正文

【关保专题】一文掌握主动防御活动12条要求内容的落地措施

admin
admin V管理员 /0 评论 /114 阅读
0131
此篇文章发布距今已超过282天,您需要注意文章的内容或图片是否可用!

01

前言

在数字化时代,网络安全不再是一个次要问题,而是保障企业和国家安全的核心要素。随着网络攻击和威胁的不断演进,保护关键信息基础设施的安全变得至关重要。于2023年5月1日正式生效的《关键信息基础设施安全保护要求》(GB/T39024-2022)给出了关键信息基础设施安全保护的三项基本原则、六个方面活动,其中“主动防御”活动12条要求内容是以应对攻击行为的监测发现为基础,主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。
图 主动防御主要内容
      主动防御相比于被动防御,被动防御属于“事后”的防御机制,因为被动防御是基于已知的威胁特征库来精准匹配恶意威胁的特征从而对异常行为进行拦截阻断,如防火墙、监测审计类设备、入侵检测系统等。而主动防御属于“事前”的防御机制,可以更好的应对新型网络攻击、零日漏洞等网络安全威胁,如蜜罐诱捕系统、高级威胁检测系统等。   
本文将深入探讨《关键信息基础设施安全保护要求》相关要求,梳理了工业企业主动防御三部曲:“主动防御之网络收敛”、“主动防御之纵深防线”、“主动防御之联防联控”,可以满足并落地关键信息基础设施安全防护中“主动防御”活动的建设要求,并给出满足“主动防御”活动12条要求内容的对标建议。

02

主动防御三部曲

2.1

主动防御之网络收敛

主动防御之网络收敛的能力可满足《信息安全技术 关键信息基础设施安全保护要求》(GB/T39204-2022)主动防御活动中的收敛暴露面要求:

a)应识别和减少互联网和内网资产的互联网协议地址、端口、应用服务等暴露面,压缩互联网出口数量;
b)应减少对外暴露组织架构、邮箱账号、组织通信录等内部信息,防范社会工程学攻击;
c)不应在公共存储空间(例如:代码托管平台、文库、网盘等)存储可能被攻击者利用的技术文档。例如:网络拓扑图、源代码、互联网协议地址规划等。
收敛暴露面指的是采取措施来减少企业在互联网上的暴露和脆弱性,以减少潜在的攻击面和提高企业整体的网络安全能力。所以关键信息基础设施运营者(简称“关基企业”)在进行网络安全建设初期如何做好网络收敛是我们首要解决的问题。   
网络收敛可通过压缩互联网出口数量、减少对外暴露组织架构等内部信息、内网存储敏感信息三个方面实现。
  • 压缩互联网出口数量
“压缩互联网出口数量”旨在减少关键信息基础设施网络与互联网之间的连接通道数量,以提高网络安全性。包括以下措施:

减少连接通道:

关基企业的办公网通常需要与互联网连接,以进行各种业务操作、数据传输和远程管理,由于每个连接通道都是潜在的攻击入口,连接通道的数量越多,企业网络的攻击面也就越大,通过减少连接通道的数量,企业可以降低潜在威胁和遭受攻击的机会。比如仅允许企业办公网络连接到互联网,限制生产控制系统发生非法外联行为;仅允许已授权的设备才能接入到企业网络中,限制未知设备发生非法内联行为。

必要的系统和服务:

关基企业应仔细评估其业务需求,确定哪些系统和服务确实需要与外部互联。例如,远程监控设备或远程维护系统可能需要与互联网连接,但不必让所有系统都能够直接访问外部网络。只有必要的系统和服务才能够被连接到互联网,从而降低潜在的威胁。并且可以使用虚拟专用网络(VPN)的安全连接方式,以确保远程访问是受保护的。

针对非法外联的问题,通过在工业现场的终端上部署威努特工控主机卫士,可实时发现非法外联情况发生并产生告警;针对非法内联的问题,威努特网络准入系统通过对非授权设备私自接入工业企业网络的行为进行检查或限制,保证网络内接入终端设备的合法性;针对远程访问安全问题,威努特下一代防火墙SSL VPN功能基于OpenSSL加密库中的SSLv3/TLSv1 协议函式库实现,确保了远程访问过程安全可靠。

图 主机卫士非法外联功能
  • 减少对外暴露组织架构等内部信息

为了增强对敏感信息和内部信息的保护,企业可以采用终端数据防泄漏系统,以减少对外暴露组织架构等内部信息的风险。终端数据防泄漏系统可以及时识别和阻止任何试图将敏感信息传输到不安全的环境中的行为,从而更全面地保障企业的信息安全。威努特终端数据防泄漏系统以轻量化终端安全代理技术为基础,结合敏感内容感知、数据流转跟踪以及微加密与数据安全沙箱保护技术,对数据进行智能分类、跟踪监控和自适应保护,实现对企业敏感数据资产的保护和管理。   

