目录
一、 概况
二、 演习背景
三、 护网前期工作准备
3.1 成立工作小组
3.2 攻击面自查自检
3.3 制定演习方案
3.4 加强监测设施
四、 护网工作落实情况
4.1 严格落实值班制度
4.2 威胁情报收集
4.3 强化应急响应
4.4 严格管控
4.5 保障业务连续性
五、 演习评估
5.1 主要评估结果
5.2 需要改进的方面
六、 后续工作计划
6.1 系统安全加固
6.2 账号密码规范
6.3 应急预案更新
6.4 安全培训强化
七、 总结
一、概况
本年度,我公司继续组织参加了XX发起的针对关键信息基础设施的护网攻防演习。我司XX再次担任防守方,针对演习要求,制定出详实的工作方案,严格按照流程开展各项护网工作,最终获得了优异成绩。
二、演习背景
本次演习由XX单位发起,旨在检验我国关键信息基础设施安全防护水平。根据演习方案,参演期间,红蓝对抗方将组织专业红队,对我司XX信息系统采取全面渗透攻击。
三、护网前期工作准备
3.1 成立工作小组
为确保各项准备工作落到实处,成立了XX平台护网演习工作小组。小组由公司高层领导任组长,各相关部门负责人参加。明确分工,层层落实护网工作。
3.2 攻击面自查自检
对业务网站及系统采用关停并转的方式,进一步减少其在互联网上的暴露面,并通过集中、统一防护的手段,进一步加强网站及系统的网络安全防御能力,降低网站和系统被攻击风险。主要包括以下几个方面:
1、各级业务对外暴露情况排查
检查并确认相关的业务系统名称、梳理,对于非必须业务采取关、停、并、转策略,减少对外暴露面。避免因准生产业务版本落后存在漏洞而影响护网成果。
2、各业务内部暴露情况排查
检查所有相关的业务网站对外暴露情况,包括:网站URL、管理后台、违规发布等,根据前期收集的业务信息,确认网站URL、业务端口、管理后台等情况检查其对外开放情况、安全防护配置等,确保网站应用根据业务需求对外开放相关URL或端口,避免非业务端口以及网站管理后台对外暴露等情况。
3、业务端口对外暴露情况排查
严格控制各业务系统对外暴露的端口信息,禁止业务间护网关系开放权限过大等情况存在,防止红队拿下某个业务系统中内网横向渗透导致业务大面积暴露的情况发生。
4、网络接入安全能控制排查
对内网接入权限等入口进行审查,各业务子网ACL策略、子网内各主机安全组策略,将主机管理权限限制到32位掩码IP地址(如:堡垒机、VPN地址),不同主机之间使用不同密码,且符合密码复杂度要求。
在护网期间强制对所有用户进行多因子认证方式绑定,避免由于账号信息泄露导致红队直接入侵内网的事件发生。
5、资源管理权限排查
护网前对所有拥有资源管理权限的账号进行排查整改,包括登陆账号和管理员账号进行集中排查,对不符合密码管理要求的账号进行通知修改,确保账号信息专人专用,在护网前已对所有相关管理员账号密码下发通知,要求进行统一修改,避免由于人为失误导致的账号信息泄露。
3.3 制定演习方案
针对演习要求,编写《XX平台护网演习工作方案》,明确演习期间的工作机制、值班值守、应急处置等要求。并借助此前的演练,提高应急响应能力。
3.4 加强监测设施
1、升级完善各类安全监控系统,扩充安全设备采集指标;
2、引入第三方安全监测服务,加强对网络异常行为的全面检测。
四、护网工作落实情况
4.1 严格落实值班制度
1、实施24小时值班制度,指定专人进行信息收集、汇报、应急处置;
2、加强重要系统和业务的巡查监测,每日至少2次,防范重大风险。
4.2 威胁情报收集
1、护网期间,收集相关新出现的0day或1day漏洞利用情报;
2、及时对比自身资产,确认是否存在相关可利用的系统漏洞,并研判红队可能的攻击路径;
3、根据威胁情报,提前规划漏洞修补、加固应对策略,做到知己知彼;
4、实时更新高可疑攻击来源IP地址等信息,建立动态监控清单;
5、利用威胁情报支撑主动防御,对可疑攻击源进行预警屏蔽,提高防御时间
4.3 强化应急响应
1、面对红队的连续不断攻击,平台团队反应灵敏,实时跟进攻击行为,落实应急措施,成功防御所有攻击;
2、在发现系统及账号被攻击时,第一时间进行补救和漏洞修复,避免扩大化。
4.4 严格管控
1、护网期间实施网段管控,任何新增IP需经批准;
2、及时发现违规、敏感、异常资产上线,第一时间进行隔离处置;
3、收敛攻击方资产突破口,避免进一步失陷,控制失分风险。
4.5 保障业务连续性
在整个演习期间,严密监控业务系统运行状况,没有出现业务中断现象。验证了平台的业务连续性保障能力。
五、演习评估
根据红蓝对抗演习方案的评估体系,在本次护网演习中,我公司XX平台获得了总评分XX分的优异成绩,达到了预期目标。
5.1 主要评估结果
1、每日于X点、X点进行工作汇报总结,对攻击手段、封禁IP地址,账号爆破情况进行梳理归纳,发现攻击问题第一时间上报总体防守组。编制X份防守成果报告,经演戏指挥部确认,得分XX分。
2、平台对WAF、IDS、以及邮箱、VPN等账户,系统状态、网络状态等进行全方位监控,共发现账户破解、扫描、命令执行、SQL注入等攻击XX次,对异常IP进行及时封禁,共计封禁IPXX余个,未发现攻击成功现象。
3、加强监控应急处理能力。在平台发现被爆破的账号后,并在第一时间对问题账户进行删除操作;发现并删除恶意木马文件XX个,并阻止该恶意程序运行,上报防守成果,同时优化平台相关服务,关闭木马上传路径。
4、防实施阶段XX平台共检测到恶意扫描攻击XX次,平台封禁恶意IP地址XX余个,公司邮箱账户被尝试爆破XX余个,均未成功,XX平台业务账户被尝试暴力破解XX个,成功X个,VPN账号被尝试暴力破解X个,未成功,发现XX公司官网网站有异常IP入侵,发现XX平台、XX平台有异常IP入侵,采取封禁IP措施,对XX平台网站应用系统弱口令问题进行整改。
5、收集到在野利用零日漏洞X个,并对零日漏洞关联的信息资产进行排查及漏洞修复。
5.2 需要改进的方面
1、部分系统存在软件漏洞未及时修补,被红队利用实现攻入;
2、个别业务系统的账号密码设置过于简单薄弱。
六、后续工作计划
针对本次演习的情况,提出以下后续工作计划:
6.1 系统安全加固
加快业务系统漏洞修复进度,提高系统安全等级。
6.2 账号密码规范
研究制定账号密码复杂度标准,对重要系统实施账号密码定期更换。
6.3 应急预案更新
结合本次演习情况,进一步增强和优化应急预案,提高未来应对网络攻击的能力。
6.4 安全培训强化
加大对员工的网络安全培训力度,提高全员安全防护意识。
七、总结
通过本次护网攻防演习,验证了我公司XX平台的安全防护水平,也进一步找到了需要改进的方面。我们将认真总结经验教训,持续提升网络安全能力,为国家关键信息基础设施安全作出新贡献。