1.6　建立實戰化的安全體系

安全的本質是對抗。對抗是攻防雙方能力的較量，是一個動態的過程。業務在發展，網絡在變化，技術在變化，人員在變化，攻擊手段也在不斷變化。網絡安全沒有“一招鮮”的方式，只有在日常工作中不斷積累，不斷創新，不斷適應變化，持續構建自身的安全能力，才能應對隨時可能威脅系統的各種攻擊。不能臨陣磨槍、倉促應對，而應立足根本、打好基礎。加強安全建設，構建專業化的安全團隊，優化安全運營過程，并針對各種攻擊事件進行重點防護，這些才是根本。

防守隊不應再以“修修補補，哪里出問題堵哪里”的思維來解決問題，而應未雨綢繆，從管理、技術、運行等方面建立系統化、實戰化的安全體系，從而有效應對實戰環境下的安全挑戰。

1. 完善面向實戰的縱深防御體系

實戰攻防演練的真實對抗表明，攻防是不對稱的。通常情況下，攻擊隊只需要撕開一個點，就會有所收獲，甚至可以通過攻擊一個點，拿下一座“城池”。但對于防守隊來說，需要考慮的是安全工作的方方面面，僅關注某個或某些防護點已經滿足不了防護需求。實戰攻防演練中，對攻擊隊或多或少還有些攻擊約束要求，而真實的網絡攻擊則完全無拘無束，與實戰攻防演練相比，更加隱蔽而強大。

要應對真實網絡攻擊行為，僅僅建立合規型的安全體系是遠遠不夠的。隨著云計算、大數據、人工智能等新型技術的廣泛應用，信息基礎架構層面變得更加復雜，傳統的安全思路已越來越難以滿足安全保障的要求。必須通過新思路、新技術、新方法，從體系化的規劃和建設角度，建立縱深防御體系架構，整體提升面向實戰的防護能力。

從應對實戰的角度出發，對現有安全架構進行梳理，以安全能力建設為核心思路，面向主要風險重新設計政企機構整體安全架構，通過多種安全能力的組合和結構性設計形成真正的縱深防御體系，并努力將安全工作前移，確保安全與信息化“三同步”（同步規劃、同步建設、同步運行），建立起具備實戰防護能力、有效應對高級威脅、持續迭代演進提升的安全防御體系。

2. 形成面向過程的動態防御能力

在實戰攻防對抗中，攻擊隊總是延續信息收集、攻擊探測、提權、持久化的一個個循環過程。攻擊隊總是通過不斷地探測發現環境漏洞，并嘗試繞過現有的防御體系，侵入網絡環境。如果防御體系的安全策略長期保持不變，一定會被“意志堅定”的攻擊隊得手。所以，為了應對攻擊隊持續變化的攻擊行為，防御體系自身需要具有一定適應性的動態檢測能力和響應能力。

在攻防對抗實踐中，防守隊應利用現有安全設備的集成能力和威脅情報能力，通過分析云端威脅情報的數據，讓防御體系中的檢測設備和防護設備發現更多的攻擊行為，并依據設備的安全策略做出動態的響應處置，把攻擊隊阻擋在邊界之外。同時，在設備響應處置方面，也需要多樣化的防護能力來識別攻擊隊的攻擊行為和動機，例如封堵IP、攔截具有漏洞的URL訪問等策略。

通過建立動態防御體系，不僅可以有效攔截攻擊隊的攻擊行為，還可以迷惑攻擊隊，讓攻擊隊的探測行為失去方向，讓更多的攻擊隊知難而退，從而在對抗中占得先機。

3. 建設以人為本的主動防御能力

安全的本質是對抗，對抗是人與人的較量。攻防雙方都在對抗中不斷提升各自的攻防能力。在這個過程中，就需要建立一個技術水平高的安全運營團隊。該團隊要能夠利用現有的防御體系和安全設備，持續檢測并分析內部的安全事件告警與異常行為，發現已進入內部的攻擊隊并對其采取安全措施，壓縮其在內部的停留時間。

構建主動防御的基礎是可以采集到內部的大量有效數據，包括安全設備的告警、流量信息、賬號信息等。為了將對內部網絡的影響最小化，采用流量威脅分析的方式，實現全網流量威脅感知，特別是關鍵的邊界流量、內部重要區域的流量。安全運營團隊應利用專業的攻防技能，從這些流量威脅告警數據中發現攻擊線索，并對已發現的攻擊線索進行威脅巡獵、拓展，一步步找到真實的攻擊點和受害目標。

主動防御能力主要表現為構建安全運營的閉環，包括以下三方面。

1）在漏洞運營方面，形成持續的評估發現、風險分析、加固處置的閉環，減少內部的受攻擊面，使網絡環境達到內生安全。

2）在安全事件運營方面，對實戰中攻擊事件的行為做到“可發現、可分析、可處置”的閉環管理，實現安全事件的全生命周期管理，壓縮攻擊隊在內部的停留時間，降低安全事件的負面影響。

3）在資產運營方面，逐步建立起配置管理庫（CMDB），定期開展暴露資產發現工作，并定期更新配置管理庫，這樣才能使安全運營團隊快速定位攻擊源和具有漏洞的資產，通過未知資產處置和漏洞加固，減少內外部的受攻擊面。

