◆李丁夏
(红塔辽宁烟草有限责任公司 辽宁 110002)
网络安全实战化攻防演练作为国家层面促进各个行业重要信息系统顺利建设、加强关键信息基础设施的网络安全防护、提升应急响应水平等的关键工作,以实战、对抗等方式促进网络安全保障能力提升,具有非常重要的意义。红塔辽宁烟草有限责任公司从提高公司网络安全防护水平和防护效果出发,根据公司网络安全和信息化建设实际,结合网络安全攻防演练防守经验,逐步建设了一套面向攻防实战的网络安全防护体系。
2019年以来的近三年,红塔辽宁烟草有限责任公司作为防守方单位每年均参与了网络安全攻防演练行动,网络安全防护体系暴露出了面向实战情景下的一些不足的方面,具体如下:
随着网络安全攻防形势复杂化、网络安全防护要求实战化,仅靠防火墙单独提供访问控制存在一些问题:传统防火墙通过访问协议、源地址、目的地址、源端口号、目的端口号五元组制订访问策略。但在实战化攻击中,可能将恶意流量通过合法五元组传输到目标系统,传统的防火墙设备对这种攻击没有过滤和防御能力。另外,由于原有访问控制措施都部署在网络边界,攻击者将以受控计算机为跳板在公司网络内部畅通无阻。这些问题都需要建立多层次立体化的访问控制体系进行解决。
由于一线营销人员分布广、工作条件复杂,信息系统以移动设备接入为主,使用VPN接入存在不便,故系统开放互联网映射由互联网直接访问。但这样直接增加了风险,全世界的攻击者都可以直接连接这些互联网业务系统进行攻击试探。尽管在系统设计时,将互联网服务器进行了DMZ区域的规划,可以一定程度缓解失陷后带来的影响,但在网络安全攻防演练中依然要尽量降低服务器失陷的危险。针对互联网业务系统,需要专门设计的Web防护设备对每一条请求进行仔细查验,避免恶意流量藏身于正常Web访问流量之中,通过SQL注入、脚本攻击等专门为Web攻击开发的攻击手段对公司互联网系统服务器发起攻击,进而入侵公司网络。
红塔辽宁烟草有限责任公司通过陆续采购网络安全设备,建立了基本的网络安全防护体系。由于设备分批采购时没有充分考虑协同工作的需求,造成原有的网络安全设备由多个品牌组成,没有考虑联动及集中管理的相关特性。造成在之前的网络安全攻防演练中,防守人员需要在多个窗口间频繁切换检查日志指导防守工作,消耗了很大精力。
面对实战的角度建立的新一代网络安全防护体系应该朝着如下四个方向进行改变
(1)由被动监控向主动预防转变。
(2)由边界安全向全网安全转变。
(3)由静态特征识别向动态异常分析转变。
(4)由系统安全向业务驱动安全转变[1]。
网络安全公认的主动防御安全模型之一为PPDR模型。PPDR模型由四个主要部分组成:Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)。
图1 PPDR 主动防御安全模型
策略是整个模型的核心防护;防护是网络安全的第一步检测;检测是对上述两者的补充,通过检测发现系统或网络的异常情况,发现可能的攻击行为;响应是在发现异常或攻击行为后系统自动采取的行动[2]。随着时间推移,原有的PPDR模型已经不能完全适应当今的网络安全形势,主要问题是策略作为一种静态的网络安全保护要素,属于一种被动的配置过程,难以随着攻击手段的快速改变进行调整以及抵御未知的攻击手段。为了解决这个问题,全球权威的IT研究与顾问咨询公司Gartner于2017年发布的《应用保护市场指南》报告中提出了新的PPDR 安全防护模型并获得了业界主流安全企业和研究机构的认可。
Gartner PPDR防护模型是由Predict(预测)、Prevent(阻止)、Detect(检测)、Response(响应)四个阶段组成的新PPDR 闭环安全防护模型。其中新的Predict(预测)部分是指通过威胁情报、声誉分析及行为检测对可能的攻击行为进行预测,以动态的过程替代原有的安全策略(Policy)部分,加强安全防护模型的适应性。Prevent(阻止)相比原来PPDR模型的Protection(防护),也包含了一种更为主动的意义,强调防守方和攻击方的对抗性,而非防守方单方面地对信息系统加强保护手段。最后由四个部分共同建立一个具有适应能力的安全架构,以一种动态的、主动的、对抗性的战略思维对网络安全威胁进行全面控制。
将Gartner PPDR防护模型与红塔辽宁烟草有限责任公司网络建设存在的问题进行对比与分析后,形成了以下四点网络安全防护体系建设思路:
