Puntos clave a los que los defensores deben prestar atención durante los ejercicios ofensivos y defensivos
Punto 1: Intercepción de dispositivos de seguridad
Aunque la mayoría de las empresas actualmente conceden gran importancia a la seguridad de la información, en las primeras etapas de los simulacros de ataque y defensa, la mayoría de los atacantes utilizarán herramientas de escaneo para recopilar activos. y vulnerabilidades, el número de alarmas de ataque aumentará significativamente y el personal de defensa correspondiente no podrá manejar todas las alarmas de ataque una por una. Por lo tanto, cada empresa necesita implementar equipos de seguridad con funciones de interceptación, como firewalls, sistemas de protección de aplicaciones web, sistemas de prevención de intrusiones, etc., para realizar pruebas de compatibilidad y optimizar las estrategias de interceptación de alarmas antes de los simulacros para mejorar la eficiencia del procesamiento.
Punto 2: Bloqueo del origen del ataque
Antes del simulacro de ataque y defensa, se deben recopilar y bloquear las IP de origen de la amenaza y los nombres de dominio maliciosos, y luego las IP de alarma de alto riesgo de los dispositivos de seguridad. debe bloquearse durante el simulacro. El bloqueo reduce aún más la cantidad de alarmas, evita el consumo de energía de monitoreo por parte de los defensores y se enfoca en la investigación y análisis de ataques reales.
Punto 3: Respuesta de emergencia y trazabilidad
Durante los ejercicios ofensivos y defensivos, cuando el anfitrión toma la autoridad, la posición del defensor caerá. Por lo tanto, es necesario monitorear el tráfico anormal y la información de alarmas en tiempo real, e iniciar rápidamente un proceso de respuesta y eliminación para hosts comprometidos o sistemas atacados con éxito: fase de detección, aislamiento del sistema, localización del problema, investigación y recopilación de evidencia, eliminación de troyanos, host. reparación y recuperación. Sobre la base de la evidencia recopilada durante el proceso de respuesta de emergencia, combinada con inteligencia sobre amenazas, honeypots y otras herramientas, se utiliza ingeniería social y otros medios para rastrear la fuente, agregando así puntos de manera efectiva al defensor.
Punto 4: Reparación de vulnerabilidades
Cuando el personal de monitoreo de seguridad descubre ataques causados por vulnerabilidades, debe repararlas de inmediato para evitar una mayor expansión del problema. El proceso principal de reparación de vulnerabilidades es: bloquear las IP de ataque y las IP de solicitudes anormales, monitorear los datos del tráfico atacado, formular un plan de reparación de vulnerabilidades, evaluar y probar la viabilidad del plan y completar la reparación de vulnerabilidades.
Punto 5: Reparación de parches
La reparación de parches también es una parte importante del efecto de defensa. Incluso si los parches del sistema y de la aplicación se reparan antes del simulacro, puede ser de "alto riesgo". todavía ocurren durante el simulacro de vulnerabilidad de 0 días" o "parche oficial". Dado que el defensor debe garantizar la estabilidad y seguridad del sistema de producción, existe el problema de que la versión no se puede actualizar a tiempo y los atacantes pueden aprovechar las vulnerabilidades de la versión anterior para atacar. Por ello, durante el ejercicio se debería constituir un grupo de expertos en seguridad para evaluar, probar y reparar este tipo de problemas y mejorar el plan de emergencia para este tipo de sistemas.