如何開展一場網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練?
網(wǎng)絡(luò)攻擊者的尋求對(duì)象不再是個(gè)人或企業(yè),攻擊的目標(biāo)已逐漸伸向國家,他們想獲取有益價(jià)值的野心越來越大,同時(shí)提醒著我們要加強(qiáng)網(wǎng)絡(luò)安全防御,網(wǎng)絡(luò)安全防范工作勢在必行。
“說一百遍,不如去做一次”,理論不如行動(dòng)來的實(shí)際,對(duì)于實(shí)戰(zhàn)攻防演練,相信多數(shù)企業(yè)只是單一了解,實(shí)際開展演練的卻寥寥無幾。
攻防演練是指在不影響企業(yè)運(yùn)營的前提下,對(duì)企業(yè)進(jìn)行模擬入侵進(jìn)攻,在有限的時(shí)間內(nèi)從各種進(jìn)入點(diǎn)進(jìn)行攻擊,嘗試達(dá)成企業(yè)的指定的測試任務(wù)。在這種完全貼近真實(shí)攻擊的測試活動(dòng)中,能夠測試企業(yè)安全防護(hù)體系的阻斷、檢測和響應(yīng)能力。
- 藍(lán)隊(duì)(攻擊方)模擬黑客的動(dòng)機(jī)與行為,探測企業(yè)網(wǎng)絡(luò)存在的薄弱點(diǎn),加以利用并深入擴(kuò)展,在授權(quán)范圍內(nèi)獲得業(yè)務(wù)數(shù)據(jù)、服務(wù)器控制權(quán)限、業(yè)務(wù)控制權(quán)限;
- 紅隊(duì)(防守方)通過設(shè)備監(jiān)測和日志及流量分析等手段,監(jiān)測攻擊行為并響應(yīng)和處置;
- 組織方與客戶協(xié)商基本信息,并提供演練技術(shù)支撐,制定對(duì)抗規(guī)則,提供后期保障,組織紅藍(lán)雙方在指定時(shí)間內(nèi)開展紅藍(lán)對(duì)抗。演練結(jié)束后,組織方召開總結(jié)會(huì)議,紅藍(lán)雙方匯報(bào)成果,共同復(fù)盤,溝通攻防過程中的優(yōu)點(diǎn)與不足,結(jié)合安全防護(hù)體系現(xiàn)狀探討安全建議。
一、攻防演練的意義
(1) 網(wǎng)絡(luò)安全對(duì)抗,實(shí)質(zhì)是人與人之間的對(duì)抗。網(wǎng)絡(luò)安全需網(wǎng)絡(luò)安全人才來維護(hù),是白帽和黑帽之間的較量,而白帽是建設(shè)網(wǎng)絡(luò)強(qiáng)國的重要資源。網(wǎng)絡(luò)攻防演練能夠發(fā)現(xiàn)網(wǎng)絡(luò)安全人才,清楚自身技術(shù)短板所在,并加以改進(jìn),提升安全技術(shù)。
(2) 開展攻防演練,能夠提早發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)安全問題所在。針對(duì)問題及時(shí)整改,加強(qiáng)網(wǎng)絡(luò)安全建設(shè)力度,提升企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力。
二、如何開展一場攻防演練?
攻防演練分為五個(gè)階段:計(jì)劃階段、準(zhǔn)備階段、演練階段、收尾階段及總結(jié)匯報(bào)階段。
(1) 計(jì)劃階段
確定演練的基礎(chǔ)信息,編纂演練組織實(shí)施方案。明確演練目標(biāo)資產(chǎn)范圍、攻擊方團(tuán)隊(duì)、防守方團(tuán)隊(duì)、演練導(dǎo)向、時(shí)間周期,制定實(shí)施規(guī)則、評(píng)分規(guī)則、保密協(xié)議等前期工作。
(2) 準(zhǔn)備階段
準(zhǔn)備演練設(shè)施,落實(shí)參演人員,安排后勤。確定演練組織架構(gòu)中的人員,準(zhǔn)備演練現(xiàn)場設(shè)施,組織方搭建演練所需的技術(shù)平臺(tái),安排參演人員的交通、住宿、餐飲,準(zhǔn)備演練材料、醫(yī)療團(tuán)隊(duì)、宣傳材料、獎(jiǎng)品、門禁、安保。
(3) 演練階段
組織紅藍(lán)雙方開展攻防,各小組各司其職,運(yùn)營整個(gè)演練過程,并輸出演練結(jié)果。攻防雙方開展紅藍(lán)對(duì)抗,每日歸檔當(dāng)日攻防雙方成果,演練結(jié)束后公布演練成績。
(4) 收尾階段
根據(jù)演練結(jié)果輸出名次,對(duì)表現(xiàn)優(yōu)異的團(tuán)隊(duì)進(jìn)行表彰。回收發(fā)放的門禁、網(wǎng)線、電腦等重要資料,下線攻防平臺(tái)。
(5) 總結(jié)匯報(bào)階段
演練結(jié)束后,召開總結(jié)會(huì)議,總結(jié)本次演練的經(jīng)驗(yàn),反思不足。根據(jù)演練成果分析防護(hù)問題,討論安全建設(shè)方法,輸出攻防演練總結(jié)報(bào)告。
三、攻防演練的價(jià)值
(1) 發(fā)現(xiàn)企業(yè)潛在安全威脅。通過模擬入侵來驗(yàn)證企業(yè)內(nèi)部IT資產(chǎn)是否存在安全風(fēng)險(xiǎn),從而尋求應(yīng)對(duì)措施。
(2) 強(qiáng)化企業(yè)安全意識(shí)。通過攻防演練,提高企業(yè)內(nèi)部協(xié)同處置能力,預(yù)防風(fēng)險(xiǎn)事件的發(fā)生,確保企業(yè)的高度安全性。
(3) 提升團(tuán)隊(duì)能力。通過攻防演練,以實(shí)際網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境為戰(zhàn)場,真實(shí)模擬黑客攻擊行為,防守方通過企業(yè)中多部門協(xié)同作戰(zhàn),實(shí)踐大規(guī)模攻擊情況下的防護(hù)流程及運(yùn)營狀態(tài),提升應(yīng)急處置效率和實(shí)戰(zhàn)能力。
