「黑客与极客」对抗中的主动防御:攻防演练和小规模网络对抗的战术分析


北京联盟_本文原题:对抗中的主动防御:攻防演练和小规模网络对抗的战术分析
一、序言
2016年4月 , 总书记在网络安全和信息化工作座谈会上发表重要讲话指出 , “网络安全的本质是对抗 , 对抗的本质是攻防两端能力的较量 。 ”同年 , 《网络安全法》颁布 , 出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案 , 并定期进行演练” 。
自此实战化的“攻防演练行动”成为惯例 。 结合四年来攻防演练的经验 , 以及对近年来国内外实战对抗的总结后 , 我认为要想把攻防演练和小规模网络对抗的防御工作做好 , 必须解决两个问题:
第一、在实战对抗方案中 , 大部分的方案都在做“点”的堆叠 , 这些堆叠往往是基于方案厂商自有的产品和服务能力 , 并没有考虑到实战对抗中的效果 , 主要是将以往安全建设的方案进行重新包装 , 即:新坛装老酒;
第二、以往的方法论 , 包括:等保、ISMS、ITIL等等 , 在目标、宏观、指导性层面上虽然极具参考性 , 但在真正实战中却缺乏落地策略及直接有效的操作方针来阻挡攻击者 。
对此 , 本文将参考一部专门针对小规模战争的著作提出的战术中心思想 , 落实在真实网络攻防战中 , 利用主动防御进行黑客对抗 。 本文重在提出对抗方针 , 即:在已经进行了基础的信息安全建设后(例如 , 已经通过等保、分保、ISO 27001、Cobit、SOX404等等) , 应该从哪些方面入手和加强 , 以防御真正的实战型网络攻击 。 具体操作指南需要根据实际业务场景和IT环境进行细化 。
本文不求像纲领性文件、要求或一些方法论中做到的全面 , 仅从最有效的方面进行阐述 。
二、对抗 , 对抗 , 对抗
真实的小规模网络攻防中 , 面对的攻击对象 , 主要包括国内外敌对势力、商业和民间黑客以及执行攻防演练行动中进行安全性检测的攻击队等 。
攻击对象不乏有使用1day , 甚至是0day的攻击手段 , 在某些特定对象和场景中 , 也可能会遇到APT攻击 。 面对这些攻击时 , 一味地进行被动防御 , 即使不断提高防御手段 , 往往只是增加资源投入和成本 , 并不能起到更好的效果 。
例如:
防火墙或网闸买得再多、访问控制策略做得再细致和规范 , 若它们自身就存在0day漏洞或1day漏洞未修补 , 则直接可被攻破;
业务系统接入了云防御 , 即使云端防御再好 , 一旦攻击者找到了未做信任策略的源站地址 , 一切防御将全部失效;
内网部署了很好的防御产品和策略 , 包括防病毒、反垃圾邮件等 , 但内部员工被鱼叉攻击 , 依然会泄露重要和敏感信息;
业务系统防范严密 , 却在某个具有出口的测试环境中存在暗资产 , 或者在GitHub上泄露了数据 , 导致其成为跳板甚至被进行内网漫游或使攻击者直接获得了某些重要资料和信息;
等等场景 , 不胜枚举 。
「黑客与极客」对抗中的主动防御:攻防演练和小规模网络对抗的战术分析
本文插图

被动防御永远在亡羊补牢 。 基于网络安全发展史的经验来看 , 面对攻击 , 是可以进行如下两个判断的:
第一、对每种攻击手段、防御措施的资源投入 , 平均下来一定远远大于攻击成本;
第二、每个攻击者的攻击手段可能无限多 。
所以得出的结论是:仅考虑防御 , 将会耗尽无限多的资源 , 而即使如此 , 也未必能做到最好 。
所以网络安全的本质是对抗 。
对抗 , 不是被动防御 。 对抗的目标是“敌人” , 是攻击者 , 防御方案不仅是为了免责和心里安慰 , 目的是在真正的小规模网络攻防战中保护自己的业务系统 , 保护社会数据 , 保护国家信息资产 。
三、不管资源多少 , 要将资源尽可能用于主动防御对抗中
只有将目标聚焦到攻击者、聚焦到对“人”的对抗上 , 才能在实战网络攻防中取得胜利 。


推荐阅读