要保证实战攻防演练顺利、高效开展,必须提前做好两项准备工 作:一是资源准备,涉及演练场地、演练平台、演练人员专用电脑、 视频监控、演练备案、演练授权、保密协议及规则制定等;二是人员 准备,包括攻击队、防守队的人员选拔与审核,队伍组建等。
资源准备
1)演练场地布置:演练展示大屏、办公桌椅、攻击队网络搭建、 演练会场布置等。
2)演练平台搭建:完成攻防平台开通、攻击队账户开通、IP分 配、防守队账户开通,做好平台运行保障工作。
3)演练人员专用电脑:为演练人员配备专用电脑,安装安全监控 软件、防病毒软件、录屏软件等,做好事件回溯机制。
4)视频监控部署:部署攻防演练场地办公环境监控,做好物理环 境监控保障。
5)演练备案:演练组织方向上级主管单位及监管机构(公安、网 信等)进行演练备案。
6)演练授权:演练组织方向攻击队和平台提供方进行正式授权, 确保演练工作在授权范围内有序进行。
7)保密协议:与参与演练工作的第三方人员签署相关保密协议, 确保信息安全。
8)攻击规则制定:攻击规则包括攻击队接入方式、攻击时间、攻 击范围、特定攻击事件报备等,明确禁止使用的攻击行为,如导致业 务瘫痪、信息篡改、信息泄露、潜伏控制等的动作。防守规则包括防 守时间、防守范围及明确禁止的防守行为,如直接断网下线、长时间 或大范围封禁攻击IP等。
9)评分规则制定:依据攻击规则和防守规则制定评分规则。例 如,防守队评分规则包括发现类、消除类、应急处置类、追踪溯源 类、演练总结类加分项及减分项等,攻击队评分规则包括目标系统、 集权类系统、账户信息、关键信息系统加分项及减分项等。
人员准备
1)蓝队:组建攻击队,确定攻击队数量,建议每队参与人员为3 ~5人,对人员进行技术能力、背景等方面的审核;确定攻击队负责人 并构建攻击队组织架构,签订保密协议;向攻击人员宣贯攻击规则及 演练相关要求。
2)红队:组建防守队,确定是全部采用本组织人员作为防守人员 还是请第三方人员加入;对人员进行技术能力、背景等方面的审核, 确定防守方负责人并构建防守方组织架构;与第三方人员签署保密协 议,向防守人员宣贯防守规则及演练相关要求。
实战攻防演练阶段
- 演练启动
演练组织方组织相关单位召开启动会议,部署实战攻防演练工 作,对攻防双方提出明确的工作要求并制定相关约束措施,确定相应 的应急预案,明确演练时间,宣布正式开始演练。
实战攻防演练启动会的召开是整个演练过程的开始。启动会需要 准备好相关领导发言,宣布规则、时间、纪律要求,攻防双方人员签 到与鉴别,攻击队抽签分组等工作。启动会约为30分钟,确保会议相 关单位及部门领导及人员到位。
- 演练过程
演练过程中组织方依据演练策划内容,协调攻击队和防守队实施 演练,在过程中主要开展演练监控、演练研判、应急处置等工作。
(1)演练监控
演练过程中攻方和守方的实时状态以及比分情况将通过安全可靠 的方式接入组织方内部的指挥调度大屏,领导、裁判、监控人员可以 随时指导和视察。全程监控攻击系统的运行状态、攻击人员操作行 为、攻击成果、防守队的攻击发现和响应处置,从而掌握演练全过 程,确保公平、公正、可控。
(2)演练研判
演练过程中对攻击队及防守队的成果进行研判,从攻击队及防守 队的过程结果进行研判评分。对攻击方的评分机制包括攻击方对目标 系统攻击所造成实际危害程度、准确性、攻击时间长短以及漏洞贡献
数量等,对防守方的评分机制包括发现攻击行为、响应流程、防御手
段、防守时间等。从多个角度进行综合评分,得出攻击队及防守队的 最终得分和排名。
(3)演练处置
演练过程中遇突发事件,防守队无法有效应对时,演练组织方提 供应急处置人员对防守队出现的问题进行快速定位、分析、解决,保 障演练系统或相关系统安全稳定运行,实现演练过程安全可控。
(4)演练保障
人员安全保障:演练开始后需要每日让攻防双方人员签到并进行 鉴别,保障参与人员全程一致,避免出现替换人员的现象,保障演练 过程公平、公正。
攻击过程监控:演练开始后,通过演练平台监控攻击人员的操作 行为,并进行网络全流量监控;通过视频监控对物理环境及人员全程 监控,并且每日输出日报,对演练进行总结。
专家研判:聘请专家通过演练平台开展研判,确认攻击成果,确 认防守成果,判定违规行为等,对攻击和防守给出准确的裁决。
攻击过程回溯:通过演练平台核对攻击队提交的成果与攻击流 量,发现违规行为及时处理。
信息通告:利用信息交互工具,如蓝信平台,建立指挥群,统一 发布和收集信息,做到信息快速同步。
人员保障:采用身份验证的方式对攻击人员进行身份核查,派专 人现场监督,建立应急团队待命处置突发事件;演练期间派医务人员 实施医务保障。
资源保障:每日对设备、系统、网络链路进行例行检查,做好资 源保障。
后勤保障:安排演练相关人员合理饮食,现场预备食物与水。
突发事件应急处置:确定紧急联系人列表和执行预案,遇突发事 件报告指挥部,开展应急演练工作。
应急演练阶段在演练过程中,针对参演单位失陷的业务系统,组织攻击队和参 演单位进行应急事件处理,目的是通过应急演练,快速恢复业务和检 验参演单位的应急响应机制与流程,利用实战演练环境将演练实战 化,提升参演单位的应急响应能力和完善应急响应机制。
- 检测阶段
1)目标:接到事故报警后在服务对象的配合下对异常系统进行初 步分析,确认其是否真正发生信息安全事件,制订进一步的响应策略 并保留证据。
2)角色:应急服务实施小组成员、样本分析组、漏洞分析组。 3)内容:
-
检测范围及对象的确定;
-
检测方案的确定;
-
检测方案的实施;
-
检测结果的处理。
4)输出:《应急响应检查单》。
- 抑制阶段
1)目标:及时采取行动抑制事件扩散,控制潜在的损失与破坏, 同时要确保封锁方法对相关业务影响最小。
2)角色:应急服务实施小组成员、样本分析组、漏洞分析组。 3)内容:
-
抑制方案的确定;
-
抑制方案的认可;
-
抑制方案的实施;
-
抑制效果的判定。
4)输出:《应急处置方案》。
- 根除阶段
1)目标:对事件进行抑制之后,通过对有关事件或行为的分析, 找出事件根源,明确相应的补救措施并彻底清除。
2)角色:应急服务实施小组成员、样本分析组、漏洞分析组。 3)内容:
-
根除方案的确定;
-
根除方案的认可;
-
根除方案的实施;
-
根除效果的判定。
4)输出:《根除处理记录表》。
- 恢复阶段
1)目标:恢复安全事件所涉及的系统并还原到正常状态,使业务 能够正常进行,恢复工作中应避免出现误操作,导致数据丢失。
2)角色:应急服务实施小组。 3)内容:
- 恢复方案的确定; - 恢复信息系统。
- 总结阶段
1)目标:通过以上各个阶段的记录表格,回顾安全事件处理的全 过程,整理与事件相关的各种信息,进行总结,并尽可能把所有信息 记录到文档中。 2)角色:应急服务实施小组。 3)内容。
-
事故总结。应急服务提供者应及时检查安全事件处理记录是否 齐全,是否具备可塑性,并对事件处理过程进行总结和分析。应急处 理总结的具体工作包括但不限于以下几项:
-
事件发生的现象总结;
-
事件发生的原因分析;
-
系统的损害程度评估;
-
事件损失估计;
-
采取的主要应对措施;
-
相关的工具文档(如专项预案、方案等)归档。
-
事故报告:
-
应急服务提供者应向服务对象提供完备的网络安全事件处理报告;
-
应急服务提供者应向服务对象提供网络安全方面的措施和建 议。
- 演练总结阶段
- 演练恢复
演练结束后须做好相关保障工作,如收集报告、清除后门、收回 账号及权限、回收设备、回收网络访问权限、清理演练数据等,确保 后续业务正常运行。相关内容如下。
1)收集报告:收集攻击队提交的总结报告和防守方提交的总结报 告并汇总信息。
2)清除后门:依据攻击队报告和监控到的攻击流量,将攻击方上 传的后门进行清除。
3)收回账号及权限:攻击队提交报告后,收回攻击队所有账号及 权限,包括攻击队在目标系统上新建的账号。
4)回收设备:对攻击队电脑(或虚拟终端)进行格式化处理,清 除过程数据。
5)收回网络访问权限:收回攻击队的网络访问权限。
6)清理演练数据:当主办方完成演练数据导出后,对平台侧的演 练数据进行清理。
- 演练总结
演练总结主要包括参演单位编写总结报告,评委专家汇总演练成 果,演练全体单位召开总结会议,开展编排演练视频与开展宣传工 作。对整个演练进行全面总结,对发现的问题积极整改,开展后期宣 传工作,体现演练的实用性。
1)成果确认:以攻击队提供的攻击成果确认被攻陷目标的归属单 位或部门,落实攻击成果。
2)数据统计:汇总攻击队和防守队成果,统计攻防数据,进行评
分与排名。
3)总结会议:参演单位进行总结汇报,组织方对演练进行总体评 价,攻击队与防守队进行经验分享,为成绩优异的参演队伍颁发奖杯 和证书,对问题提出改进建议和整改计划。
4)视频编排与宣传:制作实战攻防演练视频,供防守队在内部播 放与宣传,提高人员安全意识。
5)整改建议:实战攻防演练工作完成后,演练组织方组织专业技 术人员和专家,汇总、分析所有攻击数据,进行充分、全面的复盘分 析,总结经验教训,并对不足之处给出合理整改建议,为防守队提供 具有针对性的详细过程分析报告,随后下发参演防守单位,督促整改 并上报整改结果。后续防守队应不断优化防护工作模式,循序渐进地 完善安全防护措施,优化安全策略,强化人员队伍技术能力,整体提 升网络安全防护水平。
参考资料青藤云安全 2022攻防演练蓝队防守指南 青藤云安全 主机安全能力建设指南 2022
