读红蓝攻防：技术与策略05网络战略

1. 网络战略

1.1. 网络安全一直占据着大多数网络战略的中心地位，因为随着威胁行为者获得更好的利用工具和技术，网络威胁正不断变得更加先进

• 1.1.1. 建议各组织制定网络战略，以确保其网络基础设施免受各类风险和威胁损害
  

1.2. 网络战略是以文档的形式记录的网络空间各方面的计划，主要为满足一个实体的网络安全需求而制定，解决如何保护数据、网络、技术系统和人员的问题
1.3. 一个有效的网络战略通常与一个实体的网络安全风险暴露程度相当

• 1.3.1. 涵盖了所有可能成为恶意方攻击目标的攻击环境
  

1.4. 网络战略是根据公司对风险容忍度的定义管理组织安全风险的计划，旨在实现业务和组织目标
1.5. 网络战略应与业务战略以及业务驱动因素和目标完全一致
2. 为什么需要构建网络战略

2.1. 组织不断应对网络攻击中经验丰富的专业人员发出的威胁
2.2. 可悲的现实是，许多入侵都是由国家、网络恐怖分子和强大的网络犯罪集团实施的

• 2.2.1. 黑客地下经济为购买入侵工具、技术或雇佣人员提供便利，并对通过成功攻击所获的收益进行洗钱
  
• 2.2.2. 通常情况是，攻击者在网络安全方面比普通IT员工拥有更多的技术专业知识
  
• 2.2.3. 攻击者可以利用其先进的专业知识轻松绕过许多组织中的IT部门设置的许多网络防御工具
  

2.3. 原因

• 2.3.1. 提供有关安全战术的详细信息
  
  
  
  • 2.3.1.1. 网络战略制定了确保组织安全的高级战术
    
  • 2.3.1.2. 涉及事件响应、灾难恢复和业务连续性计划，以及帮助安抚利益相关者的对攻击行为响应等
    
  • 2.3.1.3. 有助于让利益相关者了解组织应对网络攻击的准备情况
    
  
  
• 2.3.2. 摆脱假设
  
  
  
  • 2.3.2.1. 当今组织中使用的某些网络安全防御机制基于IT部门或网络安全顾问的假设
    
  • 2.3.2.2. 假设总是可能具有误导性，并且可能只针对某个特定目标（如合规）量身定做
    
  • 2.3.2.3. 网络战略则是针对各种网络威胁和风险，经深入研究、分析和考虑各种相关信息后制定的行动计划，它们的开发也是为了一个共同的最终目标：使安全目标和业务目标一致
    
  
  
• 2.3.3. 改善组织
  
  
  
  • 2.3.3.1. 网络战略带来了对有关网络安全问题的集中控制和决策，因为它们是与不同的利益相关方合作建立的
    
  • 2.3.3.2. 确保组织中的不同部门可以协调设置并努力实现一组共同的安全目标
    
  
  
• 2.3.4. 证明了你对安全的长期承诺
  
  
  
  • 2.3.4.1. 网络战略保证了组织将投入大量的努力和资源来保障组织的安全
    
  • 2.3.4.2. 承诺对利益相关者来说是一个好现象，表明该组织在遭受攻击时将保持安全
    
  
  
• 2.3.5. 为利益相关者简化了网络安全
  
  
  
  • 2.3.5.1. 网络战略有助于打破网络安全的复杂性
    
  • 2.3.5.2. 告知所有利益相关者网络空间的风险和威胁，然后解释如何通过一系列可实现的小目标来缓解这些风险和威胁
    
  
  

2.4. 处理安全问题的方式

• 2.4.1. 从防御的角度来看
  
  
  
  • 2.4.1.1. 网络战略的重点是告知利益相关者组织为保护自己免受已查明的威胁而实施的防御战略
    
  
  
• 2.4.2. 从攻击的角度来看
  
  
  
  • 2.4.2.1. 网络战略可能侧重于证明现有安全能力的有效性，以便发现并修复缺陷
    
  • 2.4.2.2. 可能广泛地涵盖了将用于测试该组织的攻击准备情况的不同方法
    
  
  
