“HW行动”的策略与实践

随着云计算、移动互联网、大数据、物联网、智能制造等网络技术的不断发展,组织内部信息系统的安全威胁越来越多:木马屡屡入侵、勒索病毒肆虐、数据隐私严重泄露、关键基础设施与物联网攻击等安全事件时常发生,网络空间俨然成为重要的战略空间。

何为“HW行动”

自2016年开始,为应对网络安全威胁,严守网络安全底线,公安部每年组织多家机构对国内基础设施系统按照国家网络安全要求,深入排查重点单位安全隐患、检验各单位网络安全防护能力,业内称之为“HW行动”。

“HW行动”旨在检测国家关键基础设施与单位备案重要信息系统的安全隐患,检验其事件监测、安全防护与应急处置,快速协同、应急处突的能力。随着“HW行动”开展,其涉及的行业和范围更多、更广,“HW行动”作为我国关键资产网络安全风险应对的重要措施,成为政府、企事业单位积极参与完成国家安全要求及自身安全建设的基础性工作。

“HW行动”攻击检测方由国家公安部组织全国各部委、各行业专家、各网络安全专家进行指挥统筹,由国家网络安全队伍、科研机构、部队、网络安全企业组成攻击检测队伍。形式上采用针对真实、关键目标的“红蓝”攻防对抗,攻击方在确保不破坏目标正常业务的前提下,挖掘安全隐患,并将结果实时上报指挥部;防护方依据监测的安全事件,进行追踪溯源、应急处置、安全加固与防护工作。

HW行动之“攻击方”策略

“攻击方”主要采用渗透测试,模拟黑客的攻击和漏洞挖掘技术,对目标信息系统做深入的嗅探,以发现系统中最脆弱的环节,从而获取权限。

“攻击方”同时也会采用APT攻击,在短时间内根据攻击检测目标及在信息收集阶段通过资产指纹、漏洞、端口扫描等不同方式,对收集到的问题进行数据分析,对目标信息系统进行攻击渗透。具体来看,主要攻击突破口如下:

利用安全扫描搜索引擎,通过分布式扫描源迷惑目标,采用分布式扫描快速获取目标资产信息,并进行逐步分析;对OA、运维审计系统、安防设备等通用系统进行分析获取0day漏洞;制作免杀木马程序,通过远程命令/代码执行漏洞,直接执行下一代命令行外壳以及脚本语言;利用开源源码托管平台,获取用户信息、源码信息等内容;了解业务内网构成,精准捕获核心数据。

HW行动之“防守方”策略

“防守方”依据HW行动时间延展可分为四大阶段:备战阶段、临战阶段、决战阶段、总结阶段。具体策略概述如下:

备战阶段主要是对安全现状排查。目标是通过数据资产梳理、安全风险评估,以及自查自纠、安全培训,建立安全防护体系。

临战阶段主要是按照HW行动整体模式开展资产巡查、渗透测试,制定应急预案、开展实战应急演练,依据内外网检测结果进行系统安全加固及应急处置优化。

决战阶段主要是进行7*24小时现场值守。值守中,要实时监控安全态势,实时应急响应安全事件,确保整个重大活动期间的安全保障。具体任务:依据安全审计告警信息进行实时监控与上报,实时监测重点系统的风险及安全隐患并第一时间应急处置,现场依据策略调整进行突发事件处理,现场针对安全事件进行溯源分析等等。

总结阶段主要是对HW行动的工作及经验不足进行总结,并根据总结结果持续改进、优化网络安全整体建设水平。

基于此,国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安的网络安全专家建议:根据组织自身条件,选择一个合适的HW套餐。基础必备的套餐包括:防火墙+WAF+蜜罐+威胁监测系统(流量分析回溯或态势感知系统)+安全值守;升级版套餐包括:防火墙+WAF+蜜罐+威胁监测系统(流量分析回溯或态势感知系统)+威胁情报+ 主机HIDS +安全服务(渗透测试、安全监控、分析、应急处置)。

结语

“网络安全同担,网络生活共享”。在目前信息化社会中,社会对计算机和网络的依赖越来越紧密。计算机和网络在军事、政治、经济和生活工作等方方面面的应用越来越广泛。如果网络安全得不到保障,将给国家各个行业的生产经营、个人资产和隐私等方面带来严重损失,从而使得关系国计民生的关键基础信息系统,甚至国家国防安全、网络空间安全面临严峻挑战。

随着《网络安全法》和《等级保护制度条例2.0》的颁布,国内企业的网络安全建设需与时俱进,要更加注重业务场景的安全性并合理部署网络安全硬件产品,严防死守“网络安全”底线。“HW行动”大幕开启,国联易安誓为政府、企事业单位网络安全护航!国联易安董事长门嘉平博士接受媒体采访时表示。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )