金融行业红蓝对抗演习解决方案_杨治中的博客-程序员ITS301

技术标签: 网络安全  

 

行业现状

    近年来,我国信息安全面临的安全形势日益严峻,网络安全形势异常严峻。网络空间面临的安全问题与几年前相比有了明显的变化。作为金融行业企业,开放的交易环境所带来的除了业务发展外也加剧了来自外部的安全威胁,同时各种新技术的引进也对原有的流程、环境、架构及业务体系的带来了巨大的变化。这些都加大了对外部入侵的攻防不对等关系。这种来自外部的挑战是时刻存在的,并且越发严峻。

2016年发布了《中华人民共和国网络安全法》,标志着我国网络安全实现真正的有法可依,自此,行业监管单位对信息技术安全提出了更严格的监管要求,而这类监管要求会越来越细致。开始逐步推动实战攻防演习模式,以验证国家关键基础设施及重要业务系统的实战化攻防能力,实战攻防演习逐渐形成趋势,其覆盖的行业迅速扩展,已经基本形成了标准的、规模化的网络安全检查形式。

解决方案

        360红蓝对抗演习解决方案帮助金融行业用户应对当前复杂多变的网络安全环境和风险具有积极意义,在红蓝对抗方案中攻防队伍将根据要求实施“背靠背”的演习,从而通过攻防对抗,考验企业安全防护能力以及对安全事件的监测发现能力和应急处置能力。通过对抗、复盘和研讨,总结经验教训,对提升网络安全保障整体能力和水平具有突出价值。

红蓝对抗解决方案整体工作流程图

360红蓝对抗解决方案根据阶段划分原则,将实战攻防演习分为四个阶段:调研阶段、准备阶段、演习阶段、总结阶段。各阶段所需进行的具体工作如下:

(一)调研阶段

1. 目标系统选取

演习目标系统选取是根据实战攻防演习需要,由双方协商进行指定,以确定攻防演习过程中的目标系统,建议选择容易遭受外部攻击的若干关键信息基础设施作为目标系统。

2. 演习时间确认

演习总体时间为25个工作日,演习分为四个阶段,其中调研阶段5个工作日,准备阶段10个工作日,演习阶段5个工作日,总结阶段5个工作日。(建议结合实际环境、需求进行调整)

3. 约束条件确认

避免演习过程中因攻击方的不当攻击行为对业务系统产生影响,从而导致演习工作受阻或停滞,根据实际环境对演习中系统所能接受的攻击方式进行调研,以确保攻防演习工作不因攻击人员的攻击行为不当,而影响整个演习工作的进行。

4. 通报机制确认

为演习参与人员建立有效的通报机制,以方便在演习过程中快速对各类问题进行通报和处理。

5. 阶段交付物

《攻防演习资产调研表》、《攻防演习每日攻击事件汇总表》、《攻防演习漏洞隐患整改跟踪表》、《安全风险检查访谈表》、《安全基线自查表单》

(二) 准备阶段

 

为达到攻防演习预期目标,梳理前期需完成的工作,为后续演习正式开展提供保障。本阶段主要完成攻防演习平台的调试、攻击队伍注册、防守队伍注册、裁判组注册、演习授权、签署保密协议等工作。

1.演习平台调试及注册

攻防演习平台调试,平台以云服务方式(不需要部署任何设备即可随时展开真实的攻防演习),为攻击人员分配网络资源,通过展示大屏,展示整个攻击过程,对攻击方技术人员行为做审计,防止攻击方人员越界做破坏行为,以保证整个攻防演习过程的安全。

2.演习授权

演习开始前期,对攻击团队进行正式授权,确保演习工作在授权范围内有序进行,所有参演攻击组应在获取演习攻击授权后,才可对演习目标开展演习攻击。

3.签署保密协议

为了防止攻防演习过程中泄露信息,参与演习需签订保密协议,并对参演服务人员提出保密要求,确保参演服务人员认同、认可泄露演习信息的严重后果,提高参演服务人员保密意识。

