• 攻防演练-组织沙盘推演的4个阶段.


    组织沙盘推演的4个阶段

    沙盘推演是在实战攻防演练的基础上,在攻击路线、攻击手段等 的有效性被证实的情况下,评估真实网络攻击可能对政企机构及公共 安全产生的影响,包括经济损失、声誉损失和社会影响等;同时,对 攻防过程中应急响应的有效性进行全过程评估。

    传统的实战攻防演练更多关注的是技术和管理层面的安全风险与 攻击有效性,所以沙盘推演并不是其必选阶段。但是,作为安全损失 评估的重要过程,沙盘推演为演练机构进行科学合理的安全规划、安 全建设和安全投入提供了关键性的参考依据。因此,沙盘推演的概念和方法一经提出就备受关注,并在越来越多的实战攻防演练中被吸收 和采纳。
    沙盘推演的整体策划和组织过程分为多个阶段,主要包括以下四个阶段。

    组织策划阶段

    组织策划阶段的主要目的是通过建立推演组织、明确推演目标、 搭建推演平台、确定推演流程和制定推演规则等工作并形成策划方 案,为沙盘推演打下基础。

    建立推演组织

    为保证沙盘推演工作的顺利完成,需要组建沙盘推演工作小组, 其组织架构如图13-1所示。

    图13-1 沙盘推演工作小组组织架构图

    1)指挥组:主要由推演组织单位组成,负责推演工作的指挥协 调、过程策划、人员选定以及规则制定等工作。

    2)攻击组:主要由攻防演练中攻击队人员组成,负责攻击方案制 定、讲解等工作。

    3)防守组:主要由参演企业网络安全人员、业务系统负责人以及 目标企业相关财务、法务和公关人员组成。财务、法务和公关人员的 作用为评估网络攻击对企业业务产生的影响,包括但不限于以下几方 面:

    • 财务人员负责评估模拟攻击可能造成的经济损失; - 法务人员负责评估模拟攻击可能造成的政策监管风险; - 公关人员负责评估模拟攻击可能造成的声誉影响。

    4)专家组:主要由组织单位邀请行业专家和技术专家组成,负责 对推演过程中攻防双方方案的可行性进行点评并打分。

    明确攻击目标

    依据沙盘推演需要达到的目标及影响范围,选定推演拟攻击的目 标系统。一般应优先选择关键业务系统、覆盖多区域的业务专网作为 模拟攻击目标进行推演。

    搭建推演平台

    为了体现推演过程中攻防双方的结果,方便专家组根据评分规则 进行点评,需搭建沙盘推演平台。推演平台可为攻防双方在推演过程 中展示攻防手段,帮助专家组依据评分规则进行评分。

    确定推演流程

    推演阶段是沙盘推演过程中最重要的阶段。推演流程根据不同的 业务场景分为多场推演,每场推演依据不同的攻击方案设定为一轮或 多轮。图13-2为常见的沙盘推演流程。

    图13-2 沙盘推演流程图

    1)攻击组讲解攻击方案。由攻击组结合实战演练结果提供攻击方 案可行性论证,同时说明攻击过程预计投入的时间、人力和物力以及 相关投入的科学性。

    2)防守组向攻击组提问。由防守组对攻击组提出的攻击方案及攻 击思路进行提问和质辩,以确认攻击方案的可行性。

    3)防守组汇报防守方案:防守组针对攻击组提出的攻击方案,提 出可行的防守方案并与攻击组质辩相关方案的可行性。

    4)攻击组补充发言。攻击组根据防守组已经确认的可行性方案, 提出自己将要采取的实际攻击及进一步行动,如数据篡改、窃取、删 除以及攻击范围、攻击效果等。

    5)防守组补充发言。防守组提出自己的应急响应方案,并估算投 入成本,包括投入的时间、人力、物力等。

    6)双方对峙交互双方在对峙过程中进行交互,论证双方投入的时 间、人力、物力的可行性,避免出现理论上可行而实施成本过高的假 设。

    7)专家组点评并评分双方发言结束后,由专家组人员对攻防双方 的表现进行评价并根据打分规则评分。

    8)宣布第一轮评分结果及主要结论,并宣布第一轮推演结束。

    按照以上流程,依据攻击组其他攻击方案开展后面几轮推演工 作,并在多轮推演结束后开展以下工作。

    1)攻击组针对上述两轮推演对防守组提出安全建议。 2)防守组自评。防守组对两轮防守策略、方案、表现进行自评。

    3)专家组点评。综合两轮推演,专家组对攻击组和防守组依据评 分规则使用评分平台对双方进行评分,并给出指导意见。

    4)宣布推演结束。指挥组宣布推演结束。 5)提交报告。攻防双方提交方案报告。

    制定推演规则

    沙盘推演的第一要素是规则,如攻方如何证明攻击路线和攻击手 段的可行性,守方如何证明其应对措施的可行性及可能的响应周期。 攻防双方需共同对评估结果的科学性提供保障。制定规则的目标也是 保证这种结果的科学性,指挥组应依据实际环境制定相应的评分规 则。

    推演周期一般建议为1~2天,单场推演建议不超过3小时。建议攻 击组在推演开始前1小时内向防守组公布攻击方案,因为做好攻击方案 保密工作是最大限度模拟实际攻击过程、检验防守组反应能力的有效 方法。攻防双方推演时间需控制在指定范围内。

    推演准备阶段

    推演准备阶段的主要目的是基于策划方案,依据推演实际环境搭 建演示环境,初步形成推演演示环境,主要工作内容为攻击方案筛 选、推演平台搭建、推演展台搭建、推演人员准备等。

    1. 攻击方案筛选

    推演准备阶段需要攻击组提前提交攻击方案,专家组进行评审并 指导攻击组对方案进行调整与优化,选取优秀方案纳入推演环节。

    1. 推演平台搭建

    依据现场实际场景搭建推演平台,导入攻击组方案形成攻击路线 图,并在推演开始前导入防守组方案,主要用于在防守组质辩过程中 展示防守方案,开通对应专家组账号。

    1. 推演展台搭建

    依据推演模式选择可容纳攻击组、防守组、专家组、指挥组等人 员的场地,根据现场环境的实际情况搭建展示大屏、攻防展台、灯光 等。

    1. 推演人员准备

    1)攻击组人员准备。攻击组人员可为攻防演练阶段蓝队人员或第 三方蓝队人员。攻击组人员需具备蓝队攻击经验,了解防守组网络架 构及安全脆弱点并能够制定专项攻击方案。建议组建2队,每队2~3 人。如涉及第三方蓝队人员,须签订保密协议,并宣贯推演规则。

    2)防守组人员准备。防守组人员由目标系统网络安全人员、业务 系统负责人以及财务、会务和公关人员组成。建议至少组建2组,每组 2~3人。

    3)现场保障人员准备。应由指挥组组建现场保障团队,主要负责 推演现场环境、展示、平台等的运行保障工作。

    4)现场摄制人员准备。如需现场拍摄推演过程,指挥组需组建现 场拍摄团队。

    5)主持人准备。主持人主要负责推演全过程中的现场节奏把控, 由指挥组指定人员担任。

    沙盘推演阶段

    沙盘推演由指挥组依据推演策划内容,协调攻击组与防守组实 施。沙盘推演阶段主要涉及推演过程、评估影响、专家评分等工作。

    1)推演过程。沙盘推演主要由攻防双方根据对应方案展开阐述和 对峙。推演过程中指挥组应确保双方在质辩过程中按规则执行,双方 关注点不跑偏。

    2)评估影响。由评估人员,即防守方财务、会务和公关人员在攻 防双方质辩结束后对推演影响进行评估,并输出攻防双方本次推演的 可行性评估方案及评估损失文档。

    3)专家评分。攻防双方对峙结束后,专家组依据评分规则对攻防 双方方案可行性进行点评和评分。攻击组评分规则主要考量技术水 平、攻击危害性、可行性等方面,防守组评分规则主要考量监测、发 现、应急处置、协调配合等方面。

    4)推演保障。需对现场平台、展台、网络链路进行例行检查,做 好资源保障;确定紧急联系人列表,紧急联系人主要负责推演现场平 台或展台突发故障应急事宜,执行预案,遇到突发事件报告指挥组。

    总结评估阶段

    总结评估阶段的工作目的是对沙盘推演整体过程进行复盘、总结 和汇报。推演结束后,攻击组和防守组需向指挥组提供本次推演的相 关材料,指挥组对这些材料进行评审,并确定后续工作如何开展。

    参考资料

    红蓝攻防构建实战化网络安全防御体系
    青藤云安全 2022攻防演练蓝队防守指南

  • 相关阅读:
    小技巧(12):关于PC端简单的视频剪辑处理中,bandicam(录制)、pr(配音)、pr(导出)、剪映(字幕识别)、pr(最终版导出)的全过程及基础设置
    出口美国的电动自行车UL2849测试和GCC检测标准
    论文精读--Learning Efficient Object Detection Models with Knowledge Distillation
    Stable DIffusion 炫酷应用 | AI嵌入艺术字+光影光效
    matplotlib从起点出发(9)_Tutorial_9_cycler
    React组件进阶--render-props,render props模式的使用步骤,children代替render属性,传递props
    ubuntu下vscode的安装包
    Jsp基础了解(二)
    Qt基础之三十九:Qt Creator调试技巧
    详细讲解前端如何给后端传输数据,后端如何给前端传输数据(java)
  • 原文地址:https://blog.csdn.net/m0_73803866/article/details/127113631