1.实战攻防演练
1.1为什么要进行实战攻防演练?
军事上的演练,是除了实战以外最能检验军队战斗力的一种考核方式,他可以模拟面对外部势力的攻击时候,如何更好的去维护国家和主权的安全。同样的,在网络上面,真实环境下的网络攻防演练也是检验一个单位,企业网络防御能力,发现潜在危险最好的方法。
1.政策要求
- 2017年 我国第一部网络安全法《中华人民共和国网络安全法》正式实施。要求关键信息基础设施的运营者定期组织进行网络安全应急演练。
- 2018年 提出"没有网络安全就没有国家安全"。
- 2020年 公安部指出实战化演练的责任化主体和演练目的,即通过实战化比武演练不断提升安全保护能力和对抗能力。
2安全威胁驱动
当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网站平台大规模数据泄露事件频发,生产业务系统安全隐患突出,甚至有的系统长期被控面对高级持续性的网络攻击,防护能力十分欠缺。
目前,我国面临的网络安全威胁主要有以下几点。
1)针对我国重要信息系统的高强度、有组织的攻击威胁形势严峻。
2)工业互联网面临的网络安全威胁加剧。
1.2实战攻防演练的发展现状
1.向规模化演变
在各部门的高度重视下,演练范围越来越广,参演单位数量和涉及行业逐年增多,我国实战攻防演练开始走向规模化。
2.演练规则向成熟化演变
随着演练规模逐渐扩大,演练规则也在逐年完善。对攻击方而言,要尽可能找出系统中存在的所有漏洞,达到让目标系统失陷的目的。对防守方而言,要进行网络安全监测、预警、分析、验证、处置等一系列工作。
3.演练频度向常态化演变
近两年,实战攻防演练逐渐走向常态化,影响力进一步扩大。一年一度的实战演练周期逐渐拉长,从原来的一周两周,到最近几年的一个月两个月,甚至更久。
2.蓝队
蓝队是指网络实战攻防演练中的防守一方,蓝队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演练期间组建的防守队伍。主要工作包括:演练前的安全检查、整改与加固,演练期间的网络安全监测、预警、分析、验证、处置,演练后期复盘和总结现有防护工作中的不足之处。
3.红队
红队是指网络实战攻防演练中的攻击一方,一般会针对目标单位的从业人员以及目标系统所在的网络内的软件、硬件设备执行多角度、全方位、对抗性的混合模拟攻击,通过技术手段实现系统提权、控制业务、获取数据等渗透目标,从而发现系统、技术、人员等方面存在的网络安全隐患或薄弱环节。红队并不是一般意义上的黑客,黑客通常以攻破系统,获取利益为目标,而红队则是以发现系统的薄弱环节、提升系统安全性为目标。此外,对于一般的黑客来说,找到一种攻击方法可以达成目标往往就可以,而对于红队来说,要尽可能找到每一种方法,找到系统中所有的漏洞。
4.紫队
紫队指网络实战攻防演练中的组织方。紫队在攻防演练中,以组织方角色开展演练的整体组织、协调工作,负责演练组织、过程监控、技术指导、应急保障、风险控制、演练总结、技术措施与优化策略建议等各类工作。
5.实战中常见的薄弱环节
1.互联网未知资产或服务大量存在
2.网络及子网内部安全域之间隔离措施不到位
3.互联网应用系统常规漏洞过多
4.互联网敏感信息泄露明显
5.边界设备成为进入内网的缺口
6.内网管理设备成为扩大战果的突破点
7.安全设备自身安全成为新的风险点
8.供应链攻击成为攻击方的重要突破口
9.员工安全意识淡薄是攻击的突破口
10.内网安全检测能力不足