“講一百遍不如打一遍”，都說(shuō)網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練是檢閱機(jī)構(gòu)單位安全防護(hù)和應(yīng)急處置能力，提高綜合防控能力的最有效的手段之一。那么，如何搞一場(chǎng)安全、高效的網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練？

不要慌，你可能需要這一份由安恒信息打造的《2020網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練應(yīng)對(duì)指南》（以下簡(jiǎn)稱“應(yīng)對(duì)指南”）。

什么是網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練？

網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練是以獲取指定目標(biāo)系統(tǒng)（標(biāo)靶系統(tǒng)）的管理權(quán)限為目標(biāo)的攻防演練，由攻防領(lǐng)域經(jīng)驗(yàn)豐富的紅隊(duì)專家組成攻擊隊(duì)，在保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的前提下，采用“不限攻擊路徑，不限制攻擊手段”的貼合實(shí)戰(zhàn)方式，而形成的“有組織”的網(wǎng)絡(luò)攻擊行動(dòng)。攻防演練通常是在真實(shí)網(wǎng)絡(luò)環(huán)境下對(duì)參演單位目標(biāo)系統(tǒng)進(jìn)行全程可控、可審計(jì)的實(shí)戰(zhàn)攻擊，擬通過(guò)演練檢驗(yàn)參演單位的安全防護(hù)和應(yīng)急處置能力，提高網(wǎng)絡(luò)安全的綜合防控能力。

如何高效應(yīng)對(duì)“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”？

安恒信息基于Gartner自適應(yīng)保護(hù)模型，有效覆蓋預(yù)防（P）、保護(hù)（P）、檢測(cè)（D）、響應(yīng)（R）四個(gè)階段，形成PDCA安全防御閉環(huán)，達(dá)到安全縱深防御的效果。對(duì)應(yīng)PPDR自適應(yīng)攻擊保護(hù)架構(gòu)四個(gè)階段要求，安恒信息分別提供：

安全基線：基線/邊界梳理、威脅模型、態(tài)勢(shì)感知

防御強(qiáng)化：網(wǎng)絡(luò)加固、對(duì)抗演練、應(yīng)急體系

威脅狩獵：對(duì)攻擊展開識(shí)別、響應(yīng)、干預(yù)、誘捕

威脅分析：調(diào)查分析、復(fù)盤攻擊、策略優(yōu)化

有效應(yīng)對(duì)紅隊(duì)攻擊路徑：

攻防演練綜合安全管控中心：

01準(zhǔn)備階段，安全基線

資產(chǎn)摸底：通過(guò)資產(chǎn)梳理、滲透測(cè)試、基線評(píng)估等安全服務(wù)方式，摸清網(wǎng)絡(luò)資產(chǎn)底數(shù)、評(píng)估信息系統(tǒng)的脆弱性、分析網(wǎng)絡(luò)安全架構(gòu)等，全面了解和掌握該系統(tǒng)面臨的信息安全威脅和風(fēng)險(xiǎn)以及網(wǎng)絡(luò)邊界到標(biāo)靶系統(tǒng)的所有路徑。

威脅評(píng)估：分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。

威脅建模：通過(guò)分解業(yè)務(wù)場(chǎng)景——繪制數(shù)據(jù)流圖——評(píng)估風(fēng)險(xiǎn)點(diǎn)等步驟劃定攻擊路徑，形成威脅模型。包含：核心資產(chǎn)模型、業(yè)務(wù)訪問(wèn)模型、網(wǎng)絡(luò)行為模型、網(wǎng)絡(luò)威脅模型等。

02強(qiáng)化階段，防御加強(qiáng)

安全加固：通過(guò)添加策略優(yōu)化，部署監(jiān)測(cè)、防護(hù)、審計(jì)、分析等類型的安全設(shè)備和有效措施，將風(fēng)險(xiǎn)降低到最低，以及做到保障時(shí)威脅可見、可防、可溯源等綜合能力。

組織預(yù)演：采用實(shí)戰(zhàn)模式，以紅藍(lán)軍網(wǎng)絡(luò)安全對(duì)抗進(jìn)行實(shí)戰(zhàn)攻擊演練，檢驗(yàn)響應(yīng)流程、設(shè)備穩(wěn)定可靠性、整體防御方案的有效性，及時(shí)發(fā)現(xiàn)問(wèn)題并整改優(yōu)化，提升對(duì)攻擊手法感知的熟悉度和敏捷性。

安全培訓(xùn)：安全意識(shí)、郵件釣魚、社工防范、工作流程、安全技術(shù)等培訓(xùn)，提高技術(shù)人員處置能力以及全員安全意識(shí)，預(yù)防和減少紅隊(duì)通過(guò)社工方式釣魚攻擊非技術(shù)人員的嘗試和成功率。

03保障階段，威脅狩獵

從攻擊監(jiān)測(cè)、攻擊分析、攻擊阻斷、漏洞修復(fù)和追蹤溯源等全面加強(qiáng)防守，重點(diǎn)關(guān)注云服務(wù)檢測(cè)與防御、全景網(wǎng)絡(luò)邊界防護(hù)、Web攻擊檢測(cè)與防御、郵件安全、主機(jī)安全管控、數(shù)據(jù)庫(kù)操作審計(jì)、運(yùn)維操作審計(jì)、異常流量分析等，通過(guò)全面威脅檢測(cè)、APT級(jí)別的入侵分析、攻擊誘捕措施、大數(shù)據(jù)安全分析，以及網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)部署、專家組安全處置響應(yīng)等方面合理部署，保障演練過(guò)程中安全防守效果。

同時(shí)，網(wǎng)絡(luò)攻防經(jīng)驗(yàn)豐富的藍(lán)隊(duì)專家現(xiàn)場(chǎng)服務(wù)，全程參與并提供安全態(tài)勢(shì)監(jiān)控、威脅情報(bào)值守、安全大數(shù)據(jù)分析、威脅主動(dòng)誘捕、演練總結(jié)等專家級(jí)服務(wù)支撐。

04總結(jié)階段，復(fù)盤改進(jìn)

全面總結(jié)：總結(jié)攻防演練整體實(shí)施報(bào)告，包括：組織隊(duì)伍、攻擊情況、防守情況、安全防護(hù)措施、監(jiān)測(cè)手段、響應(yīng)和協(xié)同處置等各階段工作的成果，并形成總結(jié)報(bào)告上報(bào)。

整改提升：全面復(fù)盤在演練中暴露的脆弱點(diǎn)，并開展整改，進(jìn)一步提高目標(biāo)系統(tǒng)的安全防護(hù)能力，為下一步安全建設(shè)規(guī)劃提供必要的數(shù)據(jù)支撐。

安恒信息演練全景圖

目前，安恒信息實(shí)戰(zhàn)攻防演練服務(wù)已支撐全國(guó)20多個(gè)省份，支持國(guó)家級(jí)、省部級(jí)和各企事業(yè)單位等演練行動(dòng)百余次，多次承辦部委、央企、金融、運(yùn)營(yíng)商等行業(yè)實(shí)戰(zhàn)攻防演練。

針對(duì)不同需求的用戶，安恒信息根據(jù)規(guī)模、資金、自身安全情況等方面制定了不同的防護(hù)體系方案，主要分為:基礎(chǔ)防護(hù)、標(biāo)配防護(hù)、定制防護(hù)。