为最大限度的检验金融行业重点单位的网络安全防御能力,排查存在的问题,反映实际情况,实网攻防演习方式可采取事先不通知,攻击源、攻击目标、攻击手段不明确等方式,以防攻击、防破坏、防泄密、防重大网络安全故障为重点,对“攻防演习”范围内的重点单位关键基础设施信息系统展开“攻击”。
360数字安全金融行业一站式安全防御解决方案是结合当前金融行业面临的攻防演习现状,深入了解行业客户需求和特点,结合360安全大脑安全能力通过标准化、中台化的安全服务与工具结合的方式,以打赢攻防演习防御战为目标,所提供的一站式安全防御解决方案,对提升金融行业用户网络安全保障整体能力和水平具有突出意义。
一站式安全防御服务整体工作流程图
360数字安全金融行业一站式安全防御服务解决方案根据阶段划分原则,将一站式防御服务分为五个阶段:前期准备、自查整改、预演习、正式防护、工作总结,各阶段所需进行的具体工作如下:
设定专项活动组织架构,成立专项活动领导小组,任命小组长统筹专项行动,建立支撑小组,包括不限于网络支撑组,系统支撑组,应用支撑组,基础设施支撑组,安全攻防组确定职责和人员
主要防御目标系统选取是根据实战攻防演习需要,以确定攻防演习过程中的目标系统,建议选择容易遭受外部攻击威胁较大的关键信息基础设施作为目标系统。
有针对性地制定总体方案、工作计划、技术方案及工作内容,责任到人、明确到位,按照工作实施计划进行进度和质量把控,确保管理工作落实到位,技术工作有效执行。
部署360安全防御工具,包括:资产发现与威胁感知工具、实时精准威胁发现工具、域安全入侵检测工具、服务器安全加固、预演习平台等。
通过使用工具、人工梳理等方式,梳理目标系统相关资产,并形成目标系统资产清单。
针对互联网系统、目标系统和关键基础设施系统进行安全漏洞扫描。
主机安全基线:针对目标系统所涉及的主机进行安全检查,重点检查多余账号、口令策略、账号策略、远程管理等情况。
数据库安全基线:针对目标系统所涉及的数据库进行安全检查,重点检查多余账号、口令策略、账号策略、远程管理等情况。
中间件安全基线:针对目标系统所涉及的中间件进行安全检查,重点检查中间件管理后台、口令策略、账号策略、安全配置等情况。
网络设备基线检查:针对目标系统所涉及的设备进行安全基线检查,重点检查多余账号、口令策略、策略启用情况、应用规则、特征库升级情况,禁止存在默认口令和弱口令等配置情况。
全面渗透测试,包括互联网系统、内网重要系统、特定系统和产品,在技术层面包含但不仅限于从系统层、应用层进行开展,针对不同层面的安全漏洞及威胁,多方位多角度的测试。
通过资产发现、漏洞扫描、安全基线检查和渗透测试的服务发现的问题,有针对性的开展网络及安全策略优化、安全加固、应用脆弱性修复、安全监测和威胁发现等安全整改工作。
针对参与演习行动的人员进行安全意识培训,明确工作中应注意的安全事项;提高参与人员的安全意识,针对攻防攻击中可能面对的社会工程学攻击、邮件钓鱼等方式,应重点关注;提高攻防演习参与人员的安全处置能力,针对攻击中可能用到的手段和应对措施进行培训。
预演习阶段将帮助金融行业用户应对当前复杂多变的网络安全环境和风险具有积极意义,在预演习方案中攻防队伍将根据要求实施“专项”场景演练,从而通过攻防对抗,考验企业安全防护能力以及对安全事件的监测发现能力和应急处置能力。通过对抗、复盘和研讨,总结经验教训,对提升网络安全保障整体能力和水平具有突出价值。
当正式防护行动开始后,360安全监控组负责展开安全事件实时监测工作。借助安全防护设备和工具(实时精准威胁发现工具、域安全入侵检测工具、全流量分析设备、Web防火墙等)开展攻击安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。
安全监控组根据监测到安全事件,协同进行分析和确认。如有必要将通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析,以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息,并对攻击方法、攻击方式、攻击路径和工具等进行分析研判,并采取相应的处置措施,来确保目标系统安全,通过遏制攻击行为,使其不再危害目标系统和网络,依据攻击行为的具体特点实时制定攻击阻断的安全措施。
工作总结阶段在重要活动结束后,对防御工作全过程进行总结并形成报告,对工作各个环节的安全问题进行总结复盘,并结合环境实际情况提出后续安全优化方案。
基于360安全大脑赋能的一站式安全防护服务;
实现安全防护工作的规范化、制度化和流程化;
建立可靠的安全事件应急响应处置预案;
增强企业人员网络安全意识,完善网络安全保障体系。