Statistics
6
Views
0
Downloads
0
Donations
Support Statistics
¥.00 ·
0times
Text Preview (First 20 pages)
Registered users can read the full content for free
Register as a Gaohf Library member to read the complete e-book online for free and enjoy a better reading experience.
Page
1
实战攻防演习之 紫队视角下的实战攻防演习组织 1
Page
2
实战攻防演习之 紫队视角下的实战攻防演习组织 3 前 言 网络实战攻防演习,是新形势下关键信息系统网络 安全保护工作的重要组成部分。演习通常是以实际运 行的信息系统为保护目标,通过有监督的攻防对抗, 最大限度地模拟真实的网络攻击,以此来检验信息系 统的实际安全性和运维保障的实际有效性。 2016年以来,在国家监管机构的有力推动下,网 络实战攻防演习日益得到重视,演习范围越来越广, 演习周期越来越长,演习规模越来越大。国家有关部 门组织的全国性网络实战攻防演习从2016年仅有几家 参演单位,到2019年已扩展到上百家参演单位;同时 各省、各市、各行业的监管机构,也都在积极地筹备 和组织各自管辖范围内的实战演习。一时间,网络实 战攻防演习遍地开花。 在演习规模不断扩大的同时,攻防双方的技术水平 和对抗能力也在博弈中不断升级。 2016年,网络实战攻防演习尚处于起步阶段,攻 防重点大多集中于互联网入口或内网边界。 2017年,实战攻防演习开始与重大活动的网络安 全保障工作紧密结合。就演习成果来看,从互联网侧
Page
3
实战攻防演习之 紫队视角下的实战攻防演习组织 4 发起的直接攻击仍然普遍十分有效;而系统的外层防 护一旦被突破,横向移动、跨域攻击,往往都比较容 易实现。 2018年,网络实战攻防演习开始向行业和地方深 入。伴随着演习经验的不断丰富和大数据安全技术的 广泛应用,防守方对攻击行为的监测、发现和溯源能 力大幅增强,与之相应的,攻击队开始更多地转向精 准攻击和供应链攻击等新型作战策略。 2019年以来.网络实战攻防演习工作受到了监 管部门、政企机构和安全企业的空前重视。流量分 析、EDR、蜜罐、白名单等专业监测与防护技术被防 守队广泛采用。攻击难度的加大也迫使攻击队全面升 级,诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、 钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法,在 实战攻防演练中均已不再罕见,攻防演习与网络实战 的水平更加接近。 如何更好地参与网络实战攻防演习?如何更好地借 助实战攻防演习提升自身的安全能力?这已经成为大 型政企机构运营者关心的重要问题。 作为国内领先的网络安全企业,奇安信集团已成为 全国各类网络实战攻防演习的主力军。奇安信集团安
Page
4
实战攻防演习之 紫队视角下的实战攻防演习组织 5 服团队结合200余次实战攻防演习经验,总结编撰了这 套实战攻防演习系列丛书,分别从红队视角、蓝队视 角和紫队视角,来解读网络实战攻防演习的要领,以 及如何结合演习提升政企机构的安全能力。 需要说明的是,实战攻防演习中的红方与蓝方对抗 实际上是沿用了军事演习的概念和方法,一般来说, 红方与蓝方分别代表攻击方与防守方。不过,红方和 蓝方的名词定义尚无严格的规定,也有一些实际的攻 防演习,将蓝队设为攻击队、将红队设为防守队。在 本系列丛书中,我们依据绝大多数网络安全工作者的 习惯,统一将攻击队命名为红队,将防守队命名为蓝 队,而紫队则代表组织演练的机构。 《紫队视角下的实战攻防演习组织》是本系列丛书 的第三本。本书重点介绍实战环境下的紫队工作,提 出组织实战攻防演习的四个阶段,给出实战攻防演习 的组织要素、组织形式,明确演习各方的人员职责, 描述每阶段需开展的重点工作,并提示在开展实战攻 防演习时应规避的风险。