4. 建立基于情報數據的精準防御能力

在實戰攻防對抗中，封堵IP是很多防守隊的主要響應手段。這種手段相對簡單、粗暴，容易造成對業務可用性的影響，主要體現在：

·如果檢測設備誤報，結果被封堵的IP并非真實的攻擊IP，就會影響到互聯網用戶的業務；

·如果攻擊IP自身是一個IDC出口IP，那么封堵該IP就可能造成IDC后端大量用戶的業務不可用。

所以，從常態化安全運行角度來看，防守隊應當逐步建立基于情報數據的精準防御能力。具體來說，主要包括以下三方面。

1）防守隊需要培養精準防御的響應能力，在實戰攻防對抗中針對不同的攻擊IP、攻擊行為采用更細粒度、更精準的防御手段。

結合實戰攻防對抗場景，防守隊可以利用威脅情報數據共享機制，實現攻擊源的精準檢測與告警，促進精準防御。減少檢測設備誤報導致的業務部分中斷。此外，讓威脅情報數據共享在網絡流量監測設備、終端檢測與響應系統、主機防護系統等多點安全設備或系統上共同作用，可以形成多樣化、細粒度的精準防御。

2）為了最小化攻防活動對業務可用性的影響，需要設計多樣化的精準防御手段與措施，既可延緩攻擊，又可滿足業務連續性需要。

例如，從受害目標系統維度考慮建立精準防御能力，圍繞不同的目標系統，采取不同的響應策略。針對非實時業務系統的攻擊，可以考慮通過防火墻封禁IP的模式；而針對實時業務系統的攻擊，就應考慮在WAF設備上攔截具有漏洞的頁面訪問請求，從而達到對實時業務系統的影響最小化。

3）為了保證在實戰攻防對抗過程中防守方不會大面積失陷，應對于重要主機，例如域控服務器、網管服務器、OA服務器、郵件服務器等，加強主機安全防護，阻止主機層面的惡意代碼運行與異常進程操作。

5. 打造高效一體的聯防聯控機制

在實戰攻防對抗中，攻擊是一個點，攻擊隊可以從一個點攻破整座“城池”。所以在防守的各個階段，不應只是安全部門孤軍奮戰，而應有更多的資源支持，有更多的部門協同工作，這樣才有可能做好全面的防守工作。

例如，一個攻擊隊正在對某個具有漏洞的應用系統進行滲透攻擊，在檢測發現層面，需要安全運營團隊的監控分析發現問題，然后通知網絡部門進行臨時封堵攻擊IP，同時要讓開發部門盡快修復應用系統的漏洞。這樣才能在最短時間內讓攻擊事件的處置形成閉環。

在實戰攻防對抗中，防守隊一定要建立起聯防聯控的機制，分工明確，信息通暢。唯有如此，才能打好實戰攻防演練的戰斗工作。聯防聯控的關鍵點如下。

1）安全系統協同。通過安全系統的接口實現系統之間的集成，加強安全系統的聯動，實現特定安全攻擊事件的自動化處置，提高安全事件的響應處置效率。

2）內部人員協同。內部的安全部門、網絡部門、開發部門、業務部門全力配合實戰攻防對抗工作組完成每個階段的工作，并在安全值守階段全力配合工作組做好安全監控與處置工作。

3）外部人員協同。實戰攻防對抗是一個高頻的對抗活動，在這期間，需要外部的專業安全廠商配合工作組防守，各個廠商之間應依據產品特點和職能分工落實各自的工作，并做到信息通暢、聽從指揮。

4）平臺支撐，高效溝通。為了加強內部團隊的溝通與協同，在內部通過指揮平臺實現各部門、各角色之間的流程化、電子化溝通，提升溝通協同效率，助力聯防聯控有效運轉。

6. 強化行之有效的整體防御能力

2020年實戰攻防演練的要求是：如果與報備目標系統同等重要的系統被攻陷，也要參照報備目標系統規則扣分。

這就給大型機構的防守隊帶來了前所未有的防守壓力。原來通行的防守策略是重兵屯在總部（目標系統一般在總部），提升總部的整體防御能力；但隨著實戰攻防演練規則的演變，總部和分支機構變得同等重要。

從攻擊路徑來看，分支機構的安全能力一般弱于總部，同時分支機構和總部網絡層面是相通的，并且在早期進行安全建設的時候往往會默認對方的網絡是可信的；在安全防護層面，總部一般僅僅對來自分支機構的訪問請求設置一些比較粗糙的訪問控制措施。這些安全隱患都會給攻擊隊留出機會，使攻擊隊可以從薄弱點進入，然后橫向拓展到總部的目標系統。

因此，防守隊只有將總部和分支機構進行統一的安全規劃和管理，形成整體防御能力，才能有效開展實戰攻防對抗。在整體防御能力上，建議防守隊開展如下工作。

1）互聯網出入口統一管理。條件允許的情況下，應盡量上收分支機構的互聯網出入口。統一管理的好處是集中防御、節約成本、降低風險。同時，在整體上開展互聯網側的各類風險排查，包括互聯網未知資產、敏感信息泄露、社工信息的清理等工作。

2）加強分支機構防御能力。如果無法實現分支機構的互聯網出入口統一管理，則讓分支機構參考總部的安全體系建設完善其自身的防御能力，避免讓出入口成為安全中的短板。

3）全面統籌，協同防御。在準備階段，應讓分支機構配合總部開展風險排查；在實戰值守階段，讓分支機構與自己一起安全值守，并配置適當的安全監控人員、安全分析處置人員，配合自己做好整體的防御、攻擊的應急處置等工作。