针对2022年护网安全专项工作内容,集团以针对性重点安全设备,进行合理安全监控监测。在护网保障前对网络安全现状展开分析,进行全面自查,确认当前防护能力现状,重点关注关键网络节点通过配置安全设备进行安全监测。
安全监测检测是护网值守人员发现网络安全攻击事件的必要条件,是安全保障工作的前提,对安全监测能力进行分析,评估确认安全监测的有效性(策略、告警、日志、系统授权等),典型设备包括流量分析设备、态势感知、入侵检测设备、Web入侵检测系统等。并进行安全防护,保障人员处置安全事件的主要手段和工具,有效利用安全防护设备包括防火墙、入侵防御、上网行为管理、主机防护软件、Web防火墙、网页防篡改、抗DDOS等。对整个网络进行全面安全实现有效性监测,发现问题可以进行快速彻底的定位处置,并制定对应方案,采取有效的防护措施,确保了不会发生直接和间接影响业务运行的网络安全事件,针对安全能力缺陷问题,集团攻速做了对应的针对性进行能力建设补足。
护网前全面自查
护网前进行全面自查工作,以集团信息中心为主导,聘请具有相关资质的公司协助,对全公司信息系统进行安全检查,网络安全系统节点全面自查,确认公司护网期间的防护能力现状,重点排查关键网络节点安全监测问题、安全防护能力、区域边界访问控制与策略、弱口令检测,配置安全检查,执行漏洞扫描等。针对护网自查发现的问题全面整改;全面防御加固,主要包括入侵路径加固,网络架构优化,设备降噪策略和设备防护策优化,互联网暴漏面收敛,安全漏洞修复等。入侵路径加固在通过减少网络入侵途径,降低被攻击可能性;针对网络架构及业务流向分析存在的风险,对目前网络架构及业务流向进行可控范围内的优化调整,降低或转移网络架构问题直接引入的风险;及时将发现的误拦误报及时进行处理,对网络设备策略、安全设备策略、主机策略等进行进一步调整和优化;针对服务器、操作系统、数据库及应用中间件等软件系统,通过打补丁、强化帐号安全、加固服务、修改安全配置、优化访问控制策略、增加安全机制等方法,堵塞漏洞“后门”,合理进行安全性加强,提高其健壮性和安全性,增加攻击者入侵的难度。
护网期间全方位监测战术
设备运行监控
针对安全产品、网络产品、主机服务器等设备进行日志及告警信息安全监控,及时发现设备(系统)运行过程中出现的问题并协助除之组进行事件处置,安全设备全方位监测各种内外部攻击事件。监控指标可涵盖设备功能、设备性能、应用服务情况、连通性、操作审计等。
安全事件监控
针对xx公司现场部署的各类安全设备中告警数据进行监控,通过人工进行告警研判的方式对安全设备告警进行二次分析,排除告警中的误报,定位内外部攻击行为的真实。监控告警类型可涵盖不限与:DDoS攻击、Web攻击、信息破坏、口令猜测、僵尸主机、木马病毒、非授权访问、漏洞利用、网页篡改、SQL注入、非法连接、恶意扫描探测、网页篡改、网站敏感内容、网页挂马等。
安全异常监控
针对外网搜索引擎、交易平台、即时通信平台等进行客观、综合评价,通过人工和工具搜索客户资料信息、漏洞信息、源代码信息等,然后通过各种渠道获取的相关信息,以便及时发现社会盗卖集团内用户信息、系统漏洞、系统源代码等行为,若有相关行为提供并建立祥光改建议,结合业务与管理机制,有效隔绝和阻断这一类信息泄露危害,为集团业务正常运行提供良好支撑。
高危设备监控
高危设备指历年演练期间爆发过高危安全漏洞的设备,或直到护网演习之前尚未修复漏洞的安全设备、重要的集权系统等,护网阶段需对这些高危设备进行针对性安全监控工作,及时发现异常并妥善处置。
分析研判
综合研判组根据监测到的安全事件,并结合主机日志、网络设备日志、入侵检测设备日志等信息对安全事件攻击方法、攻击方式、攻击路径和工具等进行分析判断,分析确定为攻击行为的安全事件,协同安全处置小组进行反制处置、溯源等,并提供事件处置建议,提交事件处置报告。
安全事件分类
针对可疑攻击、失陷等开展应急响应工作,应急响应场景主要包括Windows主机排查、Linux主机排查、Unix主机排查、网络设备应急排查、安全设备应急排查、DDOS攻击应急响应、Web攻击及篡改应急响应、恶意代码传播应急响应、网络攻击事件响应等,参照护网前期的应急演练流程及相关响应指南开展应急工作。
基于安全事件原因的分类原则,对监测到的安全事件进行分类,安全事件有效分类,可以很大程度提高安全事件发生后的应急处置速度,以下为安全事件详细分类:
1、拒绝服务类安全事件
拒绝服务类安全事件是指由于恶意用户利用挤占带宽、消耗系统资源等攻击方法使系统无法为正常用户提供服务所引起的安全事件。
2、系统漏洞类安全事件
系统漏洞类安全事件是指由于恶意用户利用系统的安全漏洞对系统进行未授权的访问或破坏所引起的安全事件。
3、网络欺骗类安全事件
网络欺骗类安全事件是指由于恶意用户利用发送虚假电子邮件、建立虚假服务网站、发送虚假网络消息等方法对系统或用户进行未授权的访问或破坏所引起的安全事件。
4、网络窃听类安全事件
网络窃听类安全事件是指由于恶意用户利用以太网监听、键盘记录等方法获取未授权的信息或资料所引起的安全事件。
5、数据库注入类安全事件
数据库注入类安全事件是指由于恶意用户通过提交特殊的参数从而达到获取数据库中存储的数据、得到数据库用户的权限所引起的安全事件。
6、恶意代码类安全事件
恶意代码类安全事件是指恶意用户利用病毒、蠕虫、特洛伊木马等其他恶意代码破坏网络可用性或窃取网络中数据所引起的安全事件。
安全处置
安全处置组根据分析结果以及安全事件所分类别,可以快速找到和采取相应的处置措施,来确保目标系统安全。通过遏制攻击行为,使其不再危害目标系统和集团网络,依据攻击行为的具体特点实时制定攻击阻断和溯源反制的安全措施,通过溯源报告、事件处置报告详细记录攻击事件处置操作。对发现的攻击行为协同监控组进行第一时间处置,进行及时的封堵有效的攻击地址,分析其攻击路径,并进行后续的取证工作。
在这期间我们在这个api大全 啊平台当中使用了Cloudmersive安全威胁检测API,对接该api实现自动发现ip威胁并自动封禁等操作,通过对接这个接口实现自动封禁提高ip封禁效率。
三、事件上报
在攻防演习实战期间,防守方对检测到的告警信息进行研判分析,对确属攻击行为的安全事件,及时根据规定格式编写防守方成果报告,提交至保障领导组,由安全负责人统一上报。
四、全方位监测战术优点
在护网防守保障期间,建立合理的沟通汇报措施,值守人员每日进行事件上报,全天候值班值守,按照7*24小时模式开展值守,确保一但发生网络安全事件,通过全方位监测可以以最快速度开展应急处置和事件调查等工作,最大限度降低风险隐患。
通过建立完善的“监测+研判+处置”的工作流程,是提高网络综合防控防御能力的重要组成部分。根据内外攻击信息,可以尽最大限度对攻击行为进行反制溯源,并且7*24的监测值守可以可以最大限度监测来自各方面的攻击行为,并且可以第一时间观测到安全攻击行为,最快的构建出针对攻击事件的防控战术。极大程度减少和避免了网络安全攻击中的被攻破的成功几率。