4.准备阶段-服务输出

《攻防演习保密协议》、《攻防演习授权委托书》、《防守方评分规则》、《攻击方评分规则》、《红蓝对抗禁止规则》

(三) 演习阶段

1.攻击方工作

攻击方利用网络攻击的技术手段,在不影响目标业务系统可用性的前提下,对目标系统开展攻击演习。

攻击方将按照网络边界打点突破,内网资产发现并深入挖掘漏洞,从而实现横向渗透,进而实现整个网络的夺权思路,达成攻击目的。

攻击方在对目标系统进行有针对性的、有组织的入侵攻击,制定攻击策略、规划攻击线路,攻击者分工合作,力争在短时间内取得最大战果。

2.防守方工作

在演习阶段,防守方从技术角度实施以下三点:

1) 做好全局性分析研判工作
2) 全面布局安全监测预警
3) 提高事件处置效率效果

具体防护流程图如下:

3.裁判工作

负责对攻防演习过程进行整体把控,对攻击方、防守方提交的相关成果进行评分,并对技术挑战及核心问题进行技术研判。

(四)总结阶段

 

日常总结:各攻击队伍及防守队伍,应每天按照总结模板填写当日的攻击、防守成果,总结当日的演习成绩、经验与心得。

最终总结:通过日常总结内容及攻防演习平台统计的相关信息内容(攻击方的攻击行为、攻击手段、攻击次数等,同时统计目标系统发现、检测和拦截的攻击数量),对本次红蓝对抗演习进行全方位的总结。

方案价值

360红蓝对抗演习以实战化、可视化、专业化为原则,以不对实际目标系统进行破坏攻击为底线,进行实战攻防对抗,攻击模式不限制单个系统,不限制内网渗透,不限制通过周边系统迂回,以体现如下价值:

  • 深入挖掘信息系统可能存在的安全风险;

  • 全面检验企业网络安全防御体系的有效性;

  • 检验企业安全人员应急响应、处置流程及协作能力;

  • 增强企业人员网络安全意识,完善网络安全保障体系。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzia/article/details/114359726

智能推荐

opencv python 角点检测/FAST算法_weixin_33777877的博客-程序员ITS301

FAST Algorithm for Corner Detection理论我们已经学习带走几个特征检测器,它们都really good , 但是从实时的角度来说,它们的速度还不够快.作为解决方案,FAST(加速段测试的特征)算法由Edward Rosten和Tom Drummond在2006年的论文“Machine learning ...

npm 安装与使用_戴某)的博客-程序员ITS301_npm安装

下载安装由于npm被集成在nodeJs里面,所以我们想要使用npm 就必须要安装nodejs 运行nodeJs安装程序,一路选择默认配置安装即可,它会将nodeJs加入环境变量中,不需要我们操心 安装完成之后我们可以使用 node -v npm -v 来查看当前nodeJs以及npm版本号 如果此时版本号能被正常打印出来,就说明我们安装就到此完成了 如果提示 "node"不是内部或外部命令,也不是可运行的程序 或批处理文件,则需要重启电脑,若是重启之后依然提示错误,就需要到下一步

java 启动脚本_java 启动脚本_爬一手好线杆的博客-程序员ITS301

!/bin/sh该脚本为Linux下启动java程序的通用脚本。即可以作为开机自启动service脚本被调用,也可以作为启动java程序的独立脚本来使用。#Author: tudaxia.com, Date: 2011/6/7#警告!!!:该脚本stop部分使用系统kill命令来强制终止指定的java程序进程。在杀死进程前,未作任何条件检查。在某些情况下,如程序正在进行文件或数据库写操作,可能会造...

义隆循环左移c语言,二进制除法运算(义隆单片机)_weixin_39694264的博客-程序员ITS301

多字节二进制除法被除数为3 个字节,在0x20、0x21、0x22 单元中,0x22.7 为最高位,0x20.0 为最低位。除数为2 个字节,在0x30、0x31 中。算法:EM78 单片机 没有除法指令,而且本例中除法为多字节除法,可采用如下算法。将被除数扩充一个字节0X23,0X23 清0。被除数左移1 位,0X23、0X22 中数据减去0X31、0X30 中数据,够减则减且0X20.0 置...

