特别企划 | ISC独家三问,谈实战攻防演习的现实意义
【ISC特别企划】
互联网空间貌似和平已久,但战争从未远离。伴随国际上争夺网络空间控制权成战略制高点趋势,高危漏洞、高级持续性威胁攻击越发频繁。国家、政府、企业如何有效防护网络空间安全不被侵犯,安全之路如何行稳致远,成重要课题。
为此,ISC平台特别企划了一场“安全运营,我来护航——数字化时代下的安全运营”主题活动,力邀行业专家、学者,围绕实网攻防、安全运营话题进行精彩分享,希望为我国广大政企单位的实战化安全建设提供参考。
今天,360政企安全集团实网攻防中心产品总监陈卓就以“实网攻防的现实意义”为议题,带来精彩分享。ISC平台以“三问”形式,对分享内容进行重点解读。
基于实战的演习是检验攻防能力最佳手段。分享中,陈卓老师将其总结为如下三点:
· 助力安全建设思维上的突破
遵循“以支撑业务应用为目标,以保护重要数据资产为核心”的原则,从实战角度出发,参与双方对真实的基础设施或业务场景进行攻防对抗,演习中能够清晰展现企业深层次问题并助力其改进,进而提升建设方的安全能力。
· 真实验证企业的综合防御水平
演习中,安全公司为证明其业务水平,获得更大成果,会加大专业人才投入,会拿出一些“真枪实弹”来。而对于防守侧,为做好防御,会采取包括产品、系统、流程、人、经验等多方面资源来协同配合。真正实现在真实攻击面前,验证企业的综合防御水平。
· 应对攻防常态化的重要方式
安全运营工作的日常就是应对网络攻击,保证业务的顺利开展。通过实战攻防演习,积累并沉淀攻防经验并加以运用,有助于企业应对当前攻防常态化的现状。
· 安全事件处置闭环能力,表现如下:
研判能力:是否第一时间为事件定性,预判攻击可能影响的范围,隶属哪个部门管,责任人是谁,以及要按哪个预案去处理。值得注意的是,分析研判是整个事件处置的中枢,影响后续处置的一系列动作。
处置能力:首先要先“止血”,以免事件进一步扩散;其次要采用合理的遏制手段;最后要保证受影响业务系统恢复正常,不影响正常业务的开展。处置能力整个环节应围绕着遏制、处置和恢复业务,避免走弯路走远路。
通报能力:将此次安全事件中的重要环节通报给上级单位或同级部门,避免相同的事件二次影响。
协同能力:安全事件的处置需要多方职责多方力量共同协作,分工也会有所不同,顺畅的协同会让安全工作更加有序、高效,协同工作需要哪些方面的力量参与协同,内部还是外部都直接影响最后的结果。
溯源能力:只要能获取到关键信息,并能关联出画像和完整的攻击链条那就是好溯源。值得注意的是,溯源是需要从事件一开始就要准备的。
· 安全能力综合建设方面,表现如下: