攻防演习紫队第二篇之组织的不同阶段
Posted 星球守护者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了攻防演习紫队第二篇之组织的不同阶段相关的知识,希望对你有一定的参考价值。
文章目录
攻防演习组织的不同阶段
实战攻防演习的组织可分为四个阶段:
组织策划阶段
:此阶段明确演习最终实现的目标, 组织策划演习各项工作,形成可落地、可实施的实战攻防演习方案,并需得到领导层认可。
前期准备阶段
:在已确定实施方案基础上开展资源 和人员的准备,落实人财物。
实战攻防演习阶段
:是整个演习的核心,由组织方 协调攻防两方及其他参演单位完成演习工作,包括演习启动、演习过程、演习保障等。
演习总结阶段
:先恢复所有业务系统至日常运行状 态,再进行工作成果汇总,为后期整改建设提供依据。
0x01 组织策划阶段
- 网络实战攻防演习是否成功,组织策划环节非常关键。
- 组织策划阶段主要从
建立演习组织
、确定演习目 标
、制定演习规则
、确定演习流程
、搭建演习平台
、应急保障措施
这六个方面
进行合理规划、精心编排, 这样才能指导后续演习工作开展。
一、建立演习组织
为确保攻防演习工作顺利进行,成立实战攻防演习 工作组及各参演小组,组织架构通常如下:
(1)攻击组(红队)
由参演单位及安全厂商攻击人员构成,一般由攻防渗透人员
、代码审计人员
、内网攻防渗透人员
等技术人员组成。负责对演习目标实施攻击。
(2) 防守组
由各个防护单位运维技术人员
和安全运营人员组 成
,负责监测演习目标,发现攻击行为
,遏制
攻击行 为,进行响应处置
。
(3) 技术支撑组
其职责是攻防过程整体监控
,主要工作为攻防过 程中实时状态监控
、阻断处置操作
等,保障攻防演习 过程安全、有序开展。
演习组织方,即紫队需要负责演习环境运維,维护演习IT环境和演习监控平台正常运行
。
(4) 监督评价组
由攻防演习主导单位组织形成专家组
和裁判组
,负 责攻防演习过程中巡查各个攻击小组,即红队的攻击 状态,监督攻击行为是否符合演习规则,并对攻击效 果进行评价。
专家组
负责对演习整体方案进行研究, 在演习过程中对攻击效果进行总体把控,对攻击成果 进行研判,保障演习安全可控
。
裁判组
负责在演习过 程中对攻击状态和防守状态进行巡查,对攻击方操作 进行把控,对攻击成果判定相应分数,依据公平、公 正原则对参演攻击队
和防守单位给予排名
。
(5)组织保障组
由演习组织方指定工作人员组成,负责演习过程中 协调联络
和后勤保障
等相关事宜,包括演习过程中应急响应保障
、演习场地保障
、演习过程中视频采集
等工作。
二、确定演习目标
依据实战攻防演习需要达到的演习效果
,对参演单位业务和信息系统全面梳理,可以由演习组织方选定 或由参演单位上报,最终选取确认演习目标系统。
通常会选择关键信息基础设施
、重要业务系统
、门户网站
等作为演习首选
目标。
三、制定演习规则
依据演习目标结合实际演习场景,细化攻击规则、 防守规则和评分规则。为了鼓励和提升防守单位防守 技术能力,可以适当增加防守方反击得分规则。
演习时间
:通常为工作日5x8小时,组织单位视情 况还可以安排为7x24小时。
沟通方式
:即时通信软件、邮件、电话等。
四、确定演习流程
实战攻防演习正式开始后的流程一般如图所示:
(1) 确认人员就位
确认红队人员
以及攻防演习组织方
、防守组人员
按要求到位。
(2) 确认演习环境
攻击组与技术支撑组确认演习现场
和演习平台
准备就绪。
(3) 确认准备工作
防守组
确认参演系统备份
情况,目标系统
是否正 常,并已做好相关备份
工作。
(4) 演习开始
各方确认准备完毕,演习正式开始
。
(5) 攻击组实施攻击
红队对目标系统开展网络攻击
,记录
攻击过程和成果证据
。
(6) 防守组监测攻击
防守组可利用安全设备对网络攻击进行监测
,对发现的攻击行为进行分析确认
,详细记录监测数据
。
(7) 提交成果
演习过程中,红队人员发现可利用安全
漏洞,将获 的权限和成果截图保存,通过平台进行提交。
