现实世界中,武装部队一直利用兵棋推演进行实战化训练,为潜在的军事冲突做准备。随着当今的数字化转型,同样的概念正在以网络安全演习的形式在组织中得到应用,很多企业每年都会基于合理的网络攻击场景和事件响应做一些测试和模拟。
网络安全演练可以大大的提高组织及时检测、及时响应、迅速溯源以及应对安全威胁的能力,通过精心设计的网络安全演练,能够有效帮助组织主动发现并解决人员、流程和技术中的安全漏洞,减轻真实安全事件发生时的带来的影响。
网络安全演练的几种类型
目前来看,网络安全演练作为一种通过模拟真实网络攻击或安全事件的方式,以期检验组织网络安全防御能力的活动,主要包括以下几个类型:
桌面模拟: 桌面模拟通常是基于”口头上“的演练,无需使用实时基础设施或模拟环境,可以在许多不同的设施中进行,从专门设计的作战室到大型会议室。
数字模拟:这是在模拟或测试环境中进行的集体演练,比桌面模拟更加逼真。然而,鉴于各组织可能缺乏在内部模拟网络攻击的设施、技术和技能,想要做到完全模拟网络攻击可能具有很大的挑战性。
红蓝对抗:指组织模拟对抗时,专门成立一个扮演假想敌的部队(蓝军)与正面部队(红军)进行对抗性演练,一方扮演黑客,另一方扮演防守者进行网络安全攻防演练。在演练过程中,蓝军模拟真实的攻击来评估企业现有防守体系的安全能力,红军对发现的问题做出相应的优化整改。通过周期性的红蓝对抗攻防演习,持续性地提高企业在攻击防护、威胁检测、应急响应方面的能力。
渗透测试:渗透测试的侧重点是利用安全漏洞入侵系统,而不是单纯的评估组织的自身防御能力。
网络钓鱼演习:网络钓鱼演习主要测试员工检测欺诈性通信(电子邮件、短信、电话、网络)、社交工程尝试的能力,以及应对成功攻击的能力。
组织如何设计出高质量的网络安全实战演练?
目前,组织面临着日益频繁和复杂的网络安全威胁,为有效保护企业的信息资产和业务运营,网络安全演习成为了不可或缺的一环,如何才能设计出高质量的网络安全实战演习是很多组织都在思考的问题?不妨可以按照以下步骤来规划和执行:
1. 编写演习手册
演习手册有多种样式,包括行动计划、流程图和故事情节,供参与者使用的信息(如入侵指标、客户投诉、服务台报告、威胁情报或 SOC 警报)以及演习的关键阶段。演习手册以网络攻击场景为基础,由演练”主持人“在整个网络安全演习过程中指导参与者。
2. 确定受众
组织考虑进行哪种类型的网络安全演习之前,必须确定适当的目标受众:受众可包括组织的不同职能、级别和领域,如高管、危机管理、事件响应或操作团队(等等)。受众将决定情景演练的目标、注入内容、讨论领域和故事情节。为受众量身定制这些内容是成功开展演习的关键。
3. 选择演习目标
组织必须为网络安全演习选择合适的目标:目标可包括一种或多种类型的资产,如关键业务应用程序、技术基础设施、物理设备、人员或办公室/工厂地点。
4. 确定成功标准
应在演习前确定并商定成功标准:成功标准应基于组织员工识别武器库中武器的能力,如流程、技术、第三方支持等。此外,组织还有必要对员工在危机情况下的决策能力和对责任的理解能力进行评估。
5. 外行谈战略,内行话后勤
组织在设计网络演习场景之前,控制人员应该评估资源、技能或预算方面的潜在限制,以便开展某些类型的演习。例如,没有合适的人员协助或参与演习,没有合适的环境进行模拟演习。正确指导网络安全演习是确保演习成功的关键因素,经验丰富的指导者将确保关键目标得以实现,受众得到正确管理,并应能够提供即时指导,同时提供从现实事件中获得的相关见解。
6. 设计网络安全演习
在网络安全演习中,可以模拟多种形式的网络攻击,从简单到高度复杂不等:攻击载体的选择将影响演习的设计和运行所需的资源,组织可利用工具来确定哪种类型的攻击最适合受众或行业。
7. 设置舞台
组织应向参与者简要介绍演习的目标:概述目标、日程安排和预计时间框架,并告知参与者测试的范围、适用的协议以及他们可能需要参考的任何重要组织流程(如事件响应程序)。
8. 产生影响
成功的网络演习应是互动的、身临其境的,并最终令人难忘。经验丰富的演练”主持人“,加上有价值且真实的情景(包括特别定制的注射剂),能让观众充分参与演习并实现预期目标。开展安全演习是为了让个人为未来可能发生的危机做好准备,确保演习以专业的方式和真实的情景进行,可以让参与者在真正发生危机时进行回想,并在安全的学习环境中发扬成绩或减少错误。
9. 演练多样化
根据时间、预算、资源或技术环境等限制因素,组织应开展多种类型的演习,以获得多方面的经验。例如,网络钓鱼演习可在任何时间进行,对资源的要求不高;而红蓝队演习则需要一至八周的时间、专门的团队以及访问实时或测试环境的权限。
10. 收集即时反馈
网络安全演习完成后,演练”主持人“应要求参与者讨论演习的优缺点,收集有关安全演习的内容、形式、环境和整体体验的反馈。检查参与者安全及时地发现、调查和应对威胁的能力,演习是否让他们为真实事件做好了准备,以及是否为威胁处理程序提供了足够的指导。
11. 后续行动
组织在收集即时见解和反馈后,应立刻组织人员编写一份报告,以弥补发现的任何不足,在成功的基础上再接再厉,并确保跟踪各项目标。编写报告的同时,还应制定后续行动路线图,以便有条不紊地开展行动,而不会让目标组织对发现的问题不知所措,否则就可能无法采取行动。
参考文章:
https://www.helpnetsecurity.com/2024/04/01/cybersecurity-exercises/