2016年4月,國家領(lǐng)導(dǎo)人在網(wǎng)絡(luò)安全和信息化工作座談會上發(fā)表重要講話指出,“網(wǎng)絡(luò)安全的本質(zhì)是對抗,對抗的本質(zhì)是攻防兩端能力的較量。”
同年,《網(wǎng)絡(luò)安全法》頒布,出臺網(wǎng)絡(luò)安全演練相關(guān)規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)“制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期進(jìn)行演練”。
結(jié)合在知道創(chuàng)宇四年來的經(jīng)驗(yàn),以及對近年來國內(nèi)外網(wǎng)絡(luò)對抗的總結(jié)后,我認(rèn)為要想把攻防演練和小規(guī)模網(wǎng)絡(luò)對抗的防御工作做好,必須解決兩個(gè)問題:
在網(wǎng)絡(luò)對抗方案中,大部分的方案都在做“點(diǎn)”的堆疊,這些堆疊往往是基于方案廠商自有的產(chǎn)品和服務(wù)能力,并沒有考慮到網(wǎng)絡(luò)對抗中的效果,主要是將以往安全建設(shè)的方案進(jìn)行重新包裝,即:新壇裝老酒;
以往的方法論,包括:等保、ISMS、ITIL等等,在目標(biāo)、宏觀、指導(dǎo)性層面上雖然極具參考性,但在實(shí)際中卻缺乏落地策略及直接有效的操作方針來阻擋攻擊者。
對此,本文將參考一部專門針對小規(guī)模對抗的著作提出的戰(zhàn)術(shù)中心思想,落實(shí)在實(shí)際的網(wǎng)絡(luò)攻防中,利用主動防御進(jìn)行黑客對抗。本文重在提出對抗方針,即:在已經(jīng)進(jìn)行了基礎(chǔ)的信息安全建設(shè)后(例如,已經(jīng)通過等保、分保、ISO 27001、Cobit、SOX404等等),應(yīng)該從哪些方面入手和加強(qiáng),以防御真正的網(wǎng)絡(luò)攻擊。具體操作指南需要根據(jù)實(shí)際業(yè)務(wù)場景和IT環(huán)境進(jìn)行細(xì)化。
本文不求像綱領(lǐng)性文件、要求或一些方法論中做到的全面,僅從最有效的方面進(jìn)行闡述。
二、對抗,對抗,對抗
實(shí)際的小規(guī)模網(wǎng)絡(luò)攻防中,面對的攻擊對象,主要包括國內(nèi)外敵對勢力、商業(yè)和民間黑客以及執(zhí)行攻防演練行動中進(jìn)行安全性檢測的攻擊隊(duì)等。
攻擊對象不乏有使用1day,甚至是0day的攻擊手段,在某些特定對象和場景中,也可能會遇到APT攻擊。面對這些攻擊時(shí),一味地進(jìn)行被動防御,即使不斷提高防御手段,往往只是增加資源投入和成本,并不能起到更好的效果。
例如:
防火墻或網(wǎng)閘買得再多、訪問控制策略做得再細(xì)致和規(guī)范,若它們自身就存在0day漏洞或1day漏洞未修補(bǔ),則直接可被攻破;
業(yè)務(wù)系統(tǒng)接入了云防御,即使云端防御再好,一旦攻擊者找到了未做信任策略的源站地址,一切防御將全部失效;
內(nèi)網(wǎng)部署了很好的防御產(chǎn)品和策略,包括防病毒、反垃圾郵件等,但內(nèi)部員工被魚叉攻擊,依然會泄露重要和敏感信息;
業(yè)務(wù)系統(tǒng)防范嚴(yán)密,卻在某個(gè)具有出口的測試環(huán)境中存在暗資產(chǎn),或者在GitHub上泄露了數(shù)據(jù),導(dǎo)致其成為跳板甚至被進(jìn)行內(nèi)網(wǎng)漫游或使攻擊者直接獲得了某些重要資料和信息;
等等場景,不勝枚舉。
被動防御永遠(yuǎn)在亡羊補(bǔ)牢。基于網(wǎng)絡(luò)安全發(fā)展史的經(jīng)驗(yàn)來看,面對攻擊,是可以進(jìn)行如下兩個(gè)判斷的:
對每種攻擊手段、防御措施的資源投入,平均下來一定遠(yuǎn)遠(yuǎn)大于攻擊成本;
每個(gè)攻擊者的攻擊手段可能無限多。
所以得出的結(jié)論是:僅考慮防御,將會耗盡無限多的資源,而即使如此,也未必能做到最好。
所以強(qiáng)調(diào)指出:網(wǎng)絡(luò)安全的本質(zhì)是對抗。
對抗,不是被動防御。對抗的目標(biāo)是“敵人”,是攻擊者,防御方案不僅是為了免責(zé)和心里安慰,目的是在實(shí)際的小規(guī)模網(wǎng)絡(luò)中保護(hù)自己的業(yè)務(wù)系統(tǒng),保護(hù)社會數(shù)據(jù),保護(hù)國家信息資產(chǎn)。
三、不管資源多少,要將資源盡可能用于主動防御對抗中
只有將目標(biāo)聚焦到攻擊者、聚焦到對“人”的對抗上,才能在網(wǎng)絡(luò)攻防中取得勝利。
主動防御或機(jī)動防御理念,是在入侵成功之前通過精確預(yù)警,有針對性、機(jī)動地集中資源重點(diǎn)防御并伺機(jī)進(jìn)行反擊。在網(wǎng)絡(luò)安全領(lǐng)域,目前其方法論和技術(shù)方案尚不成熟。
在小規(guī)模對抗中,攻擊者可能來自于任何地方,但具備攻擊能力的人群總數(shù)是有限的,對有生力量的精力和時(shí)間的打擊和消耗,以及進(jìn)行可能的自然人溯源,是目前我認(rèn)為的主動防御思想的核心。
在傳統(tǒng)安全模型中經(jīng)常提到“木桶原理”、PDCA、PDRR等概念,旨在強(qiáng)調(diào)加強(qiáng)短板建設(shè)、形成周期性閉環(huán)等等,這些理論是正確的,但這些理論的出發(fā)點(diǎn)更多的是考慮通過“知己”及“內(nèi)建”,以應(yīng)對外界威脅,更適合用來作為指導(dǎo)性思想,進(jìn)行常態(tài)化和持久化信息安全建設(shè)。而在主動防御理論中,更優(yōu)先考慮的是“知彼”,依據(jù)攻擊者可能的手段及弱點(diǎn)協(xié)調(diào)資源進(jìn)化自己。
所以在整體資源有限、時(shí)間周期不長、攻擊者相對較明確的網(wǎng)絡(luò)攻防中,應(yīng)將資源用于主動防御對抗中,這樣能更加明顯地實(shí)現(xiàn)預(yù)期效果并取得更優(yōu)的成果。
主動防御的出發(fā)點(diǎn)應(yīng)該圍繞“敵人”,方案應(yīng)該更強(qiáng)調(diào)“立竿見影”。
以下部分將進(jìn)行主動防御思想體系下,應(yīng)對攻防演練及小規(guī)模網(wǎng)絡(luò)對抗的戰(zhàn)術(shù)方法介紹。
四、如果內(nèi)部安全人員有限,可以更多地使用自動化工具或外采人工服務(wù)
