費人力,且需要幾分鐘才能實現封禁;而攻擊方只需要十幾秒,就可以入侵網絡。同時,由于防火墻資源有限,至多只能封禁12萬個IP,很容易耗盡。

防守方需要盡量縮小從發現到封禁的時間差,即實現“檢測-封禁”自動化。由于惡意IP數量巨大且離散,建議使用專業的應急處置設備。安博通應急攔截網關最大支持1000萬條IP封禁,支持通過RESTful接口與第三方安全檢測產品對接,實現自動封禁,減少運維成本。

4、下屬單位要防護

如果防守方下屬單位的網絡沒有足夠的防護措施,還有互相訪問的需求,就很容易帶來安全隱患。

防守方可要求下級單位做好防護,部署IPS、防火墻等網絡安全設備,排查隔離失陷主機,加強各區域、系統間的訪問控制,以保障自身和總部的網絡安全。

以上秘訣不只應用于HW期間,還應貫穿于常態化運營日常,安全不是一天建成的,只有長期的過程安全才能使結果趨向于安全。