沙盘推演是在实战攻防演练的基础上,在攻击路线、攻击手段等 的有效性被证实的情况下,评估真实网络攻击可能对政企机构及公共 安全产生的影响,包括经济损失、声誉损失和社会影响等;同时,对 攻防过程中应急响应的有效性进行全过程评估。
传统的实战攻防演练更多关注的是技术和管理层面的安全风险与 攻击有效性,所以沙盘推演并不是其必选阶段。但是,作为安全损失 评估的重要过程,沙盘推演为演练机构进行科学合理的安全规划、安 全建设和安全投入提供了关键性的参考依据。因此,沙盘推演的概念和方法一经提出就备受关注,并在越来越多的实战攻防演练中被吸收 和采纳。
沙盘推演的整体策划和组织过程分为多个阶段,主要包括以下四个阶段。
组织策划阶段
组织策划阶段的主要目的是通过建立推演组织、明确推演目标、 搭建推演平台、确定推演流程和制定推演规则等工作并形成策划方 案,为沙盘推演打下基础。
建立推演组织
为保证沙盘推演工作的顺利完成,需要组建沙盘推演工作小组, 其组织架构如图13-1所示。
图13-1 沙盘推演工作小组组织架构图
1)指挥组:主要由推演组织单位组成,负责推演工作的指挥协 调、过程策划、人员选定以及规则制定等工作。
2)攻击组:主要由攻防演练中攻击队人员组成,负责攻击方案制 定、讲解等工作。
3)防守组:主要由参演企业网络安全人员、业务系统负责人以及 目标企业相关财务、法务和公关人员组成。财务、法务和公关人员的 作用为评估网络攻击对企业业务产生的影响,包括但不限于以下几方 面:
4)专家组:主要由组织单位邀请行业专家和技术专家组成,负责 对推演过程中攻防双方方案的可行性进行点评并打分。
明确攻击目标
依据沙盘推演需要达到的目标及影响范围,选定推演拟攻击的目 标系统。一般应优先选择关键业务系统、覆盖多区域的业务专网作为 模拟攻击目标进行推演。
搭建推演平台
为了体现推演过程中攻防双方的结果,方便专家组根据评分规则 进行点评,需搭建沙盘推演平台。推演平台可为攻防双方在推演过程 中展示攻防手段,帮助专家组依据评分规则进行评分。
确定推演流程
推演阶段是沙盘推演过程中最重要的阶段。推演流程根据不同的 业务场景分为多场推演,每场推演依据不同的攻击方案设定为一轮或 多轮。图13-2为常见的沙盘推演流程。
图13-2 沙盘推演流程图
1)攻击组讲解攻击方案。由攻击组结合实战演练结果提供攻击方 案可行性论证,同时说明攻击过程预计投入的时间、人力和物力以及 相关投入的科学性。
2)防守组向攻击组提问。由防守组对攻击组提出的攻击方案及攻 击思路进行提问和质辩,以确认攻击方案的可行性。
3)防守组汇报防守方案:防守组针对攻击组提出的攻击方案,提 出可行的防守方案并与攻击组质辩相关方案的可行性。
4)攻击组补充发言。攻击组根据防守组已经确认的可行性方案, 提出自己将要采取的实际攻击及进一步行动,如数据篡改、窃取、删 除以及攻击范围、攻击效果等。
5)防守组补充发言。防守组提出自己的应急响应方案,并估算投 入成本,包括投入的时间、人力、物力等。
6)双方对峙交互双方在对峙过程中进行交互,论证双方投入的时 间、人力、物力的可行性,避免出现理论上可行而实施成本过高的假 设。
7)专家组点评并评分双方发言结束后,由专家组人员对攻防双方 的表现进行评价并根据打分规则评分。
8)宣布第一轮评分结果及主要结论,并宣布第一轮推演结束。
按照以上流程,依据攻击组其他攻击方案开展后面几轮推演工 作,并在多轮推演结束后开展以下工作。
1)攻击组针对上述两轮推演对防守组提出安全建议。 2)防守组自评。防守组对两轮防守策略、方案、表现进行自评。
3)专家组点评。综合两轮推演,专家组对攻击组和防守组依据评 分规则使用评分平台对双方进行评分,并给出指导意见。
4)宣布推演结束。指挥组宣布推演结束。 5)提交报告。攻防双方提交方案报告。
制定推演规则
沙盘推演的第一要素是规则,如攻方如何证明攻击路线和攻击手 段的可行性,守方如何证明其应对措施的可行性及可能的响应周期。 攻防双方需共同对评估结果的科学性提供保障。制定规则的目标也是 保证这种结果的科学性,指挥组应依据实际环境制定相应的评分规 则。
推演周期一般建议为1~2天,单场推演建议不超过3小时。建议攻 击组在推演开始前1小时内向防守组公布攻击方案,因为做好攻击方案 保密工作是最大限度模拟实际攻击过程、检验防守组反应能力的有效 方法。攻防双方推演时间需控制在指定范围内。
推演准备阶段
推演准备阶段的主要目的是基于策划方案,依据推演实际环境搭 建演示环境,初步形成推演演示环境,主要工作内容为攻击方案筛 选、推演平台搭建、推演展台搭建、推演人员准备等。
推演准备阶段需要攻击组提前提交攻击方案,专家组进行评审并 指导攻击组对方案进行调整与优化,选取优秀方案纳入推演环节。
依据现场实际场景搭建推演平台,导入攻击组方案形成攻击路线 图,并在推演开始前导入防守组方案,主要用于在防守组质辩过程中 展示防守方案,开通对应专家组账号。
依据推演模式选择可容纳攻击组、防守组、专家组、指挥组等人 员的场地,根据现场环境的实际情况搭建展示大屏、攻防展台、灯光 等。
1)攻击组人员准备。攻击组人员可为攻防演练阶段蓝队人员或第 三方蓝队人员。攻击组人员需具备蓝队攻击经验,了解防守组网络架 构及安全脆弱点并能够制定专项攻击方案。建议组建2队,每队2~3 人。如涉及第三方蓝队人员,须签订保密协议,并宣贯推演规则。
2)防守组人员准备。防守组人员由目标系统网络安全人员、业务 系统负责人以及财务、会务和公关人员组成。建议至少组建2组,每组 2~3人。
3)现场保障人员准备。应由指挥组组建现场保障团队,主要负责 推演现场环境、展示、平台等的运行保障工作。
4)现场摄制人员准备。如需现场拍摄推演过程,指挥组需组建现 场拍摄团队。
5)主持人准备。主持人主要负责推演全过程中的现场节奏把控, 由指挥组指定人员担任。
沙盘推演阶段
沙盘推演由指挥组依据推演策划内容,协调攻击组与防守组实 施。沙盘推演阶段主要涉及推演过程、评估影响、专家评分等工作。
1)推演过程。沙盘推演主要由攻防双方根据对应方案展开阐述和 对峙。推演过程中指挥组应确保双方在质辩过程中按规则执行,双方 关注点不跑偏。
2)评估影响。由评估人员,即防守方财务、会务和公关人员在攻 防双方质辩结束后对推演影响进行评估,并输出攻防双方本次推演的 可行性评估方案及评估损失文档。
3)专家评分。攻防双方对峙结束后,专家组依据评分规则对攻防 双方方案可行性进行点评和评分。攻击组评分规则主要考量技术水 平、攻击危害性、可行性等方面,防守组评分规则主要考量监测、发 现、应急处置、协调配合等方面。
4)推演保障。需对现场平台、展台、网络链路进行例行检查,做 好资源保障;确定紧急联系人列表,紧急联系人主要负责推演现场平 台或展台突发故障应急事宜,执行预案,遇到突发事件报告指挥组。
总结评估阶段
总结评估阶段的工作目的是对沙盘推演整体过程进行复盘、总结 和汇报。推演结束后,攻击组和防守组需向指挥组提供本次推演的相 关材料,指挥组对这些材料进行评审,并确定后续工作如何开展。