• 2.4.3. 一些战略可能是这两个角度的混合，因此涵盖了对现有防御机制的测试和强化
  
• 2.4.4. 所选择的方法取决于可用资源和业务目标
  

3. 构建网络战略

3.1. 了解业务

• 3.1.1. 对业务了解得越多，就能更好地确保它的安全
  
• 3.1.2. 了解组织的目标、与你共事的人员、行业、当前趋势、你的业务风险、风险偏好和风险容忍度，以及你最有价值的资产，是非常重要的
  
• 3.1.3. 拥有完整的资产清单，对于根据这些资产遭受攻击的风险和影响来确定战略计划的优先顺序至关重要
  

3.2. 了解威胁和风险

• 3.2.1. 风险始于一个潜在的事件，然后将其可能性与其潜在的严重性结合起来
  
• 3.2.2. 风险（潜在损失）=威胁×漏洞×资产
  
• 3.2.3. 并非所有的风险都值得化解，理解这一点真的很重要
  
  
  
  • 3.2.3.1. 如果一个风险发生的可能性极小，但缓解的成本却很高，或者风险的严重程度低于缓解的成本，那么这样的风险是可以接受的
    
  
  

3.3. 适当的文档

• 3.3.1. 文档有助于建立流程之间的标准化，并确保组织中的每个人都以同样的方式努力实现同样的结果
  
• 3.3.2. 是每项战略的关键方面，在确保业务连续性方面发挥着特别重要的作用
  
• 3.3.3. 网络战略文档化将确保效率、一致性，并让参与其中的人安心
  

4. 最佳网络攻击战略

4.1. 保护组织安全的最佳方式之一是像黑客一样思考，并尝试使用与对手相同的工具和技术入侵组织
4.2. 可以通过网络外部或内部的外部测试来测试防御战略
4.3. 旨在确保所实施的安全战略有效，并与业务流程的目标保持一致
4.4. 外部测试战略

• 4.4.1. 包括试图从外部（即从组织网络外部）入侵组织
  
• 4.4.2. 出于测试目的，网络攻击将针对可公开访问的资源
  
• 4.4.3. 其他常见的目标包括通常暴露在公众面前的域名服务器和入侵检测系统
  
• 4.4.4. 除技术系统外，外部测试战略还包括针对员工或用户的攻击
  
• 4.4.5. 此类攻击可以通过社交媒体平台、电子邮件和电话进行
  
• 4.4.6. 常用的攻击方法是社会工程学手段，通过说服目标分享敏感细节或为不存在的服务付费、支付赎金等，因此外部测试战略应该模仿这些攻击
  

4.5. 内部测试战略

• 4.5.1. 包括在组织内执行攻击测试，目的是模仿可能试图危害组织的其他内部威胁
  
• 4.5.2. 包括心怀不满的员工和怀有恶意的访客
  
• 4.5.3. 内部安全漏洞测试总是假设攻击者拥有标准的访问权限，并且知道敏感信息的存储位置，可以逃避检测，甚至禁用某些安全工具
  
• 4.5.4. 内部测试的目的是加固暴露给正常用户的系统，以确保它们不会轻易被攻陷
  

4.6. 盲测战略

• 4.6.1. 一种旨在出其不意地攻击组织的测试战略
  
• 4.6.2. 是在事先没有警告IT部门的情况下进行的，因此，当发生这种情况时，组织会将其视为真正的黑客攻击，而不是测试
  
• 4.6.3. 盲测是通过攻击安全工具、试图侵入网络并锁定用户以从他们那里获取凭据或敏感信息来完成的
  
• 4.6.4. 由于测试团队没有从IT部门获得任何形式的支持，以避免向其发出有关计划中的攻击的告警，因此盲测代价通常很高，然而，这往往会发现许多未知漏洞
  

4.7. 定向测试战略

• 4.7.1. 测试只隔离一个目标，并对其进行多次攻击，以发现能够成功的目标
  
• 4.7.2. 当测试新系统或特定的网络安全方面时，如针对关键系统的攻击事件响应等，它是非常有效的
  
• 4.7.3. 通过定向测试并不能了解到整个组织的漏洞的详细细节
  

5. 最佳网络防御战略

5.1. 网络安全的最后一道防线通常归结为一个组织所拥有的防御系统

• 5.1.1. 有必要确保其整体网络安全战略在方法上是积极主动的
  

5.2. 深度防御

• 5.2.1. 深度防御，也称为分层安全，涉及使用分层防御机制，使攻击者很难侵入组织
  
• 5.2.2. 分层安全是最广泛使用的网络防御战略
  
  
  
  • 5.2.2.1. 正变得越来越昂贵和无效
    

    5.2.2.1.1. 多层安全性的安装和维护成本很高，这对中小企业来说是一大挑战
    

    
    
