当前位置：网站首页>如何组织一场实战攻防演练

如何组织一场实战攻防演练

2022-07-05 21:40:00 【InfoQ】

实战攻防演练通常以实际运行的信息系统作为演练目标，通过有监督的攻防对抗，最大限度地模拟真实的网络攻击，以检验信息系统的安全性和运维保障的有效性。演练在保障业务系统安全性的前提下，明确目标系统，不限制攻击路径，以提权、控制业务、获取数据为目的。实战攻防演练包含攻击、防守、组织三方，并配备实战攻防演练平台。组织方负责演练整体工作的组织协调，主要包括以下几部分

：演练组织、演练过程监控、演练技术指导、应急保障、演练总结、防守技术措施与策略优化建议

等。实战攻防演练一般可分为准备、演练、收尾三个阶段。

一、实战攻防演练的组织要素

实战攻防演练的组织要素包括组织单位、技术支撑单位、攻击队、防守队四部分。

组织单位
负责总体把控、资源协调、演练准备、演练组织、演练总结、落实整改等工作。

技术支撑单位
由专业安全公司担任，负责提供对应的技术支撑和保障，进行攻防对抗演练环境搭建和攻防演练可视化展示。

攻击队
一般由多家安全厂商独立组建，每支攻击队一般配备3～5人。在获得授权的前提下，以资产探查、工具扫描和人工渗透为主进行渗透攻击，以获取演练目标系统权限和数据。

防守队
由来自参演单位、安全厂商等的人员组成，主要负责对防守队所管辖的资产进行防护，尽可能阻止蓝队拿到权限和数据。

二、实战攻防演练的组织形式

从实际需要出发，实战攻防演练的组织形式主要有以下两种。

由国家、行业主管部门、监管机构组织的演练
。此类演练一般由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业关键信息基础设施和重要系统，组织攻击队及行业内各企事业单位进行网络实战攻防演练。

大型企事业单位自行组织的演练
。金融企业、运营商、行政机构、事业单位及其他政企单位，针对业务安全防御体系建设有效性的验证需求，组织攻击队及企事业单位进行实战攻防演练。

三、实战攻防演练的组织关键

要保证实战攻防演练顺利实施，关键在于组织工作。关键的组织工作包括确定演练的范围、周期、场地和设备，组建攻防队伍，制定规则，录制视频等多方面。

演练范围
：优先选择重点（非涉密）关键业务系统及网络。

演练周期
：结合实际业务开展，一般建议1～2周。

演练场地
：依据演练规模选择相应的场地，要能够容纳组织单位、攻击队、防守队，且三方场地要分开。

演练设备
：搭建攻防演练平台、视频监控系统，为攻击方人员配发专用电脑（或提供虚拟攻击终端）等。

攻击队组建
：选择参演单位自有人员或聘请第三方安全服务商专业人员组建。

防守队组建
：以各参演单位自有安全技术人员为主，以第三方安全服务商专业人员为辅组建。

演练规则制定
：演练前明确制定攻击规则、防守规则和评分规则，保障攻防过程有理有据，避免攻击过程对业务运行造成不必要的影响。

实战攻防演练前须制定攻防演练约束措施，规避可能出现的风险，明确提出攻防操作的限定规则，保证攻防演练能够在有限范围内安全开展。

四、实战攻防演练的风险规避措施

演练限定攻击目标系统，不限定攻击路径

演练时，可通过多种路径攻击，不对攻击队所采用的攻击路径进行限定。在攻击路径中发现安全漏洞和隐患，攻击队应将实施的攻击及时向演练指挥部报备，不允许对其进行破坏性的操作，避免影响业务系统正常运行。

除非经授权，演练不允许使用拒绝服务攻击

由于演练在真实环境下开展，为不影响被攻击对象业务的正常开展，除非经演练主办方授权，演练不允许使用SYN Flood、CC等拒绝服务攻击手段。

网页篡改攻击方式的说明

演练只针对互联网系统或重要应用的一级或二级页面进行篡改，以检验防守队的应急响应和侦查、调查能力。演练过程中，攻击队要围绕攻击目标系统进行攻击渗透，在获取网站控制权限后，需先请示演练指挥部，获同意后在指定网页张贴特定图片（由演练指挥部下发）。如目标系统的互联网网站和业务应用防护严密，攻击队可以将与目标系统关系较为密切的业务应用作为渗透目标。