网络安全攻防演练的实际应用探究.pdf

1、1 0 2 2 0 2 4年2期2 0 2 4年第4 6卷第2期网络安全攻防演练的实际应用探究张洪义作者简介:张洪义(1 9 7 6-),本科,高级工程师,研究方向为网络安全。(中国冶金地质总局矿产资源信息中心 北京1 0 1 3 0 0)摘 要 为提升网络安全攻防演练的效果,需要明确该工作的重要性,并了解有关安全技术标准,为开展网络安全攻防训练作好准备。基于此,文中从安全攻防训练的应用背景出发,探讨了攻防训练中网络安全检测的作用,阐述了网络安全监测工作面临的挑战,最后提出了攻防演练中网络安全监测工作的具体内容,希望能为相关研究提供参考。关键词:网络安全;攻防演练;监测;应用中图分类号 T P

2、 3 9 3.0E x p l o r i n g t h eP r a c t i c a lA p p l i c a t i o no fN e t w o r kS e c u r i t yA t t a c ka n dD e f e n s eD r i l l sZ HAN G H o n g y i(M i n e r a lR e s o u r c e s I n f o r m a t i o nC e n t e ro fCMG B,B e i j i n g1 0 1 3 0 0,C h i n a)A b s t r a c t I no r d e r t o

3、i m p r o v e t h ee f f e c to fc y b e rs e c u r i t ya t t a c ka n dd e f e n s ed r i l l s,i t i sn e c e s s a r yt oc l a r i f yt h e i m p o r-t a n c eo f t h i sw o r k,a n du n d e r s t a n dt h er e l e v a n ts e c u r i t yt e c h n i c a l s t a n d a r d st op r e p a r ef o rc y

4、 b e rs e c u r i t ya t t a c ka n dd e-f e n s et r a i n i n g.B a s e do n t h i s,s t a r t i n g f r o mt h e a p p l i c a t i o nb a c k g r o u n do f a t t a c ka n dd e f e n s e t r a i n i n g,t h i sp a p e rd i s c u s s e st h er o l eo f c y b e r s e c u r i t yd e t e c t i o n i

5、na t t a c ka n dd e f e n s e t r a i n i n g,e x p o u n d s t h e c h a l l e n g e s f a c e db yc y b e r s e c u r i t ym o n i t o-r i n g,a n d f i n a l l yp u t s f o r w a r d t h e s p e c i f i c c o n t e n t o f c y b e r s e c u r i t ym o n i t o r i n g i na t t a c ka n dd e f e n

6、 s ed r i l l s,h o p i n g t op r o-v i d er e f e r e n c e f o r r e l a t e dr e s e a r c h.K e y w o r d s N e t w o r ks e c u r i t y,O f f e n s i v ea n dd e f e n s i v ed r i l l s,M o n i t o r i n g,A p p l y0 引言网络安全实战攻防演习又叫攻防演习,其实质上是一种为获取特定靶标系统管理权限的攻防演练活动。攻防方也称红蓝队,由具备丰富网络安全攻防经验的专家团队组成

7、,其在确保目标业务系统正常运行的前提下进行攻击防御操作,并按照“不限攻击路径、不限攻击手段”的原理攻击。在实际网络环境中进行攻防演练,对提升参与单位的安全防护和应急处置能力具有实际意义。1 网络安全攻防演练的应用背景自 网络安全法 施行以来,我国网络安全应急演练的频率增加,以提升对网络安全事件的应对能力和协同配合水平。随着信息技术的发展,一种由技术人员主动发现系统漏洞和隐患的演练方法被提出,这对预防网络风险和提高网络系统防御能力具有重要意义。应用网络安全攻防演练是企业保障网络环境安全性的关键,因此很有必要对其进行相关研究1。2 攻防演练中网络安全监测的意义2.1 提高网络的安全防护和应急响应能

