攻防演练场景下的高效安全防御体系

攻防

1年前

为有效应对日益严峻的网络安全局势和迅速更新的攻击技术手段，越来越多的企业选择采用实战化网络安全攻防演习来检验自身防护体系性能、人员响应能力以及组织协同作战能力。通过实战化演练，可针对性地查漏补缺，梳理企业可能面临的各类网络安全威胁场景，不断积累应对方法、处置手段，促进企业防守能力的持续提升。

与传统的渗透测试不同，实战化网络安全攻防演习不局限于系统本身的安全性，而是引入了防守方的概念，模拟实战环境。在对抗中，攻击方利用系统漏洞、社会工程学等一切实战化的攻击手段对企业信息系统发动攻击，企业作为防守方则应当建立起发现攻击、阻断攻击、溯源等一系列防护能力，以达到发现系统安全隐患，总结经验教训，提升安全防护能力的目的。

天融信结合多年实战攻防经验，对企业安全建设重点进行总结，提炼出五大步骤，希望以此帮助广大客户构建更加有效的防御体系。

完善管理制度、强化安全意识

攻防过程必定贯穿着情报对抗，企业应建立健全信息安全管理制度，严格管控企业敏感信息的发布、传输、存储等环节，确保企业敏感信息不会轻易散布在互联网公共信息平台。对于企业员工应定期开展安全意识教育，督促员工改正使用弱口令等危险习惯，尽可能降低企业员工成为攻击突破口的概率。

定期资产梳理、收敛攻击面

企业应定期开展互联网资产梳理，形成台账并进行周期性维护，着重关注互联网侧的应用系统、后台入口、测试环境等。对于无用的互联网边界资产应及时关停下线；对于VPN等应用进行严格管控，合理分配账号权限；对于互联网边界资产应进行定期的弱口令检测和僵尸账号清理，尽可能缩小互联网暴露面。

遴选安全设备、持续策略调优

当前市场上各类安全设备层出不穷，功能各有千秋，WAF、防火墙、堡垒机、全流量监测等构筑了企业网络安全防护的基本框架。但任何设备的出厂策略都不可能完全合乎企业的真实使用场景，需要在实战中不断对其进行调优，完成其“本土化”的蜕变，良好的策略调优能够使设备功效更上一层楼，在攻防中成为更加坚实的盾。

明确防护重心、重视集权应用

在所有攻防演练中，堡垒机、安全域等集权相关的设备或应用一定是攻击方的重点关照对象。企业应妥善划分安全域，对集权类设备以及核心应用进行权限最小化管理，必要时可以设置白名单进行管控，强化相关设备或应用日志、行为的监测与分析，及时发现异常并进行处置。

人机协同、构建安全运营体系

如果说安全设备是企业网络安全防护的基石，那么安全人员则是这个体系的上层建筑，再好的设备也需要专业的人员进行驾驭。企业应在日常管理中重视安全体系建设，建立起“以人员为核心、以数据为基础、以运营为手段”的安全运营模式，逐步形成威胁预测、威胁防护、持续监测、响应处置的闭环安全工作流程。并在历次攻防演练中不断积累经验，提升人员专业技能，逐步由被动防御向“主动、持续、可闭环”的安全运营目标迈进，不断完善企业网络安全防御体系。

通过上述五步，天融信希望帮助企业明确在常态化攻防演练中，应该着重加强哪些层面的能力提升。同时，天融信还可提供各项符合企业所属行业特点及其自身防御需求的安全服务，协助企业从上述五个要点出发进行自评估及日常安全建设，逐步由传统的“堆设备”转变为“人员-流程-手段”协同起效的安全运营模式，可在面对安全事件时形成“情报-发现-处置-溯源”的完整闭环，从而有效提升企业整体安全防御能力。

2016年至今，天融信已连续6届参与国家级网络安全攻防演习，均取得优异成绩。在2021年国家级攻防演练活动中，天融信服务近300个客户，投入1000余名工程师，累计16000+人天，覆盖全国31省份。同年，统筹协调实战化攻防类服务资源，以“攻击方、防守方、组织方”三种身份参加省市级、行业级攻防演练200余场，依靠出色的攻防技术与能力获得了大量客户认可。

凭借专业的安全运营服务能力及优质的实践落地成果，天融信成为国家信息安全测评中心安全服务资质安全运营类一级资质的首批获证企业，连续9届获国家级网络安全应急服务支撑单位、连续7年获评国家信息安全漏洞共享平台（CNVD）技术组支撑单位。同时，天融信多次参与国家重大活动的安全保障工作，在世界级重要赛会、建国70周年、历届全国“两会”、一带一路峰会等大量国家重要时期为关键信息基础设施单位保驾护航，圆满完成各项保障任务。