图 威努特终端数据防泄漏系统架构
  • 避免敏感信息外网存储

避免敏感信息外网存储可通过终端数据防泄漏系统(终端DLP)和网络数据防泄漏系统(网络DLP)协同工作实现。首先,在终端设备上部署DLP软件,监测和识别敏感数据,并实施访问控制、加密以及防止外发的措施,确保敏感信息只在内部网络传播。同时,在企业网络出口处使用网络DLP设备,监测和过滤流经网络的数据,通过制定策略、加密通信以及审计和报告来防止敏感信息流向外部网络。借助上述技术手段有助于全面提升企业对敏感信息的保护水平,确保其不会未经授权地暴露在公开可访问的网络上。

2.2

主动防御之纵深防线

主动防御之纵深防线的能力可满足《信息安全技术 关键信息基础设施安全保护要求》(GB/T39204-2022)主动防御活动中的攻击发现和阻断要求:

a)应分析网络攻击的方法、手段,针对拒绝服务攻击等各类攻击,采取有针对性的防护策略和技术措施,制定总体技术应对方案;

b)应针对监测发现的攻击活动,分析攻击路线、攻击目标,设置多道防线,采取捕获、干扰、阻断、封控、加固等多种技术手段,切断攻击路径,快速处置网络攻击;    

c)应及时对网络攻击活动开展溯源,对攻击者进行画像,为案件侦查、事件调查、完善防护策略和措施提供支持;

d)应系统全面地分析网络攻击意图、技术与过程,进行关联分析与还原,并以此改进安全保护策略,并加以落实。

纵深防线可通过技术方案制定、基础防御措施、攻击溯源、攻击分析与策略改进四个方面实现。

  • 技术方案制定

对各类攻击可能涉及的攻击方式及攻击频率制定关键信息基础设施总体技术应对方案,包括情报搜集、攻击拦截、干扰、封控、流量监测、日志审计、主机加固等应对手段;并依据总体技术应对方案,采取有针对性的防护策略和技术措施,避免出现混乱建设、无效建设、重复建设等问题。

  • 基础防御措施

基础防御是通过各种网络安全设备及技术对网络边界、网络通信、计算环境等方面实现网络攻击的发现与阻断。

多层防御体系

防火墙:防火墙是网络安全的第一道防线,通过检查和过滤进出网络的流量,防范未经授权的访问,防火墙基于规则集或安全策略来决定允许或拒绝流量,有效隔离网络免受潜在的威胁。威努特自研工业防火墙通过独有的三重白名单固化方式建立工业协议访问控制白环境,除基础的访问控制与工业协议白名单外,可建立业务工艺白名单,有效解决“一条非法指令隐藏在合法指令中”的攻击发生。

图 工业防火墙三重固化

蜜罐诱捕技术:蜜罐是一种网络安全工具,旨在模拟和诱使攻击者攻击,以便收集关于攻击者行为和方法的信息。蜜罐诱捕系统是一种广泛的概念,包括了蜜罐以及其他相关的安全机制和技术,旨在提高网络安全并收集有关威胁行为的情报。威努特蜜罐诱捕系统基于欺骗防御理念,可对非授权设备载体连接窃密、维修过程窃密、恶意代码攻击、控制逻辑篡改、高隐蔽攻击等攻击类型进行诱捕发现。蜜罐诱捕系统可通过仿真PLC等工业场景下的设备对工业控制系统网络进行安全防护。

图 蜜罐诱捕系统架构

终端防病毒软件:防病毒软件用于阻止和清除计算机系统中的恶意软件,包括病毒、蠕虫、特洛伊木马等。威努特工控主机卫士通过建立主机中可执行程序和脚本文件白名单,拒绝一切非信任的程序(如病毒程序)运行,更适用于工业网络环境终端防护。

图 工控主机卫士程序白名单
  • 攻击溯源

攻击溯源的目标是识别攻击者的身份、位置、动机和方法,以便采取适当的对策。

态势分析与攻击溯源

态势分析与溯源:基于一系列安全设备上报的流量数据和日志数据,以监视系统活动并记录相关事件,并通过仔细分析这些数据,可以识别异常活动和潜在的攻击迹象,最后建立攻击态势,并实现攻击溯源。威努特态势分析与安全运营管理平台基于攻击链分析法对系统遭受的各类攻击行为进行统计分析,识别出系统内各类攻击所处阶段、攻击来源、攻击时间、攻击次数、攻击手法、攻击路径。并且可对海量历史数据的挖掘分析,查找相关的日志记录,回溯攻击发生的历史过程,追查攻击路径和攻击时间轴,最终实现对整个攻击事件的溯源分析。   

图 网络攻击态势与攻击溯源

追踪攻击来源:在日志中追踪攻击活动的来源,例如 IP 地址、用户账户、使用的设备等。这有助于识别潜在的威胁,并为进一步的溯源提供线索。威努特高级威胁检测系统支持解析并存储几十种协议的元数据,具有完整的追溯取证能力并通过可视化操作,快速定位攻击者,并定位出攻击者的IP、MAC、攻击方式、攻击协议,以及攻击目标等详细信息。

