2024HW紫隊視角下的實戰(zhàn)攻防演習(xí)組織

2024HW紫隊視角下的實戰(zhàn)攻防演習(xí)組織 第一 什么是紫隊 第二 實戰(zhàn)攻防演習(xí)組織的四個階段 第三 實戰(zhàn)攻防演習(xí)風(fēng)險規(guī)避措施 第一 什么是紫習(xí)的整體組織協(xié)調(diào)工作，負(fù)責(zé)演習(xí)組織、過程監(jiān)控、技術(shù)指導(dǎo)、應(yīng)急保障、演習(xí)總結(jié)、技術(shù)措施與策略優(yōu)防守，目的是通過演習(xí)檢驗參演單位安全威脅應(yīng)對能力、攻擊事件檢測發(fā)現(xiàn)能力、事件分析研判能力和事單位、演習(xí)技術(shù)支撐單位、攻擊隊伍（即紅隊）、防

撐和保障，實現(xiàn)攻防對抗演習(xí)環(huán)境搭建和攻防演習(xí)可攻擊隊伍，也即紅隊，一般由多家安全廠商獨立組隊，每支攻擊隊一般配備3-5人。在獲得授權(quán)前提下，以資產(chǎn)探查、工具掃描和人工滲透為主進(jìn)行滲透員組成，主要負(fù)責(zé)對防守方所管轄的資產(chǎn)進(jìn)行防護(hù)，此類演習(xí)一般由各級公安機關(guān)、各級網(wǎng)信部門、政府、金融、交通、衛(wèi)生、教育、電力、運營商等國家、行業(yè)主管部門或監(jiān)管機構(gòu)組織開展。針對行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施和重要系統(tǒng)，組織攻擊隊以及行業(yè)內(nèi)單位及其他政企單位，針對業(yè)務(wù)安全防御體系建設(shè)有效性的驗證需求，組織攻擊隊以及企事業(yè)單位進(jìn)行實實戰(zhàn)攻防演習(xí)得以成功實施，組織工作包括：演習(xí)范圍、周期、場地、設(shè)備、攻防隊伍組建、規(guī)則制演習(xí)周期：結(jié)合實際業(yè)務(wù)開展，一般建議1-2防守隊組建：以各參演單位自有安全技術(shù)人員為主，聘請第三方安全服務(wù)商專業(yè)人員為輔構(gòu)建防守隊則和評分規(guī)則，保障攻防過程有理有據(jù)，避免攻擊過匯報材料以及網(wǎng)絡(luò)安全教育素材，內(nèi)容包括：演習(xí)工作準(zhǔn)備、攻擊隊攻擊過程、防守隊防守過程以及裁判第二 實戰(zhàn)攻防演習(xí)組織的四個階組織策劃演習(xí)各項工作，形成可落地、可實施的實戰(zhàn)協(xié)調(diào)攻防兩方及其他參演單位完成演習(xí)工作，包括演鍵。組織策劃階段主要從建立演習(xí)組織、確定演習(xí)目標(biāo)、制定演習(xí)規(guī)則、確定演習(xí)流程、搭建演習(xí)平臺、應(yīng)急保障措施這六個方面進(jìn)行合理規(guī)劃、精心編排，攻擊組（紅隊滲透人員、代碼審計人員、內(nèi)網(wǎng)攻防滲透人員等技術(shù)由各個防護(hù)單位運維技術(shù)人員和安全運營人員組成，負(fù)責(zé)監(jiān)測演習(xí)目標(biāo)，發(fā)現(xiàn)攻擊行為，遏制攻擊行其職責(zé)是攻防過程整體監(jiān)控，主要工作為攻防過程中實時狀態(tài)監(jiān)控、阻斷處置操作等，保障攻防演習(xí)過程安全、有序開展。演習(xí)組織方，即紫隊需要負(fù)責(zé)責(zé)攻防演習(xí)過程中巡查各個攻擊小組，即紅隊的攻擊狀態(tài)，監(jiān)督攻擊行為是否符合演習(xí)規(guī)則，并對攻擊效果進(jìn)行評價。專家組負(fù)責(zé)對演習(xí)整體方案進(jìn)行研究，在演習(xí)過程中對攻擊效果進(jìn)行總體把控，對攻擊成果進(jìn)行研判，保障演習(xí)安全可控。裁判組負(fù)責(zé)在演習(xí)過程中對攻擊狀態(tài)和防守狀態(tài)進(jìn)行巡查，對攻擊方操作進(jìn)行把控，對攻擊成果判定相應(yīng)分?jǐn)?shù)，依據(jù)公平、公協(xié)調(diào)聯(lián)絡(luò)和后勤保障等相關(guān)事宜，包括演習(xí)過程中應(yīng)急響應(yīng)保障、演習(xí)場地保障、演習(xí)過程中視頻采集等位業(yè)務(wù)和信息系統(tǒng)全面梳理，可以由演習(xí)組織方選定或由參演單位上報，最終選取確認(rèn)演習(xí)目標(biāo)系統(tǒng)。