8、力通过开展网络安全攻防演习,可以帮助有关部门检验网络安全防御模式能否在实际场景中起到积极防御的作用,其存在的漏洞是否已被修复,演练的结果也是网络安全防护持续优化的依据。在实际演练过程中,可以模拟黑客攻击和病毒侵入,进而发现系统的漏洞,建立健全的网络安全风险通报机制,提高应急反应速率,从而为优化网络安全体系打下基础2。2.2 提高风险的可控性通过对网络安全攻防演练的的参与人员、过程和环境的分析,可以控制风险和后果,进而评估网络系统的风险,以优化网络环境,提升网络安全管理质量。此外,通过开展网络安全攻防演习,不仅可以提高相关单位的网络安全防御水平,还可以提升面对攻击事件的应急响应能力。2.3 提升

9、网络安全风险意识当前,应加强全社会对网络安全风险防御的重视程度,但部分企业依然没有加强网络安全防护,认为现有的安全系统可以抵御外来病毒与黑客攻击。而进行安全攻防演练,可以提升技术人员的安全风险意识,使其持续关注网络安全问题3。2.4 有助于培养高素质网络安全人才网络安全攻防演练是培养高素质网络安全人才的重要手段之一。通过参与演练,可以切实与网络攻击、防御情境2 0 2 4年2期1 0 3 接触,提高技术人员对威胁的识别和应对能力。同时,攻防演练还能锻炼单位的团队协作、战略规划和问题解决能力。3 网络安全监测工作面临的挑战3.1 网络安全监测的有效性较低(1)部署的安全监测设备需要实现监测范围内

10、的全面覆盖。(2)应结合各单位实际情况,参考M I-T R E A T T&C K框架,组织内部红蓝对抗进行验证,及时更新漏洞检测规则,从而提高攻击监测率4。3.2 复杂的业务数据流对于规模较大的企业而言,其内部结构包括总部和成员单位,业务数据流在两个级别间的流通相对复杂。在这个过程中,正常使用加密协议和单点登录技术的流量会引发网络安全监测设备的告警,即使是正常的业务数据也可能触发告警。3.3 加密流量监测(1)针对网络连接时间以及频次有一定规律的加密流量,需要得到网络安全监测人员的重点关注,避免其恶意控制服务器。(2)部分远控软件加密处理了本不应加密的协议字段。只有掌握这些知识才能及时发现加

11、密流量异常的问题5。3.4 攻击向量的混淆攻击向量的混淆是网络攻击中的常见策略之一。混淆攻击向量包括加密流量、使用变异恶意代码、伪装成合法流量等手段,其使网络防御系统难以准确识别和阻止攻击。3.5 疑似异常的正常访问行为在企业的网络安全管理工作中,即使是正常业务的访问请求也可能引发告警。为解决这个问题,需要在设备设置、告警和模拟演练中进行重点标注,避免误封锁正常请求并防止出现可能遭受攻击的漏洞。3.6 安全监测设备的误报由于网络安全监测设备的工作原理和机制,使其无法完全避免误报的情况。当产生了大量的误报时,网络安全监测人员只能依靠他们的经验来进行辨别,因此面临着较高的难度。4 攻防演练中的网络

12、安全监测工作4.1 准备阶段(1)梳理网络安全监测设备目前,许多企业在进行网络安全监测工作时,依赖于网络安全监测设备。因此,为确保网络安全监测工作的有效性,首先需要了解网络安全监测设备。由于企业通常会购买多种网络安全监测产品,对这些产品进行分类考量,可以帮助网络安全监测团队评估产品质量,并相应地调整网络安全监测的方式和范围。(2)网络安全监测设备策略调优在网络安全攻防演练中,一般攻击方会使用工具对目标系统进行脆弱性扫描和信息收集,存在着较明显的攻击行为。这就需要参演单位基于策略从严的原则,突出攻击告警的优势,对部署在网络边界的网络安全监测设备进行进一步调优6。(3)评估网络安全监测工作量评估网