图 高级威胁检测业务流程   
  • 攻击分析与策略改进

攻击过程分析:详细分析攻击过程,包括攻击者是如何入侵系统、扩散、获取权限以及最终实施攻击的。

攻击行为还原:还原攻击行为,包括还原攻击者与系统和网络的交互过程。通过还原攻击链,可以更好地理解攻击者的动机,为进一步的防御提供有力的依据。根据攻击行为的分析结果,调整和改进安全保护策略。

威努特高级威胁检测系统具备攻击链关联分析能力,通过网络入侵攻击检测、用户实体行为检测、流量人工智能检测、文件病毒木马检测、文件基因图谱检测、文件沙箱行为检测、情报黑白名单检测、关联分析&威胁画像、元数据回溯分析取证等技术构建攻击链关联检测交叉验证体系,以实现对扫描探测、网络钓鱼、漏洞利用、木马下载、远程控制、横向渗透、行动收割等攻击阶段的检测全覆盖。

2.3

主动防御之联防联控

主动防御之联防联控的能力可满足《信息安全技术 关键信息基础设施安全保护要求》(GB/T39204-2022)主动防御活动中的攻防演练和威胁情报要求:

攻防演练:

a)应围绕关键业务的可持续运行设定演练场景,定期组织开展攻防演练,关键信息基础设施跨组织、跨地域运行的,组织或参加实网攻防演练。在不适合开展实网攻防演练场景下,采取沙盘推演的方式进行攻防演练。

b)应将关键信息基础设施核心供应链、紧密上下游产业链等业务相关单位纳入演练范畴。   

威胁情报:

a)应建立本部门、本单位网络威胁情报共享机制,组织联动上下级单位,开展威胁情报搜集、加工、共享、处置;

b)应建立外部协同网络威胁情报共享机制,与权威网络威胁情报机构开展协同联动,实现跨行业领域网络安全联防联控。

通过攻防演练和威胁情报共享,企业能够不断提高其安全水平,更好地预防、检测和应对潜在的网络威胁。这两者的结合有助于建立一种持续的安全循环,不断改进和适应不断演变的网络威胁环境,并能达到网络安全保护“三化六防”措施要求,实现网络安全保护“实战化、体系化、常态化”,以及“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的措施要求。

  • 攻防演练

关键业务的可持续运行演练场景:

定期组织攻防演练:针对关键业务,定期组织攻防演练是确保组织在面对真实威胁时能够有效运作的重要手段,包括模拟网络攻击、恶意软件传播,以及其他可能影响关键业务的威胁。

实网攻防演练:如果关键信息基础设施跨组织、跨地域运行,那么实网攻防演练尤为重要。通过组织或参与实际网络攻防演练,可以更真实地评估各个组织之间的协同防御能力。

如果不适合在实际网络环境中进行攻防演练,沙盘推演是一种替代方式。在虚拟环境中模拟攻防情境,评估关键业务的应对能力,同时不影响实际生产环境的运行。   

纳入关键信息基础设施核心供应链的演练范畴:

核心供应链的参与:将关键信息基础设施的核心供应链纳入演练范畴,确保整个供应链都能有效协同应对潜在的威胁。这包括供应商、合作伙伴以及其他涉及到关键业务的业务相关单位。

紧密上下游产业链的参与:将紧密上下游产业链中的业务相关单位也纳入演练,以确保整个产业链的安全性,比如涵盖与供应商和客户之间的信息交流、数据传输等关键业务流程。

  • 威胁情报

首先,企业应具有技术措施能够从内外部网络攻击中搜集数据和信息,获取多元化、全面性、准确性和实用性威胁情报。

其次,企业应根据威胁情报的IP地址、攻击时间、攻击次数、情报类型、威胁评分、来源等信息建立威胁情报库;

最后,企业应建立本部门、本单位网络安全威胁情报共享机制,或与上级、同级和下级单位建立联动机制,确保威胁情报的及时传递和共享。

   具备能力的企业,应建立与国家、地方、本行业的网络与信息安全信息通报与威胁情报共享机制,提前获知攻击者的攻击意图、技术、工具等信息,并将攻击指纹特征部署到边界的防护设备中。对于现有防护设备无法有效防护的攻击,应从管理或其他层面建立检测、防护、响应处置措施。

03

总结

针对《信息安全技术 关键信息基础设施安全保护要求》中对于“主动防御”的细节要求,通过梳理主动防御三部曲内容有助于企业更全面、更综合地管理其网络安全风险,增强对抗潜在威胁的能力,提高整体的网络安全水平。   

在《关键信息基础设施安全保护要求》政策“主动防御”方面活动的解决方案中,威努特通过部署工业防火墙、工控主机卫士、蜜罐诱捕系统、态势分析与安全运营管理平台、高级威胁检测系统等可帮助运营者具体落实“主动防御”相关要求,协助运营者采取积极主动的方法来防范和对抗潜在的网络威胁。

附:《信息安全技术 关键信息基础设施安全保护要求》,“主动防御”活动防护建议


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客