1. HW背景
能源:“xxx是国家的支柱能源和经济命脉,其安全稳定运行不仅关系到国家的经济发展,而且维系国家安全。随着xxx规模的逐渐扩大,安全事故的影响范围越来越大,安全问题越来越突出,xxx网络安全运行已经成为全球的研究热点。”
银行:”随着我国信息化发展的日新月异,信息系统的风险评估也被国家决策层纳为重要项目。银行信息安全是至关重要的问题,因为在任何一个环节出现问题,就会影响到整个系统的发展,造成全局性的失误。所以其中的信息安全成为重中之重。银行给客户提供服务的同时,必须要为客户提供可靠的环境以及信息的准确性和安全性。”
(以上选一即可)201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。XXXX平台作为防守方,成功防御了XX的攻击,没有被攻破,同时发现并处理了XXXX。
XXXX在演练期间,加强安全专项巡检,做好相关汇报工作,对发现的安全问题及时整改,按照组织要求认真做好各阶段工作,顺利完成了防守任务,提升了XXXX的网络应急安全应急处置与协调能力,提升了XXXX网安全防护水平。
2、人员安排
现场专家:
研判分析人员:
监控人员:
3、驻场时间
如:2019年X月X日到2019年X月X日。
4、前期准备
1、成立XX平台HW201X工作专项小组,并由公司负责人牵头,各部门协力配合,做到了分工明确,责任具体到人;同时完善相关安全制度优化完成《XXXX平台应急处置方案》和《XX平台防守组工作方案》,保障HW工作正常有序开展。
2、开展运维自检自查工作以及第三方协查工作。通过资产梳理工作,对XX平台网络策略优化xx项,修复高危安全漏洞xx余项,其中自主发现高危安全漏洞xx项,XX协助发现高危漏洞x个,包含在自主发现漏洞中,已做到对高危漏洞清零,检测发现并修复平台弱口令xx项。
3、组织防护工作演练,编写《xxXX平台工作部署》方案,对HW期间工作进行紧密部署,加强完善平台安全巡检,增强团队协作能力。
4、组织协调第三方能力,在此期间对物理机房、云服务商监测加强监控、检测要求,XX协助提供x云安全监测服务,并配置入侵检测系统,同时安全部对公司内部进行安全意识宣贯,降低被钓鱼攻击风险。
5. 组织实施
(一)加强组织协调
在公司内部设置专项防守场地,安排XX平台各部门负责人、核心部门驻场值守。安排专人进行对接,随时与防守团队保持联络,通过电话会议每日协商,汇总当日所发生的安全事件,针对安全事件进行应急响应和处置。
(二)安排重点值守
各部门各司其职,加强防守整改。其中XX部整体把握XX防守情况,负责与总体防守组的沟通联系,负责信息对接,保持随时联络,提交防守成果。XX部负责对网络安全策略进行梳理,删除无效策略;XX部负责对主机系统安全基线进行检查落地,修复主机漏洞,对中间件平台进行升级;XX梳理数据库相应安全权限,对权限进行严格控制;XX部负责对代码层安全漏洞进行修复,并对后台管理进行安全防护;XX部负责撰写整体《安全应急相应方案》以及《HW工作安排部署方案》,加强安全监测预警、安全防护和应急处置能力。
(三)开展防守工作
攻防实施阶段
1、严格落实值班制度。平台加强了每日巡检力度,从巡检次数从每日二次调整为每日三次,同时安排专人负责安全巡检,对巡检项进行详细记录,并于每日下午X点前上报;并安排专人在部机关值守,确保信息沟通顺畅。
2、认真落实报告制度。安排专人到XX负责联络工作X周,并每日于X点、X点进行工作汇报总结,对攻击手段、封禁IP地址,账号爆破情况进行梳理归纳,发现攻击问题第一时间上报总体防守组。编制X份防守成果报告,经演戏指挥部确认,得分XX分。
3、全面做好检测预警工作。平台对WAF、IDS、以及邮箱、VPN等账户,系统状态、网络状态等进行全方位监控,共发现账户破解、扫描、命令执行、SQL注入等攻击数百次,对异常IP进行及时封禁,共计封禁IPXX余个,未发现攻击成功现象。
4、 加强监控应急处理能力。在平台发现被爆破的账号后,并在第一时间对问题账户进行删除操作;发现并删除恶意木马文件XX个,并阻止该恶意程序运行,上报防守成果,同时优化平台相关服务,关闭木马上传路径。
5、攻防实施阶段XX平台共检测到恶意扫描攻击XX次,平台封禁恶意IP地址XX余个,公司邮箱账户被尝试爆破XX余个,均未成功,XX平台业务账户被尝试暴力破解XX个,成功X个,VPN账号被尝试暴力破解X个,未成功,发现XXXXXXXX公司官网网站有异常IP入侵,发现XX平台、XX平台有异常IP入侵,采取封禁IP措施,对XX平台网站应用系统弱口令问题进行整改。