(8) 漏洞确认及研判
由专家组对提交的漏洞进行确认,确认漏洞的真实性
,并根据演习计分规则进行分数评判。
(9) 攻击结束
在演习规定时间外
,攻击组人员停止
对目标系统的 攻击。
(10) 成果总结
演习工作组协调各参演小组,对演习中产生的成果、问题、数据进行汇总,输出
相关演习总结报告
。
(11) 资源回收
由演习工作组负责对各类设备
、网络资源进行回收
,同时对相关演习数据进行回收处理,并监督攻击 组人员对在演习过程中使用的木马、脚本等数据进行清除
。
(12) 演习结束
对所有目标系统攻击结束后,工作小组还需要进行内部总结汇报
,演习结束
。
五、搭建演习平台
为了保证演习过程安全可靠,需搭建攻防演习平 台,演习平台包括:攻击场地
、防守场地
、攻击目标 信息系统
、指挥大厅
、攻击行为分析中心
。
(1) 攻击场地
- 攻击场地可分为
场内攻击
和场外攻击
,搭建专用的网络环境
并配以充足的攻击资源
。 - 正式攻击阶段,攻击小组在对应场所内实施
真实性
网络攻击。 - 场地内部署攻防
演习监控系统
,协助技术专家监控攻击行为和流量,以确保演习中攻击的安全可控
。
(2) 防守场地
- 防守场地主要是
防守方演习环境
,可通过部署视频 监控系统
将防守工作环境视频回传指挥中心。
(3) 攻击目标信息系统
- 攻击目标信息系统即防守方
网络资产系统
。 - 防守方 在被攻击系统开展相应的
防御工作
。
(4) 攻击行为分析中心
- 攻击行为分析中心通过部署
网络安全审计设备
对攻 击者攻击行为进行收集及分析,实时监控攻击过程
, 由日志分析得出攻击步骤
,建立完整的攻击场景
,直 观地反应目标主机受攻击
的状况,并通过可视化大屏
实时展现。
(5) 指挥大厅
- 演习过程中,攻方和守方的实时状态将接入到指挥 大厅
监控大屏
,领导可以随时进行指导
、视察。
六、应急保障措施
- 指攻防演习中发生不可控突发事件,导致演习过程中断、终止时,所需要采取的处置
措施预案
- 需要预 先对可能发生的
紧急事件
(如断电,断网,业务停顿 等)做出临时处置安排措施
。 - 攻防演习中一旦参演系统出现问题,防守方应采取
临时处置安排措施
,及时
向指挥部报告
,由指挥部
通知红队在第一时间停止攻击
。 - 指挥部应组织攻、防双方制定攻击演习
应急相应预案
,具体应急响应预案在演习实施方案中完善
。
0x02 前期准备阶段
实战攻防演习能否顺利、高效开展,必须提前做好 两项准备工作,
一是资源准备
,涉及到场地、演习平 台、演习设备、演习备案、演习授权、保密工作以及 规则制定等;
二是人员准备
,包括攻击人员、防守人 员的选拔、审核和队伍组建等。
1、资源准备
演习场地布置
:演习展示大屏、办公桌椅、攻击队 网络搭建、演习会场布置等;
演习平台搭建
:攻防平台开通、攻击方账户开 通、IP分配、防守方账户开通,做好平台运行保障工 作;
演习人员专用电脑
:配备专用电脑,安装安全监控 软件、防病毒软件、录屏软件等,做好事件回溯机制;
视频监控部署
:部署攻防演习场地办公环境监控, 做好物理环境监控保障;
演习备案
:演习组织方向上级主管单位及监管机构 (公安、网信等)进行演习备案;
演习授权
:演习组织方向攻击队进行正式授权,确 保演习工作在授权范围内有序进行;
保密协议
:与参与演习工作的第三方人员签署相关 保密协议,确保信息安全;
攻击规则制定
:攻击规则包括攻击队接入方式、攻 击时间、攻击范围、特定攻击事件报备等,明确禁止 使用的攻击行为,如;导致业务瘫痪、信息篡改、信 息泄露、潜伏控制等动作;
评分规则制定
:依据攻击规则和防守规则,制定相 应评分规则。例如,防守方评分规则包括:发现类、 消除类、应急处置类、追踪溯源类、演习总结类加分 项以及减分项等;攻击方评分规则包括:目标系统、 集权类系统、账户信息、重要关键信息系统加分以及 违规减分项等。
2、人员准备
红队
:组建攻击队,确定攻击队数量,每队参与人 员数量建议3-5人、对人员进行技术能力、背景等方面 审核,确定防守方负责人并构建攻击方组织架构,签 订保密协议;向攻击人员宣贯攻击规则及演习相关要 求。