针对原有访问控制部署在网络边界,缺少纵深防御的问题,红塔辽宁烟草有限责任公司进行了重点改进,在关键位置增加安全设备,层层设防,对架构安全进行强化。首先收集网络访问需求,在需求基础上制订统一的网络安全访问控制策略,根据实际情况划分安全域,在安全域间应用白名单的访问控制策略,做到全路径管控,真正实现纵深防御。针对安放重点系统的核心网络安全区域,使用服务器版杀毒软件、漏洞扫描、配置核查等多种手段结合检查主机本地安全情况;加强对应用系统的安全管理,减少应用系统存在的安全问题。在核心网络安全区域边界防火墙采用双向白名单连接加强网络安全防护,并使用服务器区专用IPS设备加强检测与处置能力。
通过梳理公司发布到互联网的业务访问需求,红塔辽宁烟草有限责任公司采用了应用系统、VPN等设备分批分时开放的策略,对不同系统安装其访问频率采取不同的开放时间。对互联网防火墙端口映射条目进行逐条审核,杜绝测试系统、停用系统以及未经过安全加固的信息系统擅自上网服务。对于允许开放的应用系统,联系各个业务系统运维单位对应用系统后台页面加强保护,限制访问源地址,避免由于后台被攻破造成系统失守。使用WAF、IPS等专用防护设备对发布的应用访问进行严格管控。在攻防演习结束后,将可行的加固措施常态化,切实提高网络安全防护水平。
通过网络安全运营中心与全流量网络安全分析平台、防火墙、IPS、WAF等安全设备联动,建立全方位的网络安全监测、运营体系,终结网络安全设备“单打独斗”的工作方式。全流量网络安全分析平台通过对核心交换机镜像的全网流量进行实时分析,深入挖掘隐藏在海量正常流量中的蛛丝马迹,根据相关流量上下文结合分析、不同安全设备间互相印证等方式,探测传统安全设备难以发现的高级持续威胁(APT)类攻击;威胁分析系统有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件,发现利用0day漏洞的APT攻击行为。二者共同接入网络安全运营中心,与其他安全设备共同协作以实现Gartner PPDR防护模型的预测部分。网络安全运营中心采用集中管理方式,对安全产品进行统一管理,对报警和日志进行统一的分析、统计以及关联分析,及时定位安全风险和安全事件,必要时通过在线部署的安全设备进行自动封堵。
无论是从减少信息泄露给攻击方增加攻击难度的角度,或者是避免由于遭受社会工程学攻击而失分的角度出发,对信息披露、代码托管等公开信息进行主动搜索查询,对敏感信息泄露的任何蛛丝马迹进行追踪研判。加强宣传教育,提高全体员工的网络安全意识,建立全员参战的思想氛围,传播面向全体员工的网络安全技能。通过明确网络安全保护职责、强化网络安全管理,使得网络安全责任真正落到每名员工的肩上,将全员参战的意识根植在每名员工心中。做到时时想安全,事事做安全。
根据网络安全防护体系建设思路,红塔辽宁烟草有限责任公司建立了主要分布在互联网接入区、服务器区和安全管理区的层次化异构复合纵深设备防护体系。互联网接入区部署有两台异构串联的互联网边界防火墙,避免单一厂商系统架构类的安全漏洞造成防护体系整体失效;同时部署有入侵防护系统、WEB应用防护系统等高级威胁发现设备对允许访问的流量进行进一步深层检测。服务器区部署了两台异构串联的下一代防火墙和入侵检测系统对双向流量进行白名单管控以及深度检测。安全管理区则部署了漏洞扫描及配置核查设备、日志审计系统及数据库审计系统、威胁分析系统、全流量行为分析系统等,通过安全运营平台对公司网络安全态势进行全面把控。
经实战化网络安全攻防演练检测,此次建设的网络安全防护体系成效显著。在最近的网络安全攻防演练中,各个应用系统系统抵御互联网攻击6000余次,其中中高风险攻击1200余次。各内、外网运行信息系统功能正常,且演练反馈没有被攻破记录,演练取得圆满成功。通过公司和工厂两级安全运营平台作为分区监控手段,与防火墙、IPS、威胁检测、WAF等安全设备有机融合,实现全网流量分析、事件及时预警和威胁自动阻断功能,信息化技术人员只需定期检查安全运维平台日志并接收主动告警,便能对自己负责范围内的网络安全情况进行全面掌握和及时反应,大大降低了相关工作人员的工作强度。
为适应新的网络安全形势下国家、社会对企业网络安全防护水平的新要求,红塔辽宁烟草有限责任公司首先对暴露的不足进行了分析;选择合适的主动防御安全模型,确定了网络安全防护体系建设思路;根据网络安全防护体系建设思路建立了面向攻防实战的网络安全防护体系,切实提高了网络安全防护水平,降低了防守人员劳动强度,取得了实际效果。然而,网络安全是一个动态的过程,针对未来的新技术、新架构、新要求,只有积极迎战、主动出击,及时调整网络安全防护体系,才能及时处理出现的网络安全威胁。