怎样组织一次攻防演练比赛- 前期准备阶段
前期準備階段
要保證實戰攻防演練順利、高效開展,必須提前做好兩項準備工 作:一是資源準備,涉及演練場地、演練平臺、演練人員專用電腦、 視頻監控、演練備案、演練授權、保密協議及規則制定等;二是人員 準備,包括攻擊隊、防守隊的人員選拔與審核,隊伍組建等。
資源準備
1)演練場地布置:演練展示大屏、辦公桌椅、攻擊隊網絡搭建、 演練會場布置等。
2)演練平臺搭建:完成攻防平臺開通、攻擊隊賬戶開通、IP分 配、防守隊賬戶開通,做好平臺運行保障工作。
3)演練人員專用電腦:為演練人員配備專用電腦,安裝安全監控 軟件、防病毒軟件、錄屏軟件等,做好事件回溯機制。
4)視頻監控部署:部署攻防演練場地辦公環境監控,做好物理環 境監控保障。
5)演練備案:演練組織方向上級主管單位及監管機構(公安、網 信等)進行演練備案。
6)演練授權:演練組織方向攻擊隊和平臺提供方進行正式授權, 確保演練工作在授權范圍內有序進行。
7)保密協議:與參與演練工作的第三方人員簽署相關保密協議, 確保信息安全。
8)攻擊規則制定:攻擊規則包括攻擊隊接入方式、攻擊時間、攻 擊范圍、特定攻擊事件報備等,明確禁止使用的攻擊行為,如導致業 務癱瘓、信息篡改、信息泄露、潛伏控制等的動作。防守規則包括防 守時間、防守范圍及明確禁止的防守行為,如直接斷網下線、長時間 或大范圍封禁攻擊IP等。
9)評分規則制定:依據攻擊規則和防守規則制定評分規則。例 如,防守隊評分規則包括發現類、消除類、應急處置類、追蹤溯源 類、演練總結類加分項及減分項等,攻擊隊評分規則包括目標系統、 集權類系統、賬戶信息、關鍵信息系統加分項及減分項等。
人員準備
1)藍隊:組建攻擊隊,確定攻擊隊數量,建議每隊參與人員為3 ~5人,對人員進行技術能力、背景等方面的審核;確定攻擊隊負責人 并構建攻擊隊組織架構,簽訂保密協議;向攻擊人員宣貫攻擊規則及 演練相關要求。
2)紅隊:組建防守隊,確定是全部采用本組織人員作為防守人員 還是請第三方人員加入;對人員進行技術能力、背景等方面的審核, 確定防守方負責人并構建防守方組織架構;與第三方人員簽署保密協 議,向防守人員宣貫防守規則及演練相關要求。
實戰攻防演練階段
演練組織方組織相關單位召開啟動會議,部署實戰攻防演練工 作,對攻防雙方提出明確的工作要求并制定相關約束措施,確定相應 的應急預案,明確演練時間,宣布正式開始演練。
實戰攻防演練啟動會的召開是整個演練過程的開始。啟動會需要 準備好相關領導發言,宣布規則、時間、紀律要求,攻防雙方人員簽 到與鑒別,攻擊隊抽簽分組等工作。啟動會約為30分鐘,確保會議相 關單位及部門領導及人員到位。
演練過程中組織方依據演練策劃內容,協調攻擊隊和防守隊實施 演練,在過程中主要開展演練監控、演練研判、應急處置等工作。
(1)演練監控
演練過程中攻方和守方的實時狀態以及比分情況將通過安全可靠 的方式接入組織方內部的指揮調度大屏,領導、裁判、監控人員可以 隨時指導和視察。全程監控攻擊系統的運行狀態、攻擊人員操作行 為、攻擊成果、防守隊的攻擊發現和響應處置,從而掌握演練全過 程,確保公平、公正、可控。
(2)演練研判
演練過程中對攻擊隊及防守隊的成果進行研判,從攻擊隊及防守 隊的過程結果進行研判評分。對攻擊方的評分機制包括攻擊方對目標 系統攻擊所造成實際危害程度、準確性、攻擊時間長短以及漏洞貢獻
數量等,對防守方的評分機制包括發現攻擊行為、響應流程、防御手
段、防守時間等。從多個角度進行綜合評分,得出攻擊隊及防守隊的 最終得分和排名。
(3)演練處置
演練過程中遇突發事件,防守隊無法有效應對時,演練組織方提 供應急處置人員對防守隊出現的問題進行快速定位、分析、解決,保 障演練系統或相關系統安全穩定運行,實現演練過程安全可控。
(4)演練保障
人員安全保障:演練開始后需要每日讓攻防雙方人員簽到并進行 鑒別,保障參與人員全程一致,避免出現替換人員的現象,保障演練 過程公平、公正。
攻擊過程監控:演練開始后,通過演練平臺監控攻擊人員的操作 行為,并進行網絡全流量監控;通過視頻監控對物理環境及人員全程 監控,并且每日輸出日報,對演練進行總結。
專家研判:聘請專家通過演練平臺開展研判,確認攻擊成果,確 認防守成果,判定違規行為等,對攻擊和防守給出準確的裁決。
攻擊過程回溯:通過演練平臺核對攻擊隊提交的成果與攻擊流 量,發現違規行為及時處理。
信息通告:利用信息交互工具,如藍信平臺,建立指揮群,統一 發布和收集信息,做到信息快速同步。
人員保障:采用身份驗證的方式對攻擊人員進行身份核查,派專 人現場監督,建立應急團隊待命處置突發事件;演練期間派醫務人員 實施醫務保障。
資源保障:每日對設備、系統、網絡鏈路進行例行檢查,做好資 源保障。
后勤保障:安排演練相關人員合理飲食,現場預備食物與水。
突發事件應急處置:確定緊急聯系人列表和執行預案,遇突發事 件報告指揮部,開展應急演練工作。
應急演練階段
在演練過程中,針對參演單位失陷的業務系統,組織攻擊隊和參 演單位進行應急事件處理,目的是通過應急演練,快速恢復業務和檢 驗參演單位的應急響應機制與流程,利用實戰演練環境將演練實戰 化,提升參演單位的應急響應能力和完善應急響應機制。
1)目標:接到事故報警后在服務對象的配合下對異常系統進行初 步分析,確認其是否真正發生信息安全事件,制訂進一步的響應策略 并保留證據。
2)角色:應急服務實施小組成員、樣本分析組、漏洞分析組。 3)內容:
-
檢測范圍及對象的確定;
-
檢測方案的確定;
-
檢測方案的實施;
-
檢測結果的處理。
4)輸出:《應急響應檢查單》。
1)目標:及時采取行動抑制事件擴散,控制潛在的損失與破壞, 同時要確保封鎖方法對相關業務影響最小。
2)角色:應急服務實施小組成員、樣本分析組、漏洞分析組。 3)內容:
-
抑制方案的確定;
-
抑制方案的認可;
-
抑制方案的實施;
-
抑制效果的判定。
4)輸出:《應急處置方案》。
1)目標:對事件進行抑制之后,通過對有關事件或行為的分析, 找出事件根源,明確相應的補救措施并徹底清除。
2)角色:應急服務實施小組成員、樣本分析組、漏洞分析組。 3)內容:
-
根除方案的確定;
-
根除方案的認可;
-
根除方案的實施;
-
根除效果的判定。
4)輸出:《根除處理記錄表》。
1)目標:恢復安全事件所涉及的系統并還原到正常狀態,使業務 能夠正常進行,恢復工作中應避免出現誤操作,導致數據丟失。
2)角色:應急服務實施小組。 3)內容:
- 恢復方案的確定; - 恢復信息系統。
1)目標:通過以上各個階段的記錄表格,回顧安全事件處理的全 過程,整理與事件相關的各種信息,進行總結,并盡可能把所有信息 記錄到文檔中。
2)角色:應急服務實施小組。
3)內容。
-
事故總結。應急服務提供者應及時檢查安全事件處理記錄是否 齊全,是否具備可塑性,并對事件處理過程進行總結和分析。應急處 理總結的具體工作包括但不限于以下幾項:
-
事件發生的現象總結;
-
事件發生的原因分析;
-
系統的損害程度評估;
-
事件損失估計;
-
采取的主要應對措施;
-
相關的工具文檔(如專項預案、方案等)歸檔。
-
事故報告:
-
應急服務提供者應向服務對象提供完備的網絡安全事件處理報告;
-
應急服務提供者應向服務對象提供網絡安全方面的措施和建 議。
演練結束后須做好相關保障工作,如收集報告、清除后門、收回 賬號及權限、回收設備、回收網絡訪問權限、清理演練數據等,確保 后續業務正常運行。相關內容如下。
1)收集報告:收集攻擊隊提交的總結報告和防守方提交的總結報 告并匯總信息。
2)清除后門:依據攻擊隊報告和監控到的攻擊流量,將攻擊方上 傳的后門進行清除。
3)收回賬號及權限:攻擊隊提交報告后,收回攻擊隊所有賬號及 權限,包括攻擊隊在目標系統上新建的賬號。
4)回收設備:對攻擊隊電腦(或虛擬終端)進行格式化處理,清 除過程數據。
5)收回網絡訪問權限:收回攻擊隊的網絡訪問權限。
6)清理演練數據:當主辦方完成演練數據導出后,對平臺側的演 練數據進行清理。
演練總結主要包括參演單位編寫總結報告,評委專家匯總演練成 果,演練全體單位召開總結會議,開展編排演練視頻與開展宣傳工 作。對整個演練進行全面總結,對發現的問題積極整改,開展后期宣 傳工作,體現演練的實用性。
1)成果確認:以攻擊隊提供的攻擊成果確認被攻陷目標的歸屬單 位或部門,落實攻擊成果。
2)數據統計:匯總攻擊隊和防守隊成果,統計攻防數據,進行評
分與排名。
3)總結會議:參演單位進行總結匯報,組織方對演練進行總體評 價,攻擊隊與防守隊進行經驗分享,為成績優異的參演隊伍頒發獎杯 和證書,對問題提出改進建議和整改計劃。
4)視頻編排與宣傳:制作實戰攻防演練視頻,供防守隊在內部播 放與宣傳,提高人員安全意識。
5)整改建議:實戰攻防演練工作完成后,演練組織方組織專業技 術人員和專家,匯總、分析所有攻擊數據,進行充分、全面的復盤分 析,總結經驗教訓,并對不足之處給出合理整改建議,為防守隊提供 具有針對性的詳細過程分析報告,隨后下發參演防守單位,督促整改 并上報整改結果。后續防守隊應不斷優化防護工作模式,循序漸進地 完善安全防護措施,優化安全策略,強化人員隊伍技術能力,整體提 升網絡安全防護水平。
參考資料
紅藍攻防構建實戰化網絡安全防御體系
青藤云安全 2022攻防演練藍隊防守指南
總結
以上是生活随笔為你收集整理的怎样组织一次攻防演练比赛- 前期准备阶段的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 《赠卫八处士》 作者:杜甫
- 下一篇: 让数字内容被平等获取 | Android