邮发代号 2-786
征订热线:010-82341063
文 | 中国海洋石油集团有限公司信息技术中心 王英梅 谢晓辉当前,数字技术正势不可挡地渗透到社会经济生活的各个方面,一个更加智能泛在、虚实共生的时空正在全面展开,数字世界与物理世界深度融合、互相映射,网络空间既是国家生产生活秩序的重要保障,也成为国家之间摩擦冲突的新战场。在大国博弈的时代背景下,网络攻击将关键信息基础设施作为各国网络空间安全博弈的重要目标,“多域作战”理念逐步形成,网络空间、电子战、情报、空间和信息作战持续,网络部队与传统作战部队开展联合作战。俄乌冲突、巴以冲突中,网络空间与现实空间交互作用,实现对政府部门、军方网站以及银行、电信、电力、交通等关键信息基础设施的双重打击,扰乱社会治理功能,制造社会混乱和恐慌。由此可见,网络战已成为军事对抗的重要形态。未来面临的体系化对抗是围绕保护对象进行的攻击与防御,企业一方面要满足网络安全法律法规的要求、接受国家网络演习的能力检验、完成重要时期的网络安全保障工作;另一方面提升网络安全综合保障能力、应对网络安全突发事件,保证生产业务安全稳定运行,是网络安全工作最核心的任务与目标。(一)网络安全攻防“实战化”特点
网络攻击隐蔽性。网络攻击技术不断升级,通过特殊通信协议、加密传输、分布式攻击等方式隐藏攻击路径和攻击痕迹,利用 0day 漏洞、窃取合法凭证等方式均可实现隐蔽攻击。攻防对抗实时性。与传统的网络安全方法不同,实战化网络安全强调及时发现、实时反馈,根据不同的攻击情况灵活应对,同时研判出攻击特点以达到有效抵抗。应急响应及时性。随着攻击技术日新月异,网络攻击行为也变得复杂,对网络安全应急响应形成了较高要求,在实战化网络安全对抗中,及时响应、快速处理是实战场景下的底线要求。人机结合协同性。人工智能技术的发展为攻击者提供了便利的攻击技术开发手段,攻击者利用人工智能算法,融入攻击者经验,提高攻击隐蔽性及成功率。攻击形态发生变化,自动化漏洞挖掘模型、攻击模型等逐渐成熟,攻击型人工智能等新型技术也在不断开发迭代,并且已初显端倪。网络攻击的智能化发展,同样推动防守方的自动化处置能力进步,攻防双方均体现出人机协同发展的特点。纵深防御体系发展滞后。数字化转型催生更多系统、数据上云,平台技术复杂化、操作专业化、数据密集化、用户分布化,防护场景变得越来越复杂。而纵深防御体系的发展速度难以跟上“云、大、物、移”应用的变革,致使防护容易形成“真空”领域。互联网暴露面日益增大。业务上“云”、数据资源共享、远程办公场景增多,微信公众号、小程序不断上线,造成网络防护边界模糊,互联网暴露面不断增大。安全技术手段协同不足。在构建纵深防御体系过程中,不断在互联网出口、关键网络节点、重要业务系统及应用处部署安全防护技术手段,随着网络安全防护设备类型及数量的增加,设备之间形成告警孤岛,无法有效联动形成真实的安全事件。协同联动机制不完善。集团公司存在下属单位众多、网络资产众多、管理权限不同的情况,在安全事件分析处置过程中从资产定位、上机排查、事件定性、应急处置过程中出现效率低、协同不力的情况,导致网络安全事件响应不及时。专业技术人员缺乏。网络安全防护及事件分析技术涉及领域众多,从网络基础设施、云平台,到各类中间件,以及 IOT 和工业生产网络,都需要具备相应既了解专业技术又懂攻防技术,同时具备事件分析推理思维的人员,攻防对抗的“实战化”发展,凸显相关人才的匮乏。网络攻击“实战化”具备攻击隐蔽性、攻防对抗实时性、应急响应即时性、人机结合协同性的特点。对于防守方而言,其核心要义归结为一个“快”字,持续构建网络攻击快速发现、快速定位、快速处置以及快速恢复的能力,将决定我们能否在安全事件中成功应对并挽回损失。为解决“实战化”网络安全防护需求,亟需构建“平战结合”综合防护体系,形成攻防态势可见的“挂图作战”能力。“平战结合”。“平时”夯实防御基础,持续厘清保护对象,优化管理与应急流程,完善纵深防御体系,以运营提升管理及技术能力,实现“资产清晰化、风险动态化、能力生态化、防御自动化”。“战时”快速响应,坚持“监测实时、情报准确、响应迅速、指挥精确”,最终实现“平战结合”一体化。“网络空间战场”可视化。通过网络空间可视化技术,利用组织、资产、风险、网络、防护能力等多维度要素,落实动态全景可视、可管、可控,提升网络安全监测、分析、响应、处置能力,形成网络安全态势“看的全、分析准、处置快、管理及时到位”的“挂图作战”能力。加快关键能力布局。以“快”为目标,在提升效率方面加快布局。完善应急响应和协同联动机制,实现安全事件的快速响应和及时处置;建立网络资产库,开展动态维护,实现在发生安全事件时快速定位;部署“主动防御技术”,提前感知预判风险;建立网络安全运营中心(SOC)平台汇集网络安全大数据,为自动防护和智能防护做准备;开展攻防演练,提升应急响应效率;构建人才培养计划及技术手段,加快专业人才培养。企业“实战化”网络安全防护体系,遵循行业最佳实践保护框架,从“基础-强化-协同”三层保护出发,在做好基础保护的前提下,提升强化保护层面,结合网络安全运营,实现监测预警、响应处置、态势研判、自动防御的一体化实战对抗能力。