  • 5.2.2.2. 黑客仍然能够使用攻击技术（如直接针对最终用户的网络钓鱼）绕过多层安全保护
    
  
  
• 5.2.3. 采用了多层安全防护措施，因此，一层安全防护措施未能阻止攻击，只会让攻击者暴露在另一层安全防护措施中
  
• 5.2.4. 深度防御策略对那些认为单层安全防御难以免受攻击的组织颇具吸引力
  
• 5.2.5. 可能禁用远程访问，并对任何登录尝试使用双因子身份验证
  
• 5.2.6. 成功的概率非常低，因为每一层安全防护措施都有自己的复杂性
  
• 5.2.7. 常见组件
  
  
  
  • 5.2.7.1. 网络安全(Network security)
    

    5.2.7.1.1. 由于网络是最容易暴露的攻击面，因此第一道防线通常旨在保护它们
    

    5.2.7.1.2. IT部门可能会安装防火墙来阻止恶意流量，还可以防止内部用户发送恶意流量或访问恶意网络
    

    5.2.7.1.3. 网络上还部署了入侵检测系统，以帮助检测可疑活动
    

    5.2.7.1.4. 由于针对防火墙的DDoS攻击广泛使用，建议组织购买可持续承受此类攻击的防火墙
    

    
    
  • 5.2.7.2. 主机保护（计算机和服务器安全）
    

    5.2.7.2.1. 防病毒系统对于保护计算设备免受恶意软件感染至关重要
    

    
    
  • 5.2.7.3. 加密
    

    5.2.7.3.1. 加密通常是最可信的防线，因为它建立在数学的复杂性基础之上
    

    5.2.7.3.2. 组织选择加密敏感数据，以确保只有授权人员才能访问这些数据
    

    5.2.7.3.2.1. 当这样的数据被盗时，对组织来说并不是一个很大的打击，因为大多数加密算法都不容易被破解
    

    
    
  • 5.2.7.4. 访问控制
    

    5.2.7.4.1. 访问控制是一种通过认证来限制可以访问网络中资源的人数的方法
    

    5.2.7.4.2. 组织通常将物理和逻辑访问控制相结合，以使潜在黑客很难攻陷它们
    

    5.2.7.4.3. 物理控制包括使用锁和保安来阻止人们进入敏感区域，如服务器机房
    

    5.2.7.4.4. 逻辑控制需要在用户可以访问任何系统之前使用身份验证
    

    5.2.7.4.5. 传统上，只使用用户名和密码组合，但由于泄密事件增加，建议使用双因子身份验证机制
    

    
    
  
  

5.3. 广度防御

• 5.3.1. 越来越多的组织考虑采用广度防御方法
  
• 5.3.2. 一种新的防御战略，它将传统的安全手段与新的安全机制相结合，旨在为OSI模型的每一层提供安全性
  
• 5.3.3. 不同的OSI模型层包括物理层、数据链路层、网络层、应用层、表示层、会话层和传输层
  
  
  
  • 5.3.3.1. 最后一层安全措施通常是应用层
    
  
  
• 5.3.4. 网络应用防火墙(Web Application Firewalls，WAF)
  
  
  
  • 5.3.4.1. 能有效地抵御针对特定应用的攻击，是一种非常有效的网络应用防火墙
    
  • 5.3.4.2. 一旦发起攻击，WAF就可以挫败它，并且可以创建一个规则来防止未来出现类似的攻击，直到应用补丁为止
    
  • 5.3.4.3. 具有安全意识的开发人员在开发应用程序时使用开放式Web应用程序安全项目(Open Web Application Security Project，OWASP)方法
    

    5.3.4.3.1. 这些方法坚持开发符合标准安全级别的应用程序，并解决一系列常见漏洞
    

    5.3.4.3.2. 未来的发展将确保应用程序在出厂时几乎完全安全
    

    5.3.4.3.3. 它们将能够在不依赖其他防御系统的情况下单独抵御攻击
    

    
    
  
  
• 5.3.5. 用于防御的另一个概念是安全自动化
  
  
  
  • 5.3.5.1. 意味着开发具有检测攻击和自动防御能力的系统
    
  • 5.3.5.2. 这些功能是使用机器学习实现的，在机器学习中，系统被告知其所需的状态和正常环境设置
    
  • 5.3.5.3. 有基于人工智能的防火墙和基于主机的防病毒程序，可以处理安全事件，而不需要人工输入
    
  
  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！