6、威胁汇总及整改情况
演习结束后,根据XX与XX相关要求,对攻防演习工作中发现的问题成果进行梳理,共有X项其中XX平台安全隐患X项,非XX平台安全隐患共X项,通知相关部门进行整改,已经完全整改完毕。
(一)XX平台威胁整改情况
本次参演的XX平台共被发现X处安全隐患,存在XX问题,目前已全部修复。
(二)非目标系,统威胁整改情况
本次演习攻击方对演习目标所属公司系统进行了攻击渗透,共发现威胁X个。截止目前,已完成所有问题整改、漏洞修复。
7、企业暴露弱点
经分析,攻击方主要是通过三种途径开展渗透攻击:一是利用系统已知漏洞;二是利用用户弱口令漏洞;三是通过SQL注入、文件上传漏洞等攻击方式,对目标系统开展攻击;四是利用逆向调试;五是通过新爆0day漏洞。
其中在对HW期间的防守工作中,发现企业暴露弱点如下:
1 人员安全意识较低,内网账号弱口令较多,应用平台以及系统账号存在弱口令。
2 外包管理资产不明确,发现告警行为无法第一时间对应到资产,造成几次判断失误。
3 内部网络交互不明确,内网服务器与内网服务器的交互,内网终端与域控验证服务器的交互等,内部网络交互不明确造成几次研判失误。
4 缺少内部资产统一管理平台、以及缺少安全技术人员定期对内部资产进行跟踪整理。
5 缺少安全技术人员定期对内部资产进行渗透测试,缺少安全技术人员定期对业务服务器进行基线检查。
6 日常工作中缺少安全技术人员对最新安全事件的跟踪,而不应该只在护网期间紧急更新补丁。
8、安全防护建议
1 安全意识培训
通过信息安全培训提高xxx企业员工的信息安全意识水平,将全员信息安全意识的点滴提升作用到具体的工作中,可以成倍地放大信息安全工作的效果。xxx企业信息安全培训必要性主要表现在:
1.1、xxx企业涉及信息的敏感性极高,主要包括:与客户相关的信息,客户基本信息、客户账户信息以及客户交易信息等,这几类信息都涉及客户的个人利益。
1.2、xxx企业信息安全意识仍然普遍较为薄弱;
企业自身痛点以及培训内容范围:
1. 1、企业人员对网络安全意识不足,内网账号弱口令较多。
1. 2、业务线人员对安全意识不足,应用平台以及系统账号存在弱口令。
1.3、不仅要在护网前对账号密码统一整改,在平时工作要创建密码定期更改的管理制度。
1.4、定期对企业内部人员以及研发技术人员的安全培训,包括安全意识培训,办公网终端管控、密码管理制度、安全编码规范培训,体系制度培训等。
2 外包安全管理
2.1、综合考虑信息科技战略、外包市场环境、自身风险控制能力、制定合适的外包管理制度
2.2、建立企业长期有效的资产管理平台,由各业务线负责人对资产进行定期更改(其中包括业务线、ip、域名、端口、web服务器以及数据库服务器等相关的资产信息),安全人员统一管理平台,发现安全事件,通过资产管理平台第一时间定位到相关负责人。
2.3、事前预防:外包项目风险评估,安全人员定期对资产管理平台同业务线相关负责人进行审核,审核是否有资产不对应或更新不及时。
2.4、考核外包商基本情况和战略,是否具有持久发展潜力。检测外包商的硬件情况、整体组织结构、关联公司、市场占有率、以及产品安全性、研发以及运维技术团队实力、重点关注外包商的安全团队实力以及安全管理制度等。
3 安全测试
3.1、安全技术人员季度性对内部资产进行渗透测试检测,发现问题并上报问题。
3.2、针对第三方外包业务,企业安全负责人应安排技术人员进行抽查式测试,发现问题并及时上班。
3.3、针对第三方外包业务,新上线项目,在经过第三方安全技术人员测试后,需出示相关安全检测、渗透测试报告,并由企业安全负责人安排技术人员进行安全测试,检测外包方安全检测是否全面,是否还存在安全问题,发现问题并上报问题。
4 0day跟踪与处置
由企业安全技术人员对最新爆出来的0day事件,进行跟踪,分析是否影响企业应该安全,并与网络、运维商定最快处置方案,在不影响业务情况下对系统进行打补丁或升级处置。
5 企业内网安全
5.1、安全域:网络安全域是指同一系统内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。广义的安全域是指具有相同业务要求和安全要求的IT系统要素的集合。
安全域的划分是一个非常重要的工作,企业按自己的实际情况划分不同的安全域同时还需要指定各安全域的安全策略并加以实现。
5.2、终端安全:终端安全涉及资产管理、补丁管理、终端准入、防病毒、外设管控、上网行为管理等内容。办公终端电脑设置网络隔离,在该网段可以部署蜜罐,在感染病毒木马的情况下,可有效提升发现速度,对进出该网段的流量进行监控,入站邮件内容进行更多层的分析。