蓝队
:组建防守队,确定采用本组织人员作为防守 人员,或请第三方人员加入,对人员进行技术能力、 背景等方面审核,确定防守方负责人并构建防守方组 织架构。第三方人员签署保密协议,向防守方宣贯防 守规则及演习相关要求。
0x03 实战攻防演习阶段
一、演习启动
- 演习组织方组织相关单位召开启动会议,部署实 战攻防演习工作,对攻防双方提出
明确工作要求
、制 定相关约束措施
,确定相应的应急预案
,明确演习时 间
,宣布正式开始演习
。 - 实战攻防演习启动会的召开是整个演习过程的开 始,启动会需要准备好相关领导发言,
宣布规则、时 间、纪律要求,攻防方人员签到与鉴别
,攻击方抽签 分组等工作。 - 启动会约为30分钟,确保会议
相关单位及部门领导及人员
到位。
二、演习过程
- 演习过程中组织方依据演习策划内容,协调攻击方和防守方实施演习,在过程中开展包括
演习监控
、演 习研判
、应急处置
等主要工作。
(1) 演习监控
- 演习过程中攻方和守方的实时状态以及比分状况 将通过安全可靠的方式接入到组织方内部的指挥调度 大屏,领导、裁判、监控人员可以随时进行指导、视 察。
- 全程对被攻击系统的运行状态进行监控,对攻击 人员操作行为进行监控,对攻击成果进行监控,对防 守方攻击发现、响应处置进行监控,掌握演习全过 程,达到公平、公正、可控的实战攻防演习。
(2) 演习研判
- 演习过程中对攻击方及防守方成果进行研判,从 攻击方及防守方的过程结果进行研判评分。
- 对攻击方 的评分机制包括:攻击方对目标系统攻击所造成实际 危害程度、准确性、攻击时间长短以及漏洞贡献数量 等,
- 对防守方的评分机制包括:发现攻击行为、响应 流程、防御手段、防守时间等。
- 通过多个角度进行综 合评分,从而得出攻击方及防守方最终得分和排名。
(3) 演习处置
- 演习过程中如遇突发事件,防守方无法有效应对 时,由演习组织方提供应急处置人员对防守方出现的 问题快速定位、分析、恢复保障演习系统或相关系统安全稳定运行,实现演习过程安全可控。
(4)演习保障
人员安全保障
:演习开始后需要每日对攻防方人员 签到与鉴别,保障参与人员全程一致,避免出现替换 人员的现象,保障演习过程公平、公正;攻击过程监控
:演习开始后,通过演习平台监控攻 击人员的操作行为,并进行网络全流量监控;通过视 频监控对物理环境及人员全程监控,并且每日输出日 报,对演习进行总结;专家研判
:聘请专家裁判通过演习平台开展研判, 确认攻击成果,确认防守成果,判定违规行为等,对 攻击和防守给出准确的裁决;攻击过程回溯:通过演习平台核对攻击方提交成果 与攻击流量,发现违规行为及时处理;信息通告
:利用信息交互工具,如蓝信平台,建立 指挥群统一发布和收集信息,做到信息快速同步;人员保障
:采用身份验证的方式对攻击方人员进行 身份核查,派专人现场监督,建立应急团队待命处置 突发事件,演习期间派医务人员实施医务保障;资源保障
:对设备、系统、网络链路每日例行检 查,做好资源保障;后勤保障
:安排演习相关人员合理饮食、现场预备 食物与水;突发事件应急处置
:确定紧急联系人列表,执行预 案,突发事件报告指挥部。
0x04 应急演练阶段
在演习过程中,针对参演单位失陷的业务系统,组织攻击队和参演单位进行应急事件处理,目的是通过应急演练
,快速恢复业务和检验参演单位应急响应机制与流程
,利用实战演习环境,将演练实战化,提升
参演单位应急响应能力
和完善应急响应机制
。
一、检测阶段
(1)目标
- 接到事故报警后在服务对象的配合下对
异常的系统
进行初步分析,确认其是否真正发生了信息安全事件,制定进一步的响应策略
,并保留证据
。
(2)角色
应急服务实施小组成员
、样本分析组
、漏洞分析组
。
(3)内容
- a)检测范围及对象的确定
- b)检测方案的确定
- c)检测方案的实施
- d)检测结果的处理
(4)输出
撰写完成《应急响应检查单》
。
二、抑制阶段
(1)目标
- 及时采取行动限制事件扩散和影响的范围,
限制潜在的损失与破坏
