一、防御思路
安全运营是一系列规则、技术和应用的集合,用以保障组织核心业务平稳运行的相关活动,是通过灵活、动态的实施控制以期达到组织和业务需要的整体范围可持续性正常运行。信息中心在特殊时期扮演着关键的角色,因此需要精心设计运营思路以确保信息安全。以下是我们信息中心在特殊时期的运营思路:
-
多层次防护:我们采用边界防火墙、入侵检测系统、主机防护软件等多种手段,构建多层次的防护体系,以确保安全。这些不同层面的防护措施形成了合力,提高了总体防御能力。
-
主动发现攻击:我们采用蜜罐诱捕、威胁情报分析等方式,积极主动地探测攻击行为,而不是被动地等待入侵事件发生。这种主动性有助于更早地发现和应对潜在的威胁。
-
攻击可视化:我们收集并关联各类日志信息到态势感知系统,以全面了解和追踪攻击行为。这种可视化有助于更好地理解威胁并及时采取行动。
-
网络隔离控制:我们根据最小特权原则,对重要系统和数据采取严格的网络访问控制,限制不必要的连接,从而降低了攻击面。
-
系统强化优化:我们对操作系统和软件进行安全加固,关闭高危端口服务,修复漏洞,并始终使用最新稳定版本以提高系统的整体安全性。
-
安全运营体系:我们建立了日常监控、事件响应、补丁管理等安全运营流程,以持续提高防护能力。
-
人员安全意识培养:我们加强员工的网络安全意识培训,提高他们对钓鱼邮件、设置强密码等安全操作的警惕性。
-
灵活应变调整防守策略:我们根据攻防态势的变化,及时调整防守策略,而不僵化地坚守预设模式,以确保应对新威胁的能力。
二、护网开始的策略
特殊时期,我们的信息中心将人员分为不同组别,以应对各种情况。这些组别包括监测组、研判组、应急组、溯源组、联络组。
防御部署如下:
- 实时根据各个大厂的威胁情报,及时补充和优化防护措施,修复系统漏洞。我们重点加固核心系统资产,并设置严密的认证和访问控制。此外,我们还部署了各类安全设备,以构建全流量监测平台,形成纵深防御体系。
1. 监测组:
监测组根据网络划分结构,分区域部署人员,监测网络安全设备。他们根据流量大小和数据包攻击特征判断IP行为,及时响应并采取相应措施,以防止误报和降低攻击事件的响应时间。
2. 研判组:
研判组负责对监测人员上报的攻击数据进行二次研判,以确定情报的准确性。如果发现主机被入侵或网站受到攻击,他们将通知应急组成员采取行动。
3. 应急组:
-
应急组负责事件评估和分类,以判断事件的严重程度和影响范围,并确定应急响应级别。他们收集有关事件的信息,分析攻击手段,并迅速与相关团队共享关键情报。应急组还制定技术措施,临时遏制攻击,协助业务团队进行系统恢复和补丁修复等操作,以将影响降至最低。
-
后期,应急组对事件进行全面的复查分析,找出根本原因,并提出补救措施。通过总结经验教训,他们不断提高应急响应能力。
4. 溯源组:
溯源组采取措施迷惑对手,浪费攻击者的时间。他们设立诱饵系统和散布虚假情报,以迷惑攻击者。当事件发生时,从蓝队的流程中,经过监控、分析、研判和应急等流程,溯源组的目标是获取红队相关基础设施的权限,并进一步反制攻击者。
5. 联络组:
联络组负责内外部的联系和沟通。
三、护网中的协同
各组在护网过程中协同工作,以确保信息中心的安全。
- 安全监测系统
依托态势感知设备,构建网络流量、主机资产、日志等的全方位监测系统,以实时掌握网络运行状态。
- 威胁情报系统:
我们收集并处理各类威胁情报,建立本地化的威胁情报库,使监测和防御系统能够迅速应对已知威胁。
- 安全警报和响应机制
通过设置多级安全告警阈值,我们能够快速响应异常或攻击事件,启动应急预案。
- 安全团队协作:
运维、应急、监测等团队之间积极共享信息并协作工作,以提高协同效率。
四、护网结束后
- 总结复盘:
我们对演练中发现的问题进行复盘,特别关注攻击队重点攻击的区域,并采取措施防止未来的攻击。
- 整改
对需要整改的业务系统进行整改,并修复在演练期间发现的漏洞,以进一步提高信息中心的安全性。