5.3、重点关注安全:活动目录、邮件系统、VPN、堡垒机。
5.4、蜜罐体系建设:除了依靠各种安全配置基线、部署防御设备直面安全问题外,在内网可以使用欺骗技术来发现可以行为,蜜罐。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对他们实施攻击,从而可以对攻击行为进行捕获和分析。
6 基础运维方面
6.1、加强设备管理,梳理资产信息,严格核对CMDB中信息,将密码变更列入季度安全运维工作,对不在用的策略、服务器进行清理线下,将继续使用的设备进行资产审核,确认资产信息准确性。
6.2、严格杜绝系统弱口令,加强口令强度设置;需要用户注册功能的,要对注册用户加以限制,要对上传文件格式限制;加强信息系统及用户账号的管理,定期查看使用情况,确认不用的系统、用户账号及时进行关停处理。
6.3、需要对防火墙策略申请、端口映射申请进行周期性梳理,删除无效、无用策略,防止内部服务被误开放到互联网平台。
6.4、严格控制运维、研发、测试等技术型人员在服务器上明文存储备份账号密码,随意开放查看权限,对离职员工账号密码进行严格审查,删除,关闭。
6.5、端口管控,即在防火墙上严格限制对外开放的端口,原则上DMZ服务器只允许对外开放80和443,而且DMZ服务器不允许主动访问外部。
6.6、端口管控工作是基础,做好端口管控后,重点放在web安全上。web应用防火墙:针对常规扫描行为,web应用防火墙基本上可以直接拦截。入侵检测/防御系统:对WAF后端的流量进行分析,发现恶意行为。漏洞扫描和渗透测试:针对企业应用季度性的安全检测,同上面提到的 2.3 安全检测。
7 安全防护方面
7.1、加强公司网络边界防护,更新升级防火墙、防毒墙等安全设备,做好外部入侵防护控制。
7.2、加强网络安全设备如VPN、堡垒机等权限管理,对人员进行基于角色划分管理权限。
7.3、对各平台网络严格按照等级保护要求进行区域区分,加强信息系统安全防护和管理。
7.4、对数据安全加强防护,防止未授权访问敏感数据,防止技术和业务人员对数据误操作或恶意操作导致数据泄露。
8 安全监测方面
8.1、充分利用安全设备及监控平台进行监控。分析安全设备的日志,对应用系统的运行状态、资源占用率等情况进行查看,及时发现和应对攻击行为,根据记录的入侵源IP、攻击类型、攻击访问等特征进行关联分析。
8.2、增加安全预警手段。推进公司预警监测和态势感知能力,加强主机端安全监控能力,将安全设备及系统逐步进行整合。
8.3、蜜罐体系建设:除了依靠各种安全配置基线、部署防御设备直面安全问题外,在内网可以使用欺骗技术来发现可以行为,蜜罐。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对他们实施攻击,从而可以对攻击行为进行捕获和分析。
8.3.1 核心系统安全
应当警惕从合作机构或内部IP发送的可疑请求,如有发现内网主机存在扫描或登录失败次数过多等可疑行为且确认非内部测试的行为后应及时阻断并对其进行分析,避免内网被攻陷,维护核心系统安全。
9 蜜罐的主动防御
HW的大规模推广以及溯源技术的普及,尤其蜜罐的作用在今年HW行动中大放异彩,蜜罐的推广与普及也必然成为攻击溯源的趋势。蜜罐的部署可以提前捕获长期盯着xxx企业业务的一些apt组织,可通过主动手段提前发现潜在威胁。
蜜罐可用于长期安全设备,部署在外网,通过扫描探测可以提前发现攻击行为,通过指纹抓取可以定位到攻击者信息。部署在内网,在边界失守的情况下,内网蜜罐可提前发现攻击者的内网探测行为,利用自身所带漏洞引诱并拖延攻击者的内网横向行为,并抓取攻击者信息使溯源到攻击者身份。
10 应急处置方面
10.1、建立健全安全预防和预警机制。加强信息网络系统和设备的安全防护工作,加强信息网络日常运行状况的检测分析,对外部和内部可能对信息网络产生重大影响的事件进行预警,保障信息网络安全畅通。
10.2、加强应急处置和演练。发生突发性事件时,启动应急预案,根据事件级别,根据《应急预案》采取相应处置措施,确保网络通畅,业务连续性以及信息安全。有计划、有重点的组织技术人员针对不同情况对预案进行演练,对预案中存在的问题和不足及时补充、完善。
10.3、加强监控应急处理能力。如发现异常紧急处置、在平台发现被爆破的账号后,并在第一时间对问题账户进行删除操作;发现外围目录爬取、漏洞扫描,并在第一时间对该IP进行封禁。
10.4、新爆0day漏洞,分析对业务是否有影响,并对服务器进行紧急打补丁处置。
