雖然目前大多數企業都非常重視信息安全,但是在攻防演練初期,大部分攻擊者會使用掃描工具來收集資產及漏洞信息,攻擊告警量會大幅度增加,對應的防守人員無法逐個處理所有攻擊告警。因此各企業需要部署帶有攔截功能的安全設備,比如防火墻、Web應用防護系統、入侵防禦系統等,以便在演練前做好兼容性測試及告警攔截策略優化,提升處置效率。
要點二:攻擊源封堵
在攻防演練前,應收集威脅源IP及惡意域名進行封堵,然後在演練中對安全設備的高危告警IP進行封堵,進壹步降低告警數量,避免防守人員監控精力的消耗,將重心放在真實攻擊的研判分析上。
要點三:應急響應和追蹤溯源
在攻防演練中,當主機被奪取權限,會造成防守方陣地淪陷。因此需要實時監控異常流量及告警信息,及時對失陷主機或被攻擊成功的系統啟動響應處置流程:檢測階段、系統隔離、問題定位、調查取證、木馬清除、主機修復及恢復。根據應急響應過程中取證的數據,結合威脅情報、蜜罐等工具,利用社工等多種手段進行追蹤溯源,從而實現為防守方有效加分。
要點四:漏洞修復
當安全監控人員發現因漏洞導致的攻擊事件時,必須及時進行漏洞修復,以防止問題進壹步擴大。漏洞修復的主要流程為:封堵攻擊IP以及非正常請求的IP,監控被攻擊的流量數據,制定漏洞修復方案,評估和測試方案的可行性,完成漏洞修復。
要點五:補丁修復
補丁修復也是關乎防守效果的重要環節,即使系統、應用的補丁在演練前完成修復,在演練中仍可能會出現“高危0day漏洞”或“官方補丁”。由於防守方既要保證生產系統的穩定又要保證安全,存在不能及時更新版本的問題,攻擊者有可能利用老版本的漏洞進行攻擊。因此在演練過程中應成立安全專家組,專門負責評估、測試和修復此類型的問題,完善該類系統的應急預案。