重新认识蓝队体系
背景
随着近几年复杂国际形势的大背景和国内护网活动的锤炼,传统的安全运维/服务类解决方案在面临新的挑战和要求下显得捉襟见肘,日渐吃力。越来越多的组织开始引入红队服务来寻求对信息系统的更接近实战的威胁评估。与此同时,如何建立应对真实威胁且能够迅速反应的行之有效的防御体系,也激发出各行各业对蓝队建设的迫切需求。
基本概念
蓝队一般是以现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。企业蓝队建设能够在高级威胁对抗场景下提供涵盖人员、技术、流程、服务全维度的安全防御体系。以IPDRO自适应保护模型为核心,包含暴露面监测(识别阶段-I)、防御强化(防护阶段-P)、威胁狩猎(监测阶段-D)、应急处置(响应阶段-R)、安全运营(运营改进阶段-O)五大服务模块,并通过6级蓝队建设成熟度模型,衡量并不断提高对抗过程中各阶段的安全防御能力。
认知误区
随着近年来攻防演练常态化开展和普及,对监控值守类型人员岗位需求的急剧上升,以及行业内各种“基础产品培训”、“值守监控培训”的泛化,导致很多安全行业新人和企业对蓝队的第一印象就只是“看设备”、“看告警”,枯燥且乏味,提不起一丝激情,觉得打红队才是最酷最厉害的。不可否认,打红队的确能很大程度上满足部分人的成就感,能在一定程度上以实战的视角帮助企业评估当前业务和网络的安全水平,但需要提醒的是,这个世界从来不缺少安全威胁,缺少的往往是专业的安全防护。我们常说“以攻促防、以攻验防”,一切手段都是围绕如何更好的保护业务和网络安全而服务的,最终目标都是抵御一切安全威胁。
当然还有另一句话,“未知攻,焉知防”,当今安全行业中,部分红队人员“只知攻,不懂防”,部分蓝队人员“不懂攻,枉谈防”,红蓝攻防本一体,思维相互转换才是正解,简单说就是想真正做好防御,蓝队人员就必须要懂得红队的攻击技巧和思维,并转换成可识别(identifiable)、可防御(Protectable)、可监测(Detectable/Monitorable)、可响应(Responsive)、可运营(Operable)的防护体系,才是上上之策。文章来源:https://www.toymoban.com/news/detail-424986.html
蓝队体系IPDRO自适应保护模型
在开始介绍IPDRO核心模型前,不得不提到企业安全能力框架(IPDRR),它是美国国家标准与技术研究所(National Institute of Standards and Technology)的网络安全框架(简称NISTCSF ),最早的版本于2014年发布,旨在为寻求加强网咯安全防御的组织提供指导。IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,从以防护为核心的模型,转向以检测和业务连续性管理的模型,变被动为主动,最终达成自适应的安全能力。
为了适应当前文章来源地址https://www.toymoban.com/news/detail-424986.html
到了这里,关于如何提高蓝队在实战攻防演习中的防御水平?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