Page
5
实战攻防演习之 紫队视角下的实战攻防演习组织 6 目 录 第一章 什么是紫队......................................1 一、实战攻防演习组织要素...................................1 二、实战攻防演习组织形式...................................3 三、实战攻防演习组织关键...................................3 第二章 实战攻防演习组织的四个阶段..............6 一、组织策划阶段..................................................6 二、前期准备阶段................................................15 三、实战攻防演习阶段.........................................17 四、演习总结阶段................................................20 第三章 实战攻防演习风险规避措施...............24 一、演习限定攻击目标系统,不限定攻击路径...24 二、除授权外,演习不允许使用拒绝服务攻击...24
Page
6
实战攻防演习之 紫队视角下的实战攻防演习组织 7 三、网页篡改攻击方式的说明.............................24 四、演习禁止采用的攻击方式.............................25 五、攻击方木马使用要求.....................................25 六、非法攻击阻断及通报.....................................26 附录 奇安信实战攻防演习组织经验...............27
Page
7
实战攻防演习之 紫队视角下的实战攻防演习组织 1 第一章 什么是紫队 紫队,一般是指网络实战攻防演习中的组织方。 紫队是在实战攻防演习中,以组织方角色,开展演 习的整体组织协调工作,负责演习组织、过程监控、 技术指导、应急保障、演习总结、技术措施与策略优 化建议等各类工作。 紫队组织红队对实际环境实施攻击,组织蓝队实施 防守,目的是通过演习检验参演单位安全威胁应对能 力、攻击事件检测发现能力、事件分析研判能力和事 件响应处置能力,提升被检测机构安全实战能力。 下面,就针对紫队组织网络实战攻防演习的要素、 形式和关键点分别进行介绍。 一、实战攻防演习组织要素 组织一次网络实战攻防演习,组织要素包括:组织 单位、演习技术支撑单位、攻击队伍(即红队)、防 守单位这四个部分。
Page
8
实战攻防演习之 紫队视角下的实战攻防演习组织 2 组织单位负责总体把控、资源协调、演习准备、演 习组织、演习总结、落实整改等相关工作等。 演习技术支撑单位由专业安全公司提供对应技术支 撑和保障,实现攻防对抗演习环境搭建和攻防演习可 视化展示。 攻击队伍,也即红队,一般由多家安全厂商独立 组队,每支攻击队一般配备3-5人。在获得授权前提 下,以资产探查、工具扫描和人工渗透为主进行渗透 攻击,以获取演习目标系统权限和数据。 防守队伍,也即蓝队,由参演单位、安全厂商等人 员组成,主要负责对防守方所管辖的资产进行防护, 可视化展示,所有攻击行 为安全可控, 组织单位 攻防演习平台攻击队伍 防守单位 总体把控、资源协调、专家评审、 裁判打分 成立若干攻击小组,以竞赛或合 作的方式展开真实的网络攻击, 发现安全漏洞,获得服务器权限 可视化展示 所有攻击行为安全可控 攻击录屏,视频监控 成立防守小组,实时监控网络, 进行实时阻断、应急响应等工作
Page
9
