查看原文
其他

攻防经验和能力如何沉淀到日常安全防护?| FreeBuf甲方社群直播回顾

yannichen FreeBuf安全咨询 2022-09-24


15天的攻防演练落幕,红蓝双方经历一场大考。8月18日,第八期FreeBuf甲方社群直播组织了「攻防复盘,星空夜话」邀请红蓝方知名专家交流攻防演练实战经验


本期直播由公安部第三研究所樊苑担任主持人蓝方代表某企业安全架构师李宗晖某国际自动化厂商网络安全服务团队负责人剑思庭红方代表斗象科技安服专家张贵卿、黄炜榆,从规则演变、0day利用到能力沉淀等五个角度探讨交流攻防经验。FreeBuf在此摘录对谈精华以飨读者。


主持人:今年攻防演练规则比较重视信息系统权限控制评分,尤其重视数据安全和个人隐私数据,这传达了一种什么信号?


红方代表黄炜榆:规则的调整代表大家看到了数据安全的危害,尤其是数据泄露事件直接会对公民的人身和财产安全产生影响,也间接对国家造成严重安全威胁。


红方代表张贵卿:今年的规则跟政策其实息息相关与时俱进。这也说明国家对于数据安全的决心,以及对行业所涉及安全问题的整改决心。


得分规则改变对攻击方来说,可以围绕某些数据泄漏点展开突破,重点变为拿到权限后的数据获取,这是今年的明显变化。防守方则应该对数据泄漏点不断地排查,做好相应的应急整改规范措施,做好数据库防护。


蓝方代表剑思庭:从蓝方角度看,数据得分占比较高。从制造业来看,数据意味着企业的know-how,是生存的根基。例如饮料制造企业,供应商设备数据被拿走就意味着企业很可能从市场快速出局。


蓝方代表李宗晖:这意味着我们不仅要做好网关防护和数据平台建设,还要做好数据合规建设,包括数据安全通道建设、数据生命周期安全建设、风控与反欺诈建设。


主持人:调研数据显示,0day报告提交数量从去年的800多份激增到1500多份,红蓝双方如何看待这个情况?


红方代表张贵卿:今年0day报告提交数量激增是因为历史漏洞的突破难度越来越大,很多红队的方向转向0day打点,甚至很多厂商还专门投入实验室力量。


0day数量增多说明行业内存在源码泄露隐患,源代码要进行及时自查、审计或及时更新补丁降低被0day攻破的可能性。此外,红队需要更注重对代码审计人才的培养。


蓝方代表李宗晖:无论规则改不改变,其实0day风险都是客观存在的。在高阶的攻防对抗中,一定是0day的使用与捕获之间的较量。规则的改变其实是鼓励安全厂商和研究员加大力度去发现未知的漏洞和风险,避免未来可能出现的更大危害和风险。


蓝方代表剑思庭:0day数量激增大概有两种情况,一种情况是各大红队会提前手握一些0day用于攻击。另一种情况是红队转向0day突破。对于0day攻击的防护,可以利用威胁情报防护或者通过部署蜜罐,快速识别新型攻击手段和攻击手法。


主持人:有声音称,以后会取消常态化集中性攻防演练,如何改进对抗形式能更好促进安全生态发展?


蓝方代表李宗晖:攻防演练对于网络安全专业人才发展非常有益,可以提升眼界和技能。如果后期取消常态化攻防演练,那我希望各省市能够将演练持续下去。另外,企业也应该定期购买专业厂商的攻防演练服务,进行内部闭门演习。安全的本质就是对抗,我们无论建设到哪一个阶段都不能放弃对抗演练。


红方代表黄炜榆:不再进行常态化攻防演练可能减少一些形式主义。对于厂商来说,就更加有时间去培养研究人员,研究攻击技术。


蓝方代表剑思庭:如果取消常态化攻防演练,用户侧肯定会警惕性下降。希望日后企业自己能够在内部常态化攻防演练,否则一旦松懈下来,你势必就会成为下一个攻击目标,甚至导致数据泄露。


红方代表张贵卿:企业除了加强自身网络安全团队,还可以开展SRC团队建设,邀请白帽参与建设,预防网络风险。


主持人:我们如何能将攻防演练中的能力沉淀到平台,变成自动化能力,使其更加符合实际需求?


蓝方代表剑思庭:攻防演练结束后人员就相继撤出,但我们还是希望蓝方人员能够持续保持投入,也要说服企业能够在这方面持续投资。


期望网络安全厂商能够提供实现运营自动化产品或平台,帮助实力不足的小型企业落地自动化,或者代运营。


蓝方代表李宗晖:关于能力沉淀,我们都知道安全运营能力成熟度分为四个级别。经过这些年的网络安全建设,企业应该达到运营能力成熟度的第三级别——警觉级,即具备有效的监控和响应流程,同时具备一定的自动化、缓解能力和运营实践能力。


如何沉淀这些能力?首先,甲方自身要基于“1+N”的安全理念去建设一个平台,利用这个平台去管理N个安全业务和安全设备。其次,安全事件交给Soar的处置剧本,最终形成一个X D R检测响应平台。甲方安全人员要学会通过攻防演练借鉴安全专家们的攻防能力,然后完善自己的处置S O P以及补齐日志盲区,最终降低有效告警的解决时间。


红方代表张贵卿:(在应急响应)六个模块中,监测、发现、研判、应急处置、通报预警、联动协同。这六个模块随着攻防解决方案的成熟,可以实现部分自动化,配合人工再实现半自动化的模式。


红方代表黄炜榆:各位的回答很完美,我针对如何沉淀做一点补充。蓝方可以给安全设备添加防护,捕获一些漏洞规则。红方也可以把捕获到的POC编写成自动化攻击模板,后期还可以部署一些蜜罐去捕捉POC。


主持人:攻防演练的能力如何沉淀到日常的安全防护中?


红方代表张贵卿:我们可以总结攻防期间0day爆发的趋势,结合企业自身架构以及采购设备,做好安全防护,避免历史漏洞再次被利用。


另一个痛点是安全预算,如何利用有限的预算对企业进行最大化的投入?这是一个偏向蓝方的问题,企业可以评估自身攻防能力成熟度,根据短板或关键点进行投入决策。


蓝方代表剑思庭:攻防期间的能力经验还是很宝贵的,通过复盘我们可以清晰地了解到一些攻击面或攻击路线,这些经验可以积累到日常的安全运营中。在传统制造业,日常安全运营是重边界轻内网,但现在很多供应链攻击就是从内网攻破企业。所以,未来的安全模型和安全意识要引入防护和安全运营建设。还有,日常的安全防护一定要引入蜜罐和威胁情报。


红方代表黄炜榆:补充一点,线下我们可以和其他攻击队交换情报,学习思路查漏补缺。


蓝方代表李宗晖:企业通过攻防演练,借助政策还有法律法规做好内部风险整改,持续推动应用数据的安全建设和人员建设。在做好日常运营监控的同时,借着攻防演练、合规等手段做好企业安全文化氛围建设,努力让企业高层重视安全,做到自上而下重视安全的效果。


精彩推荐


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存