随着信息化时代的到来,网络战场成为继陆海空天之后的兵家必争之地。公安部自2016年起,每年组织HW行动,检验各单位的网络安全防护能力。

2021 HW行动在上半年已经结束了,但余音袅袅,它的影响仍渗透在日常防护工作中。

今年,安博通参加了多家单位的HW工作,帮助他们严防死守安全“底线”。下面就以点带面,用一次HW实践来总结:防守方可以做什么。

备战期

在HW行动备战阶段,防守方要对安全现状进行排查。

① 清点网络资产

某局有核心和公共两套网络,网络中除了PC、服务器、虚拟机等终端设备外,还有网络设备和安全设备。安博通协助某局清点网络资产、检查设备运行状态;对历史日志进行分析,找出疑似被攻击的主机并重点排查。确保网络资产统计完整,在网设备安全可信。

② 排查可用服务

安博通协助某局落实“关闭非必需服务”等关键准备工作。通过资产管理、端口扫描、弱密码扫描等功能,排查各个设备开启的服务端口,一一核实确认端口的使用情况,关闭非必需服务,缩小网络攻击面。

③ 优化安全配置

安博通根据某局的实际业务需求,对安全策略进行整体优化调整。发现并处置冲突策略、冗余策略、空策略等问题策略,逐条核对安全策略是否符合业务要求,在减少策略配置的同时,确保策略与业务相匹配。

决战期

在HW行动决战阶段,防守方需要7*24小时不间断值守,实时监控安全态势,并对安全事件进行应急响应。

① 监控&上报安全事件

安博通派遣专人前往某局值守,一旦发现安全事件,立即分析确认。如果确认为攻击或异常流量,则上报该IP,由防火墙进行封禁;如果确认为误报,则对IPS产品的规则进行优化。

② 分析&回溯安全事件

根据第三方情报信息,安博通对指定IP进行查询回溯,协助某局分析疑似安全事件。

在为期两周的HW行动期间,安博通提供的高级威胁检测与响应平台应用于某局的公共区和核心区。

在公共区,平台检测到告警日志1100余条,包含96种攻击类型;执行拦截操作4400余次。由告警数据可以看出,攻击方更倾向于利用Struts 2漏洞实施攻击。防守方应避免使用这些高危组件,如需要使用,请及时升级并打补丁加固,做到定期检查。

在核心区,平台告警数量超过15000条,其中有很多为请求恶意DNS域名告警。某局下属省级单位开始自查自改后,告警数量大幅减少,需要持续排查整改。

防守方HW秘诀

1、资产清点要到位

清点资产是安全防护的第一步,只有看清内部需要保护的资产有哪些、是否有未监管到的资产、网络安全设备的工作状态是否正常,才能针对资产制定更深入的安全防护策略。

防守方应加强资产管理力度,日常对所有硬件、软件、服务登记在册,不允许未登记的资产加入到网络中。安博通网络资源可视化管理平台,对网络拓扑和网络资产进行可视化管理,帮助防守方看清网络结构及网络状态,快速定位网络故障。

2、策略梳理要定期

安全策略是网络访问的红线和准则,简洁清晰的安全策略是网络安全的基线。在策略梳理过程中,有时会出现“不了解,不敢删”等情况,导致网络中存在大量与实际业务无关、宽松、无效、重复的策略,这不仅给防火墙等设备增加了计算压力,也给防守方带来了更多运维难题。

防守方应定期进行策略梳理,尤其是在HW行动等重大活动前夕。安博通安全策略智能运维平台,全流程自动化纳管安全策略,持续高效合规运维,帮助行业用户实现安全策略的智能化管理。

3、应急封堵要及时

现在,应急处置方式多为值守人员发现告警后,将告警IP发送给防火墙管理员,由管理员在防火墙上增加配置、下发生效。这一流程不仅耗费人力,且需要几分钟才能实现封禁;而攻击方只需要十几秒,就可以入侵网络。同时,由于防火墙资源有限,至多只能封禁12万个IP,很容易耗尽。

防守方需要尽量缩小从发现到封禁的时间差,即实现“检测-封禁”自动化。由于恶意IP数量巨大且离散,建议使用专业的应急处置设备。安博通应急拦截网关最大支持1000万条IP封禁,支持通过RESTful接口与第三方安全检测产品对接,实现自动封禁,减少运维成本。

4、下属单位要防护

如果防守方下属单位的网络没有足够的防护措施,还有互相访问的需求,就很容易带来安全隐患。

防守方可要求下级单位做好防护,部署IPS、防火墙等网络安全设备,排查隔离失陷主机,加强各区域、系统间的访问控制,以保障自身和总部的网络安全。

以上秘诀不只应用于HW期间,还应贯穿于常态化运营日常,安全不是一天建成的,只有长期的过程安全才能使结果趋向于安全。