通常會選擇關(guān)鍵信息基礎(chǔ)設(shè)施、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)防守規(guī)則和評分規(guī)則。為了鼓勵和提升防守單位防守防守組確認(rèn)參演系統(tǒng)備份情況，目標(biāo)系統(tǒng)是否正演習(xí)工作組協(xié)調(diào)各參演小組，對演習(xí)中產(chǎn)生的成由演習(xí)工作組負(fù)責(zé)對各類設(shè)備、網(wǎng)絡(luò)資源進(jìn)行回收，同時對相關(guān)演習(xí)數(shù)據(jù)進(jìn)行回收處理，并監(jiān)督攻擊組人員對在演習(xí)過程中使用的木馬、腳本等數(shù)據(jù)進(jìn)行為了保證演習(xí)過程安全可靠，需搭建攻防演習(xí)平臺，演習(xí)平臺包括：攻擊場地、防守場地、攻擊目標(biāo)網(wǎng)絡(luò)環(huán)境并配以充足的攻擊資源。正式攻擊階段，攻擊小組在對應(yīng)場所內(nèi)實施真實性網(wǎng)絡(luò)攻擊。場地內(nèi)部署攻防演習(xí)監(jiān)控系統(tǒng)，協(xié)助技術(shù)專家監(jiān)控攻擊行為和擊者攻擊行為進(jìn)行收集及分析，實時監(jiān)控攻擊過程，由日志分析得出攻擊步驟，建立完整的攻擊場景，直觀地反應(yīng)目標(biāo)主機受攻擊的狀況，并通過可視化大屏中斷、終止時，所需要采取的處置措施預(yù)案。需要預(yù)先對可能發(fā)生的緊急事件（如斷電，斷網(wǎng)，業(yè)務(wù)停頓等）做出臨時處置安排措施。攻防演習(xí)中一旦參演系統(tǒng)出現(xiàn)問題，防守方應(yīng)采取臨時處置安排措施，及時向指揮部報告，由指揮部通知紅隊在第一時間停止攻擊。指揮部應(yīng)組織攻、防雙方制定攻擊演習(xí)應(yīng)急相應(yīng)兩項準(zhǔn)備工作，一是資源準(zhǔn)備，涉及到場地、演習(xí)平臺、演習(xí)設(shè)備、演習(xí)備案、演習(xí)授權(quán)、保密工作以及規(guī)則制定等；二是人員準(zhǔn)備，包括攻擊人員、防守人演習(xí)平臺搭建：攻防平臺開通、攻擊方賬戶開通、IP分配、防守方賬戶開通，做好平臺運行保障工（公安、網(wǎng)信等）擊時間、攻擊范圍、特定攻擊事件報備等，明確禁止使用的攻擊行為，如；導(dǎo)致業(yè)務(wù)癱瘓、信息篡改、信應(yīng)評分規(guī)則。例如，防守方評分規(guī)則包括：發(fā)現(xiàn)類、消除類、應(yīng)急處置類、追蹤溯源類、演習(xí)總結(jié)類加分項以及減分項等；攻擊方評分規(guī)則包括：目標(biāo)系統(tǒng)、集權(quán)類系統(tǒng)、賬戶信息、重要關(guān)鍵信息系統(tǒng)加分以及審核，確定防守方負(fù)責(zé)人并構(gòu)建攻擊方組織架構(gòu)，簽訂保密協(xié)議；向攻擊人員宣貫攻擊規(guī)則及演習(xí)相關(guān)要人員，或請第三方人員加入，對人員進(jìn)行技術(shù)能力、背景等方面審核，確定防守方負(fù)責(zé)人并構(gòu)建防守方組織架構(gòu)。第三方人員簽署保密協(xié)議，向防守方宣貫防演習(xí)組織方組織相關(guān)單位召開啟動會議，部署實戰(zhàn)攻防演習(xí)工作，對攻防雙方提出明確工作要求、制定相關(guān)約束措施，確定相應(yīng)的應(yīng)急預(yù)案，明確演習(xí)時實戰(zhàn)攻防演習(xí)啟動會的召開是整個演習(xí)過程的開始，啟動會需要準(zhǔn)備好相關(guān)領(lǐng)導(dǎo)發(fā)言，宣布規(guī)則、時間、紀(jì)律要求，攻防方人員簽到與鑒別，攻擊方抽簽分組等工作。啟動會約為30分鐘，確保會議相關(guān)單位及部門領(lǐng)導(dǎo)及人員到位。和防守方實施演習(xí)，在過程中開展包括演習(xí)監(jiān)控、演演習(xí)過程中攻方和守方的實時狀態(tài)以及比分狀況將通過安全可靠的方式接入到組織方內(nèi)部的指揮調(diào)度大屏，領(lǐng)導(dǎo)、裁判、監(jiān)控人員可以隨時進(jìn)行指導(dǎo)、視察。全程對被攻擊系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)控，對攻擊人員操作行為進(jìn)行監(jiān)控，對攻擊成果進(jìn)行監(jiān)控，對防守方攻擊發(fā)現(xiàn)、響應(yīng)處置進(jìn)行監