沙盘推演具体包括哪些内容
組織沙盤推演的4個階段
沙盤推演是在實戰攻防演練的基礎上,在攻擊路線、攻擊手段等 的有效性被證實的情況下,評估真實網絡攻擊可能對政企機構及公共 安全產生的影響,包括經濟損失、聲譽損失和社會影響等;同時,對 攻防過程中應急響應的有效性進行全過程評估。
傳統的實戰攻防演練更多關注的是技術和管理層面的安全風險與 攻擊有效性,所以沙盤推演并不是其必選階段。但是,作為安全損失 評估的重要過程,沙盤推演為演練機構進行科學合理的安全規劃、安 全建設和安全投入提供了關鍵性的參考依據。因此,沙盤推演的概念和方法一經提出就備受關注,并在越來越多的實戰攻防演練中被吸收 和采納。
沙盤推演的整體策劃和組織過程分為多個階段,主要包括以下四個階段。
組織策劃階段
組織策劃階段的主要目的是通過建立推演組織、明確推演目標、 搭建推演平臺、確定推演流程和制定推演規則等工作并形成策劃方 案,為沙盤推演打下基礎。
建立推演組織
為保證沙盤推演工作的順利完成,需要組建沙盤推演工作小組, 其組織架構如圖13-1所示。
圖13-1 沙盤推演工作小組組織架構圖
1)指揮組:主要由推演組織單位組成,負責推演工作的指揮協 調、過程策劃、人員選定以及規則制定等工作。
2)攻擊組:主要由攻防演練中攻擊隊人員組成,負責攻擊方案制 定、講解等工作。
3)防守組:主要由參演企業網絡安全人員、業務系統負責人以及 目標企業相關財務、法務和公關人員組成。財務、法務和公關人員的 作用為評估網絡攻擊對企業業務產生的影響,包括但不限于以下幾方 面:
- 財務人員負責評估模擬攻擊可能造成的經濟損失; - 法務人員負責評估模擬攻擊可能造成的政策監管風險; - 公關人員負責評估模擬攻擊可能造成的聲譽影響。
4)專家組:主要由組織單位邀請行業專家和技術專家組成,負責 對推演過程中攻防雙方方案的可行性進行點評并打分。
明確攻擊目標
依據沙盤推演需要達到的目標及影響范圍,選定推演擬攻擊的目 標系統。一般應優先選擇關鍵業務系統、覆蓋多區域的業務專網作為 模擬攻擊目標進行推演。
搭建推演平臺
為了體現推演過程中攻防雙方的結果,方便專家組根據評分規則 進行點評,需搭建沙盤推演平臺。推演平臺可為攻防雙方在推演過程 中展示攻防手段,幫助專家組依據評分規則進行評分。
確定推演流程
推演階段是沙盤推演過程中最重要的階段。推演流程根據不同的 業務場景分為多場推演,每場推演依據不同的攻擊方案設定為一輪或 多輪。圖13-2為常見的沙盤推演流程。
圖13-2 沙盤推演流程圖
1)攻擊組講解攻擊方案。由攻擊組結合實戰演練結果提供攻擊方 案可行性論證,同時說明攻擊過程預計投入的時間、人力和物力以及 相關投入的科學性。
2)防守組向攻擊組提問。由防守組對攻擊組提出的攻擊方案及攻 擊思路進行提問和質辯,以確認攻擊方案的可行性。
3)防守組匯報防守方案:防守組針對攻擊組提出的攻擊方案,提 出可行的防守方案并與攻擊組質辯相關方案的可行性。
4)攻擊組補充發言。攻擊組根據防守組已經確認的可行性方案, 提出自己將要采取的實際攻擊及進一步行動,如數據篡改、竊取、刪 除以及攻擊范圍、攻擊效果等。
5)防守組補充發言。防守組提出自己的應急響應方案,并估算投 入成本,包括投入的時間、人力、物力等。
6)雙方對峙交互雙方在對峙過程中進行交互,論證雙方投入的時 間、人力、物力的可行性,避免出現理論上可行而實施成本過高的假 設。
7)專家組點評并評分雙方發言結束后,由專家組人員對攻防雙方 的表現進行評價并根據打分規則評分。
8)宣布第一輪評分結果及主要結論,并宣布第一輪推演結束。
按照以上流程,依據攻擊組其他攻擊方案開展后面幾輪推演工 作,并在多輪推演結束后開展以下工作。
1)攻擊組針對上述兩輪推演對防守組提出安全建議。 2)防守組自評。防守組對兩輪防守策略、方案、表現進行自評。
