在国内网络安全形势愈发严峻、信息安全内控机制逐步精益的情况下,为了确保企业关键信息基础设施和网络安全的综合防御能力和水平,需要企业全面提升“监测发现、安全防护和应急处置”的能力。金融的发展与技术的进步相辅相成,而金融安全则为整个产业的发展起到了至关重要的保驾护航的作用。面对新时代的安全挑战,金融企业需要有针对性地构建攻防专家团队,并通过系统化的人才培养实现攻防团队专家化、梯队化。从而进一步推动网络安全红蓝队建设持续走向深度发展,全面提升金融安全防护能力和实战水平。
对攻防团队专家进行分阶段培养的目标是重点提升攻防团队成员的以下能力:
能力提升的实施步骤
为了达成攻防专家团队的培养目标,需要分阶段分步骤地开展一系列的培养活动。不仅有体系地培养专家成员,也通过广泛的安全培训活动使所有安全岗位相关人员的安全意识和能力得到提升。
分阶段地专家培养
作为一个长期的专家人才培养项目,需要把人才培养的目标分解到每一个阶段,并在每个阶段中有所侧重地组合不同的培养手段。如下图所示,团队成员的培养在三个阶段内逐渐实现能力的提升,外部专家在整个过程中的定位和培养输出也相应进行着调整。总体的思路是初期外部专家承担更多的培养任务,后期则更多地强调团队成员自身的主动学习和实战实操。
第一阶段
第一阶段的培养目标聚焦在基础能力的提升,因此外部专家将更多地讲解攻防工具的使用、并结合典型案例的深入分析让团队成员对安全攻防的思路和方法有深入的了解。在本阶段中攻防专家团队成员能够掌握常用的工具与方法,在外部专家的带领下开展“红蓝队”攻防实战演习,切实达成夯实基础的目标。
第二阶段
第二阶段是攻防专家团队快速成长的阶段,外部专家对其培养的目标从常用工具和方法的使用转变为深入理解典型漏洞的原理,而且能够在复杂环境中综合运用攻防工具进行实战对抗。在本阶段团队成员应该仅需要专家的指导就可以主动开展“红蓝队”攻防实战演习,实现从被动执行到主动独立开展工作的转变。在不断实战实操的训练中不断磨练动手、分析、实战与应变的能力,并自然转入主动学习的状态。
第三阶段
第三阶段是团队成员能力培养最终的阶段,他们对于攻防的理解已经非常深入,而且能够理解业界对攻防工具的优化并且开始参与新漏洞的挖掘。本阶段外部专家的定位是持续赋能,更强调团队成员的自主学习和实战实操的能力锤炼过程。
在分阶段的专家培养过程中,每个攻防专家团队成员都要经历从基础知识到深度安全的成长过程。为了达成培养目标,还要综合考虑以下原则:
一专多能
安全攻防涉及到众多的专业领域,每一个团队成员不可能在所有的技术领域都做到最强。因此,在培养的过程中需要结合每个成员的兴趣和专业经历,突出某个专业领域的特长培养。这意味着每个成员在熟练掌握通用的技能后,将深入学习互联网攻防和内网渗透等专项领域。每个团队成员一专多能的模式,将保障整个攻防专家团队的能力完备而且专项精深,从而构建一个专业全面且实力精深的综合团队。
实践出真知
在传统的课堂授课之外,还需要更多地通过对抗性演练来提升团队成员的真实技能。一方面在专家的辅导下充分结合现网真实案例,深入剖析从而加深理解,另一方面则在通过“红蓝队”攻防实战演习等方式开展真实环境的实操,促进技能的灵活运用、具备解决复杂问题的能力。
教学相长
为了达成最终的专家培养目标,就需要把被动接受转变为主动学习,激发团队成员的成长诉求。为此鼓励学员根据专家推荐的资料开展自主学习并在系统内部进行分享。从而强化对理论、方法和思路的理解与掌握,并且有助于人才梯队培养机制的形成。
多种培养手段并举
由于攻防专家团队的培养的特点是周期长而且涉及领域广,所以需要灵活组合多种培养手段才能达成最佳的效果。每一个培养手段都有其目的和价值,结合培养步骤的规划,将有助于团队成员快速成长并不断夯实基础。
专题培训
作为攻防专家培养的重要手段,攻防专家团队成员将接受系统的课程培训。专题培训覆盖了多个方面的信息安全教学内容,包括实验原理、教学虚拟化环境、实验指导书,能够让学员扎实掌握相关的知识和工具。培训内容主要包括渗透测试的目的、方式、途径、分类、手段等,以及Web安全中涉及到的文件上传漏洞、文件解析漏洞、Webshell的介绍、文件包含漏洞、逻辑漏洞以及SSRF、反序列化漏洞等新型的Web漏洞,并在漏洞利用的基础上进行权限提升与内网渗透的讲解,让学员掌握整个渗透测试流程中涉及到的所有技术要点。
“红蓝队”应急演练
作为一名优秀的信息安全人员,信息安全攻防工具是必备的。信息安全攻防平台为用户提供多类工具的使用,如:综合扫描、字典、抓包改包、注入、提权、破解、旁注、目录扫描、漏洞利用、后门、XSS、ARP嗅探、MD5破解等工具。基于攻防平台提供的丰富场景,团队成员得到充分的攻防锻炼。将工作中可能经历的各种安全对抗,通过一种特殊的竞赛模式提升成员的动手、分析、实战与应变能力。在演练中促使成员既要了解如何利用这些漏洞进行攻击,也必须了解如何快速针对发现的漏洞进行修复与防护。
培训案例
为了整体提升安全从业人员的专业能力,某农信以农信联全国安全竞赛为契机,选拔了安全技术骨干开展了攻防专项培训。新华三大学安全技术学院提供了两期八天的专项培训,内容包括:Web安全、加解密、信息隐藏、取证分析、逆向分析、二进制漏洞等,并通过AWD演练的方式让学员能够在平台的支撑下实现对专业知识的灵活运用,从而实现了对动手能力、分析能力、应变能力及实战能力的综合提升。参训团队成员在全国竞赛中取得了多个奖项,为专业化金融安全科技人才梯队建设走出了扎实的一步。