,同时要确保封锁方法对涉及相关业务影响最小。
(2)角色
应急服务实施小组成员
、样本分析组
、漏洞分析组
。
(3)内容
- a)抑制方案的确定
- b)抑制方案的认可
- C)抑制方案的实施
- d)抑制效果的判定
(4)输出
撰写完成《应急处置方案》
。
三、根除阶段
(1)目标
- 对事件进行抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。
(2)角色
- 应急服务实施小组成员、样本分析组、漏洞分析组。
(3)内容
- a)根除方案的确定
- b)根除方案的认可
- C)根除方案的实施
- d)根除效果的判定
(4)输出
撰写完成《根除处理记录表
》。
四、恢复阶段
(1)目标
- 恢复安全事件所涉及的系统,并还原到
正常状态
,使业务
能够正常进行,恢复工作应避免出现误操作导致数据的丢失。
(2)角色
- 应急服务实施小组。
(3)内容
- a)
恢复方案
的确定 - b)恢复
信息系统
五、总结阶段
(1)目标
- 通过以上各个阶段的记录表格,回顾
安全事件处理
的全过程,整理与事件相关的各种信息,进行总结,并尽可能地把所有信息记录
到文档中。
(2)角色
- 应急服务实施小组。
(3)内容
- a)事故总结
应急服务实施小组应及时检查安全事件处理记录是否齐全,是否具备可塑性,并对事件处理过程进行总结和分析。
应急处理总结的具体工作包括但不限于:事件发生的现象总结
、事件发生的原因分析
、系统的损害程度评估
、事件损失估计
、采取的主要应对措施
相关的工具文档(如专项预案、方案等)归档。 - b)事故报告
应急服务实施小组应向服务对象提供完备的网络安全事件处理报告
、网络安全方面的措施和建议
。
0x05 演习总结阶段
一、演习恢复
演习结束需做好相关保障工作,如收集报告
、清 除后门
、回收账户及权限
、设备回收
、网络恢复
等工 作,确保后续正常业务运行稳定。相关内容如下:
(1)收集报告
- 收集攻击方提交的总结报告和防守方提交的总结
报 告并汇总
信息。
(2)清除后门
- 依据攻击方报告和监控到的
攻击流量
,将攻击方上 传的后门进行清除
。
(3) 账号及权限回收
- 攻击方提交报告后,
收回
攻击方所有账号及权限, 包括攻击方在目标系统上新建的账号
。
(4) 攻击方电脑回收
- 对攻击方电脑进行
格式化处理
,清除
过程数据。
(5) 网络访问权限回收
* 收回
攻击方网络访问权限。
二、演习总结
演习总结主要包括由参演单位
编写总结报告,评 委专家
汇总演习成果,演习全体单位
召开总结会议, 演习视频
编排与宣传
工作的开展。
对整个演习进行全 面总结
,对发现问题积极开展整改
,开展后期宣传
工 作,体现演习的实用性
。
(1)成果确认
- 以攻击方提供的攻击成果确认被攻陷目标的归属单 位或部门,
落实攻击成果
。
(2) 数据统计
- 汇总攻防方和防守方成果,统计
攻防数据
,进行评 分与排名。
(3) 总结会议
- 参演单位进行
总结汇报
,组织方对演习进行总体评 价
,攻防方与防守方进行经验分享
,对成绩优异的参 演队伍颁发奖杯和证书,对问题提出改进建议和整改 计划。
(4) 视频汇报与宣传
- 制作实战攻防演习视频,供防守方在
内部
播放宣 传,提高
人员安全意识
。
三、整改建议
- 实战攻防演习工作完成后,演习组织方组织
专业 技术人员
和专家
,汇总、分析所有攻击数据
,进行充分、全面的复盘分析
,总结经验教训
,并对不足之处 给出合理整改建议
, - 为防守方提供具有针对性的
详细 过程分析报告
,随后下发
参演防守单位,督促
整改并 上报整改结果。 - 后续防守方应
不断优化
防护工作模式,循序渐进
完善安全防护措施,优化安全策略,强 化人员
队伍技术能力,整体提升
网络安全防护水平。
摘抄
善于反思的人
,
能够及时修正自己
。
在反思中领悟
,
在改变中提升
,
才能不断进步
。
-----------《善于反思》
以上是关于攻防演习紫队第二篇之组织的不同阶段的主要内容,如果未能解决你的问题,请参考以下文章