"网络演习 "和 "网络靶场 "几乎是当今信息安全领域最流行的词汇。与专业术语不同的是,这些词对于企业和高级管理人员来说早已耳熟能详:法律要求他们进行演习,包括网络演习,而网络射击场也经常在企业界和媒体上被讨论。许多公司以及行业监管机构、地区和大学都有理由为自己的射击场感到自豪。事实上,这已经成为一个热门词汇。让我们来看看谁需要它们以及为什么。
网络校园是建立有效网络安全的关键因素。例如,在 Positive Technologies 的 Standoff 365 网络培训中,学员可以通过该公司的国际独立安全研究人员社区提供的实时黑客流量,为各种威胁和最不可预测的情况做好准备。其中,利用零日漏洞的攻击可以在这里被识别和调查。数以千计的道德黑客使用各种战术、技术和工具,通过发现有趣和意想不到的攻击载体,帮助企业和政府防止出现组织无法接受的情况。
这就是为什么许多公司都希望在自己的地方建立一个网络多边形(或者至少感叹 "我要是有一个这样的东西就好了!")。让我们试着了解一下您是否需要网络多边形,如果需要,它应该是什么样的。
什么是网络靶场?
它是一个虚拟化或仿真的 IT 基础设施(您自己的或典型组织的),在此基础上复制不同复杂程度的网络攻击。如果您的 SOC(安全运营中心)能够在网络测试场检测、调查和/或击退攻击,那么它很有可能在现实生活中也能做到这一点。如果做不到--没什么大不了:这不是对真实基础设施的攻击,也不会造成任何损失,但公司会了解信息安全服务到底缺乏什么(知识、技能、法规、交互技能、信息保护软件),并组织适当的纠正措施:培训、更新法规、购买信息保护产品等。理想的情况是,在采取补救措施后,再进行新一轮的 "攻击-检测-调查-响应",这样,毫无疑问,你已经学会了如何应对这类攻击。
每个人都需要网络靶场吗?
这完全取决于公司的 "成熟度"。如果信息安全流程尚未建立,那么在部门成立之初,就可以利用网络多边形来培训和调整信息安全人员的行动,学习和研究当前的非难黑客技术。您还可以在网络靶场内放置和测试自己的基础设施片段,以便在安全可控的环境中测试其安全性。不要忘记,这也是在实践中了解不同类别的信息安全产品、确定哪些产品对贵组织是必要的以及确保优化配置保护手段的好方法。
如果一家公司刚刚开始实施最基本的漏洞扫描措施(如扫描),那么从指挥所演习开始,即演练在可能受到攻击时该怎么做,就很有意义。这种演习甚至可以在内部进行,在会议室里花几个小时就能完成。"假设攻击者对我们的系统进行了加密。信息安全专业人员,应立即采取什么行动?(提示:拔掉所有用户设备的电源插头,尤其是在计算机尚未加密的情况下)。人力资源部门,我们该如何告诉员工,是让他们回家还是有备份计划?IT部门,我们在哪里有备份,我们能以多快的速度从中恢复数据?事实上,作为网络靶场的补充,这样的演练对大型组织也没有坏处。
如果您的组织已经实施了基本的信息安全流程,那么您的信息安全团队很可能是由不同学科和资历的专家组成的,而且所使用的信息安全工具也相当多样化。因此,是时候考虑网络演练了。您可以仅限于一次性演习(这将使您能够认真提高专家的资质,并测试面对网络攻击时的合作规则)。俄罗斯有几个网络靶场地区可以进行此类演习。您也可以购买在线多边形的年度访问权,如 Standoff 365 提供的服务,这样您就可以进行非常 "比较 "的演习(检查-修复-再检查),识别和分析攻击者最危险、最持久的技术和战术,并试验基础设施和信息监控工具的不同配置。
您需要自己的网络靶场吗?
我们可以讨论很长时间,相对简单的试验台在哪里结束,网络靶场在哪里开始--总的来说,没有界限。但通常情况下,当人们谈论试验场时,他们指的是对相当发达的基础设施(不仅包括企业网络,还包括技术线路,如果与您相关的话)进行仿真,为潜在的攻击做好准备;以及仔细考虑攻击者的目标:商业风险,或者用我们的术语来说,不可接受的事件。创建、开发和维护这样的基础设施需要大量投资、庞大的专家团队(到哪里去找方法论专家来创建网络靶场?我们建议,只有系统重要性最大的企业才能这样做,即使是这样,也只有在其技术和业务流程足够独特,可以通过定制现有多边形来支持的情况下。