近期全国各地不少各网络安全主管部门都在开展不同形式的网络安全行动,特别是网络安全攻防行动,该行动是以网络安全实战形式,以白客渗透攻击等方式,旨在发现各单位各系统的网络安全潜在风险,同时可以检验各单位的安全防护和应急处置能力,提高各单位网络安全事件应急处置及实战水平。
面对此类网络安全攻防行动,首先我们了解下目前防守方普遍存在的一些问题。从过去的网络安全攻防行动来看,防守方普遍存在以下问题。
防守方普遍存在的问题:
1、互联网资产暴露面过多,对外的各类服务太多,缺乏有效维护和管理;
2、弱口令大量存在,内外网系统都存在不同程度上的弱口令问题,要知道弱口令可是最容易被发现的高危风险;
3、没有有效的纵深防御体系,重视外网边界防护,轻视内网防护,攻击方一旦突破到内网,则来去自如;
4、敏感信息存在外泄情况,网络拓扑、用户信息等泄露在互联网,成为攻击方突破点;
5、资产管理不到位,存在老、旧、长期不用的系统未及时关闭清理情况,容易成为攻击者的跳板;
既然我们了解到这些普遍存在的问题,那么如何进行有效应对呢?
防守方临时应对措施:
1、减少互联网资产暴露面,如关闭不需要的网站、对外提供服务的业务系统等;收敛互联网出入口,尽量减少不必要的互联网出入口,减轻防守压力;
2、弱口令排查与修改,全面排查并修改所属的信息系统的弱口令(如123456、admin、默认密码等),不同服务器及不同应用不应使用相同密码;
3、对外泄在互联网上的敏感信息及时清除;
4、清理整顿老旧资产,及时关闭不用的老旧资产、僵尸资产等,排查并清除应用的测试账号,防止成为攻击跳板;
5、安全设备策略优化,将网络安全设备调至有效状态,避免安全设备成为摆设;
6、如果对业务系统非常熟悉,可以设置进程白名单;这招对攻击方杀伤力很大,如果攻击方贸然在服务器上运行了白名单之外的程序,防守方利用日志分析系统就能很快定位出被攻破的服务器;
7、及时封堵攻击方可疑IP,这是一个立竿见影的方案。不过这一招对于自身的安全防护能力并没有实质上的提升,这只是当下一个权宜之计,大家要切记。
防守方加固措施:
1、定期的漏洞检测与加固;全面开展主机、网络设备、安全设备、应用系统的漏洞检测和加固工作;
2、在业务系统上线前需要进行安全测试,包括但不局限于:渗透测试、漏洞扫描、白盒代码审计、软件测试等;
3、建立纵深防御体系,建立南北向网络安全纵深防护体系,防止出现一道防线被突破满盘皆输的情况。通过使用下一代防火墙、WAF、防病毒网关、入侵防御、数据库防火墙、网闸等建立多层防御体系,增加攻击者边界突破的难度;同时对于东西向流量也要最好管控与防护;
4、终端杀毒软件一定要有,特别是服务器端的,另外网关层的防病毒最好和主机层的防病毒选用不同安全厂商的,做好异构,加强防病毒的能力;
5、调整优化网络分区分域并做好安全隔离防护,根据不同业务类型与安全等级将网络区域划分为不同的网络安全区域,如划分为办公区、互联网区、内网服务器区、运维区等;在分区分域的基础上,针对各个区域边界建立不同的安全防护措施,做好边界隔离,加大攻击方内部渗透的难度;
6、对重要设备及应用做好双因素认证;双因素认证能够有效的防止密码暴力破解,同时就算用户的密码是弱口令或者被撞库成功,攻击方也很难成功登录,这能在很大程度上影响攻击方的进攻脚步。重要的业务系统、远程办公系统(vpn、远程桌面、OA等)、堡垒机、单点登录认证系统等都应该加上双因素认证;
7、做好日志审计与分析,对所有安全相关的行为与事件及时进行日志收集与分析,做到可查看、可溯源;重点关注重要账户的登录和变更日志,重要账户的任何异常行为应及时掌握;
8、建立应急响应与处置体系,日常做好应急预案与演练,发生网络入侵事件时及时进行处置,防止一般网络安全问题演变为重大网络安全事件;
9、定期开展全员安全意识培训,这个主要是针对员工进行安全意识培训,结合行业内或生活中实际案例,加强员工对网络安全的重视,防止被社会工程学等攻击,建立好基层防线;
10、定期开展网络安全等级保护测评等合规性工作,通过第三方安全检测及时发现存在的网络安全风险,消除隐患,满足合规合法要求。
目前,网络安全行动已是常态,不论是网络安全检查还是网络安全攻防已成为各主管部门的常规操作。做好以上这些措施,可以轻松自如地应对各类网络安全行动。