3)專家組點評。綜合兩輪推演,專家組對攻擊組和防守組依據評 分規則使用評分平臺對雙方進行評分,并給出指導意見。
4)宣布推演結束。指揮組宣布推演結束。 5)提交報告。攻防雙方提交方案報告。
制定推演規則
沙盤推演的第一要素是規則,如攻方如何證明攻擊路線和攻擊手 段的可行性,守方如何證明其應對措施的可行性及可能的響應周期。 攻防雙方需共同對評估結果的科學性提供保障。制定規則的目標也是 保證這種結果的科學性,指揮組應依據實際環境制定相應的評分規 則。
推演周期一般建議為1~2天,單場推演建議不超過3小時。建議攻 擊組在推演開始前1小時內向防守組公布攻擊方案,因為做好攻擊方案 保密工作是最大限度模擬實際攻擊過程、檢驗防守組反應能力的有效 方法。攻防雙方推演時間需控制在指定范圍內。
推演準備階段
推演準備階段的主要目的是基于策劃方案,依據推演實際環境搭 建演示環境,初步形成推演演示環境,主要工作內容為攻擊方案篩 選、推演平臺搭建、推演展臺搭建、推演人員準備等。
推演準備階段需要攻擊組提前提交攻擊方案,專家組進行評審并 指導攻擊組對方案進行調整與優化,選取優秀方案納入推演環節。
依據現場實際場景搭建推演平臺,導入攻擊組方案形成攻擊路線 圖,并在推演開始前導入防守組方案,主要用于在防守組質辯過程中 展示防守方案,開通對應專家組賬號。
依據推演模式選擇可容納攻擊組、防守組、專家組、指揮組等人 員的場地,根據現場環境的實際情況搭建展示大屏、攻防展臺、燈光 等。
1)攻擊組人員準備。攻擊組人員可為攻防演練階段藍隊人員或第 三方藍隊人員。攻擊組人員需具備藍隊攻擊經驗,了解防守組網絡架 構及安全脆弱點并能夠制定專項攻擊方案。建議組建2隊,每隊2~3 人。如涉及第三方藍隊人員,須簽訂保密協議,并宣貫推演規則。
2)防守組人員準備。防守組人員由目標系統網絡安全人員、業務 系統負責人以及財務、會務和公關人員組成。建議至少組建2組,每組 2~3人。
3)現場保障人員準備。應由指揮組組建現場保障團隊,主要負責 推演現場環境、展示、平臺等的運行保障工作。
4)現場攝制人員準備。如需現場拍攝推演過程,指揮組需組建現 場拍攝團隊。
5)主持人準備。主持人主要負責推演全過程中的現場節奏把控, 由指揮組指定人員擔任。
沙盤推演階段
沙盤推演由指揮組依據推演策劃內容,協調攻擊組與防守組實 施。沙盤推演階段主要涉及推演過程、評估影響、專家評分等工作。
1)推演過程。沙盤推演主要由攻防雙方根據對應方案展開闡述和 對峙。推演過程中指揮組應確保雙方在質辯過程中按規則執行,雙方 關注點不跑偏。
2)評估影響。由評估人員,即防守方財務、會務和公關人員在攻 防雙方質辯結束后對推演影響進行評估,并輸出攻防雙方本次推演的 可行性評估方案及評估損失文檔。
3)專家評分。攻防雙方對峙結束后,專家組依據評分規則對攻防 雙方方案可行性進行點評和評分。攻擊組評分規則主要考量技術水 平、攻擊危害性、可行性等方面,防守組評分規則主要考量監測、發 現、應急處置、協調配合等方面。
4)推演保障。需對現場平臺、展臺、網絡鏈路進行例行檢查,做 好資源保障;確定緊急聯系人列表,緊急聯系人主要負責推演現場平 臺或展臺突發故障應急事宜,執行預案,遇到突發事件報告指揮組。
總結評估階段
總結評估階段的工作目的是對沙盤推演整體過程進行復盤、總結 和匯報。推演結束后,攻擊組和防守組需向指揮組提供本次推演的相 關材料,指揮組對這些材料進行評審,并確定后續工作如何開展。
參考資料
紅藍攻防構建實戰化網絡安全防御體系
青藤云安全 2022攻防演練藍隊防守指南
總結
以上是生活随笔為你收集整理的沙盘推演具体包括哪些内容的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 2017-03-16 Codeforc
- 下一篇: H264关于RTP协议的实现