华顺信安
攻防实战演练金融企业致胜第一步:做好这件网络安全自查工作

2022/05/13 18:50:06

从近期乌克兰与俄罗斯之间冲突全面升级开始,多个国家的黑客力量高频次对抗,这些对抗往往以敌对国的关键信息基础设施作为打击目标。为抵御外部攻击保护国家内部网络安全,早在2013年美国就制定了CDM项目,实时监控其国内重点单位部门的网络空间关键信息基础设施资产安全。作为直面冲突的第五战场——网络空间,已经成为全球各国政府及网络安全人的关注焦点,攻防实战演练作为检验与提升自身网络空间安全防护能力的重要活动,做好第一步工作,即资产安全管控,已经成为越来越多安全管理者的共识。

1.jpg

根据《中华人民共和国网络安全法》及《国家网络安全事件应急预案》等法律法规要求,关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。“攻防实战演练”是应对网络安全问题未雨绸缪作出的重点工作安排,我国公安部自2016年开始组织多家机构,对国内基础设施系统按照网络安全要求,全面深入排查重点单位安全隐患,检验各单位网络安全防护能力。随着“攻防实战演练”开展涉及的行业更多、范围更广,各单位企业积极参与,合规国家安全要求,强化自身安全建设。

金融是影响国计民生的重要行业,当前各个金融企业对信息安全建设都十分重视,不断加大信息科技管理的投入力度。但面对实战演练,金融企业仍在应急响应等方面面临各类新型挑战。据权威媒体数据显示,六成蓝队在攻防演练中难以阻挡红队进攻。

目前,“攻防实战演练”时间轴可分为四大阶段,分别为备战阶段、临战阶段、决战阶段、战后总结。大“战”来临之前,各金融企业都会积极进入备战阶段,该期间主要工作内容为对网络安全现状排查,除了开展业务培训、针对性风险评估外,最重要的则是进行内部资产梳理,尽可能早的发现自己的安全“薄弱点”。

随着业务的不断扩充以及第三方应用的大量采用,金融企业IT资产规模数量巨大、种类众多,资产更新换代频繁,并呈现高速增长的趋势,导致内外部设备安全与漏洞管理开展困难,必然存在未纳入防御体系和管控流程的测试、隐藏资产和漏洞。一旦红队通过其资产挖掘到突破口,即可在很短的时间内侵入蓝队系统内部。

此外,部分金融机构还存在垂直化管理能力不足、供应链风险敞口过大等突出问题。当红队直接围攻靶机无果后,往往会尝试从供应链下手,找寻间接渗透侵入渠道。对外攻击面暴露更多且在攻防实战演练行动期间也需要正常运行的OA、ERP等业务系统资产,自然会成为红队的首选最佳攻击目标。而既往的实战也多次验证,分支机构和供应链的OA资产是最容易被突破的一类节点。

因此,网络攻防实战演练备战阶段,蓝队应迅速开展企业暴露面资产梳理⼯作,以攻击者的视角探查所有对外资产,全面涵盖业务系统资产、设备资产、外包或第三方服务资产以及映射内部资产,并针对资产常见安全漏洞进行完善梳理。

华顺信安自成立以来,拥有丰富的红蓝对抗实践,基于自研网络空间资产测绘技术,推出了FOEYE和FORadar,FOEYE主要针对金融单位所有内部资产进行主动探测,基于IP和端口进行全量资产扫描,并且对所扫描资产进行自动化资产识别,从而明辨其资产类别。FORadar则会针对外部暴露面资产采取域名、ICP、端口、LOGO等扫描方式进行探测,发现已知资产、未知资产、影子资产(App、小程序、公众号等)、物联网资产等,从而形成完整的资产暴露面(防御面),并可进行后续的认领资产的漏洞扫描和未认领资产的探测监控,从而形成涵盖内、外网的全量资产的探测和风险预警服务,为后续的安全加固、防护增强提供最准确的对象和能力支撑。

“攻防实战演练”备战阶段在做完最重要的第一步工作——资产梳理后,则需进行漏洞梳理工作,梳理发现系统漏洞、脆弱性漏洞等。华顺信安通过PoC与资产组件相并联,快速梳理出风险资产,进行漏洞专扫,对确定的攻击行为进行完整验证和应急响应,具体内容及解决方案,请听下回分解~