在网络攻防对抗背景下,“网络资产”的清晰准确定义是实现网络安全事件快速反应的基础,有助于保证后续自动阻断的有效性以及应急流程的顺畅进行。企业对于资产的管理经历了从最初的手工贴码记账,发展到后来通过自动化的 CMDB 管理系统根据资产的生命周期进行监控和维护的过程。这是一个不断演变的过程,随着企业信息化程度的提升,数字化资产从少量单一逐渐演变为大量多维,表现出动态变化和复杂关联的特点。在这种情况下,资产管理更需要从全局、动态、多维、多个角度进行考虑。构建网络资产库是开展资产管理的有效技术手段。网络资产库要解决资产“底账清、权责清、属性清”,支持多维度分析、动态关联分析和暴露资产深度分析。同时,为了持续保证资产属性信息的准确性,需建立资产运营机制,把资产收集、梳理、录入等相关工作通过流程驱动,形成常态化、标准化资产运营模式,支持对各业务系统提供资产数据接口服务,做到资产“数出一源”。网络资产台账通过自动及人工方式持续维护准确性:通过流量设备、主机监测设备、终端安全设备等自动发现并采集相关信息,结合业务属性进行适当补充,从而建立以组织架构、信息系统、IP 资产、管理员不同维度和细粒度的资产画像,服务于不同用户及业务场景。网络资产管理工作是制度、流程及工具协同工作的结果,资产库作为工具手段除了解决资产信息管理便利性、安全性、可持续性的问题,还可反向促进资产管理工作的提升。(二)优化实战化纵深防御体系,推进“主动”防御技术落地持续完善纵深防御体系,补充基于情报、行为的主动防御技术手段,开展网络安全风险预警、情报收集与研判。在全网互联网出口、DMZ 边界部署自动阻断设备;以统一身份管理及认证平台、EDR、微隔离、蜜网、零信任、VPN 等技术手段为基础,探索构建“以身份为基石,以业务安全访问、持续信任评估”为关键能力的“云管边端”一体化零信任安全架构。采用多源情报支持,接入安全运营(SOC)平台,结合防护策略实现自动封堵;部署主动防御技术手段,针对不同的工作区域,尤其是互联网出入口、重要信息系统、重要生产控制系统区域,部署“蜜罐”系统,通过重构不同功能的仿真系统模型,设置有针对性的攻击“陷阱”,获取高质量的关键溯源线索,开展自动防护并推动防护策略优化;构建轻量级零信任策略的设备监控技术,构建统一身份管理及认证平台、EDR、微隔离等技术手段,通过身份、环境、权限等 3 个层面,缓解身份滥用、非授权和越权访问的风险,逐步构建“以身份为基石,以业务安全访问、持续信任评估”为关键能力的“云管边端”一体化零信任安全架构。(三)持续完善“自动处置”关口,提高安全事件应急处置效率分析攻击者进入内网的可能路径,从网络边界突破口入手开展专项防护。一是在各片区互联网出口边界补充部署网络攻击阻断系统,严防互联网入口的网络攻击。基于其可靠的威胁情报对来自互联网的攻击威胁进行精准识别和阻断防护,对内到外的反联行为进行实时监控并有效阻断,真正实现关口前移、一点监测、全网阻断的协同防御效果。二是持续优化 SOC 平台优化封堵策略,在 DMZ 边界自动、精准封堵“漏网之鱼”。通过实时将采集到的多源告警信息与威胁情报、业务系统、资产信息进行匹配和关联,标记匹配的威胁情报告警信息。基于情报标签、威胁可信度、威胁等级以及同一 IP 告警次数、级别和多源告警来源等,制定平时和战时自动封堵策略,并将封堵策略实时下发至 DMZ 边界的阻断探针,以实现对网络攻击行为的快速、精准、自动抵御,防止渗入内网。三是补充最后的防线,实现系统层攻击主动拦截。在业务服务器上全面推广部署主机安全管理系统,通过 RASP 技术对应用系统的流量、上下文、行为进行持续监控,识别并防御已知、未知威胁,实现系统层攻击主动拦截,包括已知网页木马自动隔离、未知网页木马实时防护、未知 SQL 注入漏洞防护、未知上传漏洞防护等。(四)构建“平战结合”的网络安全运营平台,推进“一体化指挥”落地建设 SOC 平台,汇集各类网络安全监测、管理数据,形成网络安全大数据集,开展告警综合分析、攻击与防御态势展示,成为网络作战指挥部及“安全大脑”,持续为网络安全管理与运营赋能,增强联防联控的能力。