实战攻防演习之 紫队视角下的实战攻防演习组织 3 在演习过程中尽可能不被红队拿到权限和数据。 二、实战攻防演习组织形式 网络实战攻防演习的组织形式根据实际需要出发, 主要有以下两种: 1)由国家、行业主管部门、监管机构组织的演习 此类演习一般由各级公安机关、各级网信部门、 政府、金融、交通、卫生、教育、电力、运营商等国 家、行业主管部门或监管机构组织开展。针对行业关 键信息基础设施和重要系统,组织攻击队以及行业内 各企事业单位进行网络实战攻防演习。 2)大型企事业单位自行组织演习 央企、银行、金融企业、运营商、行政机构、事业 单位及其他政企单位,针对业务安全防御体系建设有 效性的验证需求,组织攻击队以及企事业单位进行实 战攻防演习。 三、实战攻防演习组织关键 实战攻防演习得以成功实施,组织工作包括:演 习范围、周期、场地、设备、攻防队伍组建、规则制
Page
10
实战攻防演习之 紫队视角下的实战攻防演习组织 4 定、视频录制等多个方面。 演习范围:优先选择重点(非涉密)关键业务系统 及网络。 演习周期:结合实际业务开展,一般建议1-2周。 演习场地:依据演习规模选择相应的场地,可以容 纳指挥部、攻击方、防守方,三方场地分开。 演习设备:搭建攻防演习平台、视频监控系统,为 攻击方人员配发专用电脑等。 攻击方组建:选择参演单位自有人员或聘请第三方 安全服务商专业人员组建。 防守队组建:以各参演单位自有安全技术人员为 主,聘请第三方安全服务商专业人员为辅构建防守队 伍。 演习规则制定:演习前明确制定攻击规则、防守规 则和评分规则,保障攻防过程有理有据,避免攻击过 程对业务运行造成不必要的影响。 演习视频录制:录制演习的全过程视频,作为演习 汇报材料以及网络安全教育素材,内容包括:演习工
Page
11
实战攻防演习之 紫队视角下的实战攻防演习组织 5 作准备、攻击队攻击过程、防守队防守过程以及裁判 组评分过程等内容。
Page
12
实战攻防演习之 紫队视角下的实战攻防演习组织 6 第二章 实战攻防演习组织的四个阶段 实战攻防演习的组织可分为四个阶段: 组织策划阶段:此阶段明确演习最终实现的目标, 组织策划演习各项工作,形成可落地、可实施的实战 攻防演习方案,并需得到领导层认可。 前期准备阶段:在已确定实施方案基础上开展资源 和人员的准备,落实人财物。 实战攻防演习阶段:是整个演习的核心,由组织方 协调攻防两方及其他参演单位完成演习工作,包括演 习启动、演习过程、演习保障等。 演习总结阶段:先恢复所有业务系统至日常运行状 态,再进行工作成果汇总,为后期整改建设提供依据。 下面依次进行详细介绍。 一、组织策划阶段 网络实战攻防演习是否成功,组织策划环节非常关 键。组织策划阶段主要从建立演习组织、确定演习目 标、制定演习规则、确定演习流程、搭建演习平台、
Page
13
实战攻防演习之 紫队视角下的实战攻防演习组织 7 应急保障措施这六个方面进行合理规划、精心编排, 这样才能指导后续演习工作开展。 (一)建立演习组织 为确保攻防演习工作顺利进行,成立实战攻防演习 工作组及各参演小组,组织架构通常如下: 演习组织机构设置示意图 1)攻击组(红队) 由参演单位及安全厂商攻击人员构成,一般由攻防 渗透人员、代码审计人员、内网攻防渗透人员等技术 人员组成。负责对演习目标实施攻击。
Page
14
实战攻防演习之 紫队视角下的实战攻防演习组织 8 2)防守组 由各个防护单位运维技术人员和安全运营人员组 成,负责监测演习目标,发现攻击行为,遏制攻击行 为,进行响应处置。 3)技术支撑组 其职责是攻防过程整体监控,主要工作为攻防过 程中实时状态监控、阻断处置操作等,保障攻防演习 过程安全、有序开展。演习组织方,即紫队需要负责 演习环境运维,维护演习IT环境和演习监控平台正常运 行。 4)监督评价组 由攻防演习主导单位组织形成专家组和裁判组,负 责攻防演习过程中巡查各个攻击小组,即红队的攻击 状态,监督攻击行为是否符合演习规则,并对攻击效 果进行评价。专家组负责对演习整体方案进行研究, 在演习过程中对攻击效果进行总体把控,对攻击成果 进行研判,保障演习安全可控。裁判组负责在演习过 程中对攻击状态和防守状态进行巡查,对攻击方操作 进行把控,对攻击成果判定相应分数,依据公平、公 正原则对参演攻击队和防守单位给予排名。
Page
15
实战攻防演习之 紫队视角下的实战攻防演习组织 9 5)组织保障组 由演习组织方指定工作人员组成,负责演习过程中 协调联络和后勤保障等相关事宜,包括演习过程中应 急响应保障、演习场地保障、演习过程中视频采集等 工作。 (二)确定演习目标 依据实战攻防演习需要达到的演习效果,对参演单 位业务和信息系统全面梳理,可以由演习组织方选定 或由参演单位上报,最终选取确认演习目标系统。通 常会选择关键信息基础设施、重要业务系统、门户网 站等作为演习首选目标。 (三)制定演习规则 依据演习目标结合实际演习场景,细化攻击规则、 防守规则和评分规则。为了鼓励和提升防守单位防守 技术能力,可以适当增加防守方反击得分规则。 演习时间:通常为工作日5×8小时,组织单位视情 况还可以安排为7×24小时。 沟通方式:即时通信软件、邮件、电话等。
Page
16
实战攻防演习之 紫队视角下的实战攻防演习组织 10 (四)确定演习流程 实战攻防演习正式开始后的流程一般如图所示: 1)确认人员就位 确认红队人员以及攻防演习组织方、防守组人员按 要求到位。 2)确认演习环境 攻击组与技术支撑组确认演习现场和演习平台准备
Page
17
实战攻防演习之 紫队视角下的实战攻防演习组织 11 就绪。 3)确认准备工作 防守组确认参演系统备份情况,目标系统是否正 常,并已做好相关备份工作。 4)演习开始 各方确认准备完毕,演习正式开始。 5)攻击组实施攻击 红队对目标系统开展网络攻击,记录攻击过程和成 果证据。 6)防守组监测攻击 防守组可利用安全设备对网络攻击进行监测,对发 现的攻击行为进行分析确认,详细记录监测数据。 7)提交成果 演习过程中,红队人员发现可利用安全漏洞,将获 取的权限和成果截图保存,通过平台进行提交。
Page
18
实战攻防演习之 紫队视角下的实战攻防演习组织 12 8)漏洞确认及研判 由专家组对提交的漏洞进行确认,确认漏洞的真实 性,并根据演习计分规则进行分数评判。 9)攻击结束 在演习规定时间外,攻击组人员停止对目标系统的 攻击。 10)成果总结 演习工作组协调各参演小组,对演习中产生的成 果、问题、数据进行汇总,输出相关演习总结报告。 11)资源回收 由演习工作组负责对各类设备、网络资源进行回 收,同时对相关演习数据进行回收处理,并监督攻击 组人员对在演习过程中使用的木马、脚本等数据进行 清除。 12)演习结束 对所有目标系统攻击结束后,工作小组还需要进行 内部总结汇报,演习结束。
Page
19
实战攻防演习之 紫队视角下的实战攻防演习组织 13 (五)搭建演习平台 为了保证演习过程安全可靠,需搭建攻防演习平 台,演习平台包括:攻击场地、防守场地、攻击目标 信息系统、指挥大厅、攻击行为分析中心。 1)攻击场地 攻击场地可分为场内攻击和场外攻击,搭建专用的 网络环境并配以充足的攻击资源。正式攻击阶段,攻 击小组在对应场所内实施真实性网络攻击。场地内部 署攻防演习监控系统,协助技术专家监控攻击行为和 流量,以确保演习中攻击的安全可控。 2)防守场地 防守场地主要是防守方演习环境,可通过部署视频 监控系统将防守工作环境视频回传指挥中心。 3)攻击目标信息系统 攻击目标信息系统即防守方网络资产系统。防守方 在被攻击系统开展相应的防御工作。
Page
20
实战攻防演习之 紫队视角下的实战攻防演习组织 14 4)攻击行为分析中心 攻击行为分析中心通过部署网络安全审计设备对攻 击者攻击行为进行收集及分析,实时监控攻击过程, 由日志分析得出攻击步骤,建立完整的攻击场景,直 观地反应目标主机受攻击的状况,并通过可视化大屏 实时展现。 5)指挥大厅 演习过程中,攻方和守方的实时状态将接入到指挥 大厅监控大屏,领导可以随时进行指导、视察。 (六)应急保障措施 指攻防演习中发生不可控突发事件,导致演习过程 中断、终止时,所需要采取的处置措施预案。需要预 先对可能发生的紧急事件(如断电,断网,业务停顿 等)做出临时处置安排措施。攻防演习中一旦参演系 统出现问题,防守方应采取临时处置安排措施,及时 向指挥部报告,由指挥部通知红队在第一时间停止攻 击。指挥部应组织攻、防双方制定攻击演习应急相应 预案,具体应急响应预案在演习实施方案中完善。
Comments 0
Loading comments...
Reply to Comment
Edit Comment