攻防演练防守方注意要点
2023年8月23日发(作者:杜甫百忧集行译文及注释)
西贝乐料理机机头-
攻防演练防守⽅注意要点要点⼀:安全设备拦截虽然⽬前⼤多数企业都⾮常重视信息安全,但是在攻防演练初期,⼤部分攻击者会使⽤扫描⼯具来收集资产及漏洞信息,攻击告警量会⼤幅度增加,对应的防守⼈员⽆法逐个处理所有攻击告警。因此各企业需要部署带有拦截功能的安全设备,⽐如防⽕墙、Web应⽤防护系统、⼊侵防御系统等,以便在演练前做好兼容性测试及告警拦截策略优化,提升处置效率。要点⼆:攻击源封堵在攻防演练前,应收集威胁源IP及恶意域名进⾏封堵,然后在演练中对安全设备的⾼危告警IP进⾏封堵,进⼀步降低告警数量,避免防守⼈员监控精⼒的消耗,将重⼼放在真实攻击的研判分析上。要点三:应急响应和追踪溯源在攻防演练中,当主机被夺取权限,会造成防守⽅阵地沦陷。因此需要实时监控异常流量及告警信息,及时对失陷主机或被攻击成功的系统启动响应处置流程:检测阶段、系统隔离、问题定位、调查取证、⽊马清除、主机修复及恢复。根据应急响应过程中取证的数据,结合威胁情报、蜜罐等⼯具,利⽤社⼯等多种⼿段进⾏追踪溯源,从⽽实现为防守⽅有效加分。要点四:漏洞修复当安全监控⼈员发现因漏洞导致的攻击事件时,必须及时进⾏漏洞修复,以防⽌问题进⼀步扩⼤。漏洞修复的主要流程为:封堵攻击IP以及⾮正常请求的IP,监控被攻击的流量数据,制定漏洞修复⽅案,评估和测试⽅案的可⾏性,完成漏洞修复。要点五:补丁修复补丁修复也是关乎防守效果的重要环节,即使系统、应⽤的补丁在演练前完成修复,在演练中仍可能会出现“⾼危0day漏洞”或“官⽅补丁”。由于防守⽅既要保证⽣产系统的稳定⼜要保证安全,存在不能及时更新版本的问题,攻击者有可能利⽤⽼版本的漏洞进⾏攻击。因此在演练过程中应成⽴安全专家组,专门负责评估、测试和修复此类型的问题,完善该类系统的应急预案。