狂神说Spring5笔记_Beastard的博客-程序员ITS301_"<import resource=\"{path}/beans.xml\"/>"

目录1、Spring1.1 简介1.2 优点1.3 组成1.4 拓展2、IOC理论推导3、HelloSpring4、IOC创建对象的方式5、Spring配置5.1 别名5.2 Bean的配置5.3 import6、DI依赖注入6.1 构造器注入6.2 Set方式注入 【重点】6.3 拓展方式注入6.4 Bean的作用域7、Bean的自动装配7.1 测试7.2 byName自定装配7.3 byTpye自动装配7.4 使用注

Hibernate的getCurrentSession()和openSession()的区别和使用_zgj12138的博客-程序员ITS301

Hibernate的sessionFactory获取session的方法有两种:getCurrentSession()openSession()这两种方式有什么区别呢?区别:openSession()每次都开启一个sessionopenSession方法获得的session,在提交事务之后需要关闭session getCurrentSession是从

随便推点

彻底理解webservice SOAP WSDL_weixin_34351321的博客-程序员ITS301

原文:https://wenku.baidu.com/view/f87b55f19e31433239689314.htmlWebServices简介先给出一个概念 SOA ,即Service Oriented Architecture ,中文一般理解为面向服务的架构,既然说是一种架构的话,所以一般认为 SOA 是包含了运行环境,编程模型,架构风格和相关方法论等在内的一整套新的...

html在线预览cad图纸插件_程序不是代码的博客-程序员ITS301

width="700" height="520">                                        ">                    注意: codebase="dwgviewx.cab"引入的包在文件夹中,名称为:dwgviewx.cabvalue="">为动态绑定的dwg文档的路径。该标签可

脏读 幻读 不可重复读_gettogetto的博客-程序员ITS301

一般大家都对事务的四种隔离模式比较熟悉,从松到严依次是:- 读取未提交(Read uncommitted):处于此模式下可能会出现脏读、幻象读、不可重复读- 读取已提交(Read committed):处于此模式下可能会出现幻象读、不可重复读- 可重复读(Repeatable read):处于此模式下可能会出现幻象读- 串行(Serialize):不会出现幻象读

Qt中PostgreSQL数据库驱动插件的编译_弗里曼的小伙伴的博客-程序员ITS301

Qt中PostgreSQL数据库驱动插件的编译2012年1月19日 1  PostgreSQL概述postgresql默认编译Sqlite和ODBC其它没有编译的文件要手动进行编译,编译过程在帮助文件里有说明;cd%QTDIR%\src\plugins\sqldrivers\psql qmake "INCLUDEPATH+=C:\psql\include""LIBS

基于Echarts+百度地图+Three.js的数据可视化系统_修复BUG中的博客-程序员ITS301

上周重构项目数据统计部分写了几篇echarts相关的文章,重构的后台前端框架改用Vue,关于Vue中引用Echarts及可能遇到的问题的文章如下所示:VUE中使用Echarts图表VUE父组件异步获取数据,子组件接收的值为空VUE渲染echarts图表宽度只显示100px问题其中提到大学的时候echarts教程较少,想要做一些理想效果比较麻烦,正好记得大三的时候写了一个,基于Echarts+Three.js+百度地图的数据可视化系统,当时这个系统参加了计算机设计大赛,是拿了安徽省一等奖,全国二

Spring Boot教程(来源于微信公众号ImportNew)_chidang3244的博客-程序员ITS301

ImportNew Spring Boot教程系列 非常适合刚接触的初学者,我也是通过这些文章在慢慢学习 分享一下Spring Boot的中文文档(插入的超链接用不了就很蓝瘦):https://qbgbook.gitbooks.io/spring-boot-reference-guide-...

推荐文章

热门文章

相关标签