网络安全运营中心平台,以网络资产库、风险库、能力库为基础,接入网络层、主机层、应用层的安全监测能力,如网络层对接全流量采集系统、异常流量分析系统等,主机层对接主机安全管理、终端安全管理等,应用层对接统一身份认证系统、日志管理系统等,实现对全网任意网络区域的全流量可视,第一时间精准发现攻击入侵行为、高级威胁活动等,并对网络攻击事件的全网扩线,提供完整的数据包证据,实现威胁事件的快速研判、溯源和取证。采用基于分级分类的安全自动编排技术(SOAR),建立“人—平台—流程”一体化机制流程,固化常用事件处理机制,尤其是将外部威胁情报与内网的异常行为、异常流量、异常访问等关联分析并形成快速联防,提升 SOC 平台自动化处理能力。同时,随着 SOC 平台建设实施,在日常工作与网络实战对抗中,不断沉淀安全数据、管理数据、行为数据、业务数据等各类数据,夯实了数字化基础,利用知识与数据沉淀、对网络安全业务运营流程的有效优化,实现了降本增效。通过平台沉淀积累的分析模型,将逐步成为安全分析专家系统,在网络安全运营工作中不断优化迭代。(五)开展网络安全运营,实现网络安全“平战结合”一体化通过持续的安全运营,将管理制度、业务流程、人员能力进行有机结合,发挥各要素最大效益。网络安全运营中心通过构建运营体系,深度融合和运用现有的安全技术,贯彻落实安全管理要求。通过 SOC 平台,实现安全运营工作自动化,按照既定的机制流程,进行资产管理、漏洞管理、合规管理、一体化对抗等安全运营实施工作,同时开展风险评估、培训演练、重保支持、安全检查等安全专项任务,从而实现安全运营任务的线上化和安全运营工作平台化。为更好地开展安全运营工作,建立了层次化和专业化的网络安全运营组织架构,并明确定义了工作职能。安全运营工作主要包括以下 6 个方面。运营管理。开展运营管理,梳理并完善安全运营制度和流程;审核所有与运营相关的制度和文档,规划、监督并总结工作进度。制定关键绩效指标并执行绩效评估,制定工作改进方案并推动实施。资产管理。开展信息资产管理,维护资产相关属性信息,制定改进计划;建立并完善相关流程和技术标准。检查评估。开展漏洞检查、基线检查、渗透测试、风险评估等相关工作并协助相关问题的整改。监测预警。整合所有监测预警能力,开展网络安全监测预警工作。对网络安全威胁及风险进行初步分析;及时发布并跟踪预警及事件通报结果;与事件分析组进行联动,推动事件分析处置。事件分析。根据监测告警进行深度分析;根据外部需求进行事件的协同分析与排查;对专项任务开展分析处置。平台建设与运维。制定 SOC 实施计划;跟踪并推动项目实施进展。开展项目组管理,定期编写总结。对核心技术进行分析,与其他系统对接。监测设备/系统巡检、升级及风险评估。将网络安全攻防实战作为检验安全体系与防护能力的重要举措,定期开展内部网络安全攻防演练、“钓鱼”邮件演练,对集团公司网络安全防御能力、监测发现能力、应急处置能力、协同联动能力以及全员安全意识进行检验。优化应急管理制度,建立高效、准确的信息渠道,完善网络安全事件报告机制。建立重要信息系统网络安全事件应急处置方案,明确发生系统宕机、病毒感染、网络故障时的应急处置措施,以及相关责任单位、处置流程、响应措施、联络人员、处置权限。构建多部门、多单位“主动联动”型的应急响应体系,理顺网络安全事件上报、研判、共享、交换机制,重点关注网络空间对物理空间的次生风险危害研判和应对。网络安全正在成为保障发展的“数字化底座工程”,加强对关键信息基础设施的重点防护,构建一体化网络安全保障体系是践行“总体国家安全观”、维护国家安全和社会稳定的具体行动。而伴随着数字化转型的推进,新应用场景的网络环境更为复杂,每个细分场景都会催生出个性化安全防护需求,网络安全将从以前的“辅助工程”变成“基础工程”。网络对抗必将走向常态化,做好随时进行攻防博弈的准备,对网络安全风险进行全天候全方位的态势感知,是应对实战化网络安全对抗的基础。
(本文刊登于《中国信息安全》杂志2024年第2期)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664215352&idx=2&sn=6afe5018632919567ec502119ae6035f&chksm=8b59b1c1bc2e38d7dedb848d8cfee1da905c901cca13731a2ccca1d763c5a32784989e95c5a8&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh