目录
基本概念
攻防演习准备工作
组织要素
组织形式
组织关键
攻防演习不同阶段
组织策划阶段
前期准备阶段
实战演习阶段
应急演习阶段
演习总结阶段
演习风险规避措施
如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。
紫队指在网络实战攻防中的组织方。
在演习中,负责演习组织,过程监控,技术指导,应急保障,风险控制,演习总结,技术措施与策略优化等工作。通过红蓝攻防检验参演单位安全威胁应对能力,攻击事件检测发现能力。事件分析研判能力,事件响应处置能力以及应急响应机制与流程的有效性,提升参演单位的安全实战能力。
组织一次攻防演习,要素包括:组织单位,演习技术支撑单位,攻击队伍,防守单位。
组织单位负责总体把控,资源协调等;技术支撑单位负责实现攻防对抗演习环境搭建和演习可视化;攻击队伍由多家安全厂商组成 3-5 人的队伍,在获权前提下进行渗透攻击;防守队伍由参演单位和安全厂商组成,负责对管辖资产进行防护。
演习组织形式根据实际需求而定,一般分为两种:
由国家,行业主管部门,监管机构组织,一般由各级公安机关,网信部门,政府,金融等组织。针对行业关键信息基础建设和重要系统,组织攻击队 及行业内各企事业单位组织演习。
由大型企事业单位自行组织,一般是央企,银行,金融企业等组织。针对业务安全防御体系的有效性的验证需求,组织演习。
实战演习的组织工作包括:演习范围,周期,场地,设备,攻防队伍组建,规则制定,视频录制等方面。
演习范围优先选择重点非涉密关键业务系统及网络;演习周期一般为 1-2 周;场地需可容纳攻,防,组织三方展开工作;演习设备包括攻防演习平台,视频监控系统,攻方专用电脑(或提供虚拟攻击终端);演戏规则要有明确的攻击规则,防守规则和评分规则;视频录制包括演习工作的准备,攻击队攻击过程,防守队防守过程及裁判组评分过程等。
演习启动
组织方相关单位组织启动会议,部署演习工作,确定应急预案,明确演习规则和时间,宣布演习正式开始。启动会要准备好领导发言,宣布规则,时间,纪律要求,攻防人员签到与鉴别,攻方分组等工作,约为 30 分钟。
演习过程
检测——接到事故报警后在服务对象配合下对系统进行初步分析,确认是否发生信息安全事故,制定下一步响应策略,并保留证据。
抑制——及时抑制事件扩散和影响范围,限制潜在损失与破坏,同时保证封锁方法对相关业务的影响最小。
根除——对事件进行抑制之后,通过对有关行为或行为的分析结果,找出时间根源,明确补救措施并彻底清除。
恢复——恢复涉及安全事件的系统,并还原到正常状态,使业务正常进行,避免误操作导致数据丢失。
总结——通过各阶段的表格记录。回顾安全事件处理的全过程,整理相关信息并记录在文档中。
如有需要,还可搭建推演平台进行沙盘推演。
限定攻击目标,不限定攻击路径,攻方发现漏洞应及时向组织部报备,不允许进行破坏性攻击;
除授权外,演习不允许使用SYN FLOOD,CC等拒绝服务攻击手段;
演习过程中,攻方要围绕目标系统进行攻击渗透,获取网站权限后需请示组织部后张贴指挥部下发图片;
演习禁止通过收买防守方人员进行攻击,禁止物理攻击,截断监听外部光缆等进行攻击,禁止采用无线电干扰;
攻击方木马控制端必须使用组织方统一提供的软件,所使用木马不应自动删除目标系统文件,损坏引导扇区,主动扩散,感染文件,造成服务器宕机等破坏性功能。禁止使用具有破坏性和感染性的病毒,蠕虫;
及时阻断非法攻击并进行通报。
CIS 2022深圳分会场共设立“高级威胁与漏洞管理论坛”和“安全运营与数据安全论坛”两大分论坛,围绕混合云场景下安全威胁监测体系建设、API安全、企业漏洞综合治理、资产管理等内容,共同探讨未来网络安全发展方向。CIS 2022深圳分会场议题前瞻 | 高级威胁与漏洞管理论坛 - FreeBuf网络安全行业门户
本文参考《奇安信红蓝紫对抗手册》