13、络安全监测的工作量是确保网络安全的重要一环。该任务需要从不同维度考虑,包括网络规模、数据流量、系统复杂性、威胁情报源等。在评估工作量时,需要综合考虑监测设备的能力和性能、人员配置、技术水平等因素。同时,还需考虑日常监测工作及紧急事件处理的需要,及时识别和应对潜在的威胁。网络安全监测工作的工作量评估应该是一个动态的过程,需要随着网络环境和威胁情况的变化而不断调整和优化。(4)确定重点监测资产首先,需要根据业务需求和风险评估,确定哪些资产对组织的运营和安全至关重要。其次,考虑资产的价值、敏感程度和易受攻击的潜在威胁,以确定重点监测的范围和级别。此外,需综合考虑资产的可辨识性、易受攻击的表面积、关联

14、性等,以确定优先级和资源分配。最后,需要建立有效的监测机制和防御措施,应用实时监测、日志分析、行为异常检测等技术手段,灵活响应和应对威胁。(5)攻击路径研判在进行攻击路径研判时,需要从攻击者的角度思考,考虑攻击者可能采取的各种手段和技术,如网络扫描、漏洞利用、社交工程、内部渗透等。通过分析现有的防御策略和技术,结合威胁情报、攻击模式以及已知的漏洞和弱点,可以识别出可能的攻击路径,并对其风险进行评估。(6)驻场监测人员培训驻场监测人员培训旨在为驻场监测人员提供必要的技能和知识,使他们能有效地执行监测任务并应对各种安全事件。在驻场监测人员培训中,首先需要提供关于网络安全的基础知识,包括网络架构、安

15、全威胁、攻击类型等。此外,还需要培养他们对日志分析、事件检测和响应等方面的技能,以便准确地识别和响应潜在威胁。培训还应涵盖特定监测工具和技术的使用,如入侵检测系统、安全信息、事件管理系统等。(7)模拟演练模拟攻防演练一般在正式攻防演练前71 4天进行,旨在评估和提升组织的安全防御能力。该演练可以模拟真实的攻击场景,通过模拟攻击者的行为,检验和验证组织的安全措施和响应机制的有效性。4.2 攻防演练阶段(1)网络安全监测目标网络安全监测的主要目标是保护组织的信息系统和网络免遭未经授权的访问、恶意软件、数据泄露和其他因素的威胁。通过实时监控、检测和响应潜在的安全事件,移动信息1 0 4 2 0 2

16、4年2期网络安全监测能提前发现并减轻安全威胁对组织的风险和损害。(2)网络安全监测管理在网络安全监测管理中,首先需要明确网络安全策略和目标。组织应确定安全性要求、威胁情报获取和利用、监测技术和工具的选择等,以便在制定相关策略时考虑到业务需求和风险情况。网络安全监测管理应设计和实施适当的监测流程和程序,确保及时发现、识别、报告和应对安全事件。此外,技术支持是网络安全监测管理中不可或缺的一部分。它涉及使用和维护监测工具、日志和事件分析系统等技术资源,并配置和管理网络安全设备和安全策略。(3)情报的利用在网络安全攻防演习期间,情报利用是一个关键因素,它可以提供有价值的信息来指导攻防行动的决策和优化。

17、攻击团队和防御团队都需要积极收集和分析各种情报来源,包括但不限于网络流量数据、日志记录、恶意软件样本等,以帮助团队了解潜在的攻击方式、威胁情报、最新的攻击技术和工具等,为攻防行动提供基础信息。情报利用还可以对演习中获得的情报进行分析和解读。防御团队可以利用收集到的情报来发现潜在的攻击迹象、漏洞或系统弱点,并相应地调整防御策略和措施。攻击团队则可以利用情报来识别目标系统的薄弱环节,灵活调整攻击策略和手段,提高攻击成功的概率。(4)团队沟通交流攻防演练需要多个部门和参演队伍之间的紧密协作。监测团队是攻防演练中的第一线团队,需要与其他团队保持良好的沟通,并分析资产架构和业务情况,及时排除误报或发现异

