当前位置:网站首页>如何组织一场实战攻防演练

如何组织一场实战攻防演练

2022-07-05 21:40:00 InfoQ

实战攻防演练通常以实际运行的信息系统作为演练目标,通过有监督的攻防对抗,最大限度地模拟真实的网络攻击,以检验信息系统的安全性和运维保障的有效性。演练在保障业务系统安全性的前提下,明确目标系统,不限制攻击路径,以提权、控制业务、获取数据为目的。实战攻防演练包含攻击、防守、组织三方,并配备实战攻防演练平台。组织方负责演练整体工作的组织协调,主要包括以下几部分
:演练组织、演练过程监控、演练技术指导、应急保障、演练总结、防守技术措施与策略优化建议
等。实战攻防演练一般可分为准备、演练、收尾三个阶段。
一、实战攻防演练的组织要素
实战攻防演练的组织要素包括组织单位、技术支撑单位、攻击队、防守队四部分。
  • 组织单位
    负责总体把控、资源协调、演练准备、演练组织、演练总结、落实整改等工作。
  • 技术支撑单位
    由专业安全公司担任,负责提供对应的技术支撑和保障,进行攻防对抗演练环境搭建和攻防演练可视化展示。
  • 攻击队
    一般由多家安全厂商独立组建,每支攻击队一般配备3~5人。在获得授权的前提下,以资产探查、工具扫描和人工渗透为主进行渗透攻击,以获取演练目标系统权限和数据。
  • 防守队
    由来自参演单位、安全厂商等的人员组成,主要负责对防守队所管辖的资产进行防护,尽可能阻止蓝队拿到权限和数据。
二、实战攻防演练的组织形式
从实际需要出发,实战攻防演练的组织形式主要有以下两种。
  • 由国家、行业主管部门、监管机构组织的演练
    。此类演练一般由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业关键信息基础设施和重要系统,组织攻击队及行业内各企事业单位进行网络实战攻防演练。
  • 大型企事业单位自行组织的演练
    。金融企业、运营商、行政机构、事业单位及其他政企单位,针对业务安全防御体系建设有效性的验证需求,组织攻击队及企事业单位进行实战攻防演练。
三、实战攻防演练的组织关键
要保证实战攻防演练顺利实施,关键在于组织工作。关键的组织工作包括确定演练的范围、周期、场地和设备,组建攻防队伍,制定规则,录制视频等多方面。
  • 演练范围
    :优先选择重点(非涉密)关键业务系统及网络。
  • 演练周期
    :结合实际业务开展,一般建议1~2周。
  • 演练场地
    :依据演练规模选择相应的场地,要能够容纳组织单位、攻击队、防守队,且三方场地要分开。
  • 演练设备
    :搭建攻防演练平台、视频监控系统,为攻击方人员配发专用电脑(或提供虚拟攻击终端)等。
  • 攻击队组建
    :选择参演单位自有人员或聘请第三方安全服务商专业人员组建。
  • 防守队组建
    :以各参演单位自有安全技术人员为主,以第三方安全服务商专业人员为辅组建。
  • 演练规则制定
    :演练前明确制定攻击规则、防守规则和评分规则,保障攻防过程有理有据,避免攻击过程对业务运行造成不必要的影响。

实战攻防演练前须制定攻防演练约束措施,规避可能出现的风险,明确提出攻防操作的限定规则,保证攻防演练能够在有限范围内安全开展。
四、实战攻防演练的风险规避措施
  • 演练限定攻击目标系统,不限定攻击路径
演练时,可通过多种路径攻击,不对攻击队所采用的攻击路径进行限定。在攻击路径中发现安全漏洞和隐患,攻击队应将实施的攻击及时向演练指挥部报备,不允许对其进行破坏性的操作,避免影响业务系统正常运行。
  • 除非经授权,演练不允许使用拒绝服务攻击
由于演练在真实环境下开展,为不影响被攻击对象业务的正常开展,除非经演练主办方授权,演练不允许使用SYN Flood、CC等拒绝服务攻击手段。
  • 网页篡改攻击方式的说明
演练只针对互联网系统或重要应用的一级或二级页面进行篡改,以检验防守队的应急响应和侦查、调查能力。演练过程中,攻击队要围绕攻击目标系统进行攻击渗透,在获取网站控制权限后,需先请示演练指挥部,获同意后在指定网页张贴特定图片(由演练指挥部下发)。如目标系统的互联网网站和业务应用防护严密,攻击队可以将与目标系统关系较为密切的业务应用作为渗透目标。
  • 演练禁止采用的攻击方式
实战攻防演练中的攻防手法也有一些禁区。设置禁区的目的是确保通过演练发现的信息系统安全问题真实有效。一般来说,禁止采用的攻击方式主要有三种:1)禁止通过收买防守队人员进行攻击;2)禁止通过物理入侵、截断并监听外部光纤等方式进行攻击;3)禁止采用无线电干扰机等直接影响目标系统运行的攻击方式。
  • 攻击方木马使用要求
木马控制端须使用由演练指挥部统一提供的软件,所使用的木马应不具有自动删除目标系统文件、损坏引导扇区、主动扩散、感染文件、造成服务器宕机等破坏性功能。演练禁止使用具有破坏性和感染性的病毒、蠕虫。
  • 非法攻击阻断及通报
为加强对各攻击队攻击的监测,通过攻防演练平台开展演练全过程的监督、记录、审计和展现,避免演练影响业务正常运行。演练指挥部应组织技术支撑单位对攻击全流量进行记录、分析,在发现不合规攻击行为时阻断非法攻击行为,并转由人工处置,对攻击队进行通报。

原网站

版权声明
本文为[InfoQ]所创,转载请带上原文链接,感谢
https://xie.infoq.cn/article/5346ffa6c820c64fcc45c1ed7

边栏推荐

猜你喜欢

随机推荐