18、常7。(5)发现异常的方法在攻防演练期间,发现异常行为是至关重要的。以下是一些常用的发现异常情况的方法。1)监测网络流量。通过对网络流量的监测和分析,可以发现异常的数据包、连接和通信行为。当网络流量与正常模式存在显著差异时,就可能存在攻击或异常活动。2)分析日志记录。审查系统和应用程序的日志记录,主要关注异常登录尝试、意外的系统行为或权限变更等。异常的日志记录可能暗示着未经授权的访问或恶意操作。3)使用入侵检测系统(I D S)、安全信息与事件管理系统(S I EM)。这些系统可以帮助工作人员自动检测和报告潜在的安全事件,其使用规则和算法来比对已知攻击模式和异常行为,及时发现异常活动。4)分析

19、恶意软件。对系统中的可疑文件进行恶意软件分析,可以识别潜在的恶意代码和恶意行为。例如,使用防病毒软件、沙盒和其他安全工具,可以检测和分析可疑的文件和进程。5)模拟攻击和渗透测试。通过模拟攻击者的行为,可以寻找系统和应用程序的弱点和漏洞。在攻防演练期间,可利用渗透测试工具和技术来测试系统的安全性,以发现潜在的异常和漏洞。6)分析突破点。综合分析已知攻击来源、攻击方式和攻击目标,推断可能的攻击路径和可能的指标,从而发现异常行为。7)监视和 分 析 系 统 性 能。监 视 系 统 的 性 能 指 标,如C P U使用率、内存占用、网络流量等,异常的性能波动可能暗示着系统受到攻击或存在隐蔽的恶意行为。

20、4.3 总结阶段攻防演习总结阶段是攻防演练中一个非常重要的工作阶段,它可以提供机会来评估演习的成果、发现弱点并制订改进措施。对整个演习过程进行全面的回顾和总结,可以对演习期间使用的防御策略和措施进行有效性判别,包括网络配置、安全设备、安全策略等的有效性和漏洞,并评估需要改进的内容,以优化防御能力。同时,结合演习成果、防御策略评估和漏洞修复工作,制订演习后的改进计划,以不断提升组织的网络安全防御能力和响应能力。5 结语开展网络安全攻防演练能有效提升网络安全防护的质量,也能增强网络安全技术人员的实战作业能力。这对我国网络安全事业的发展有着积极意义,因此需要做好演练安排工作,做好组织和形式部署,并总

21、结技术应用,帮助企业优化网络安全攻防演练模式。参考文献1刘亮,郭俊才,韩鹏军.探析网络安全攻防演练的实际应用J.网络安全技术与应用,2 0 2 2,1 1(4):6-7.2韩丽芳,张晓,应欢.电力关键信息基础设施网络安全攻防演练研究J.电力信息与通信技术,2 0 2 2,2 0(7):2 6-3 2.3王洪川.高速公 路 联网 收费 系统 网 络安 全攻 防 演练 综述J.北方交通,2 0 2 2,1 2(3):9 1-9 4.4邓东林.网络安全攻防演练中的防守方案设计J.网络安全和信息化,2 0 2 2,1 1(9):1 0 9-1 1 3.5靳峰,张玉.信息化时代企业网络安全攻防演练的部署与方案设计研究J.现代制造技术与装备,2 0 2 2,5 8(1):1 3-1 5.6赵现,王力华.实战攻防演练对加强医院网络安全防护的探索J.中国数字医学,2 0 2 1,1 6(1 1):1 1 3-1 1 5.7潘涛,李勇,王蓓.内蒙古电网网络安全攻防红蓝体系建设研究J.内蒙古科技与经济,2 0 2 0,1 1(2 1):8 5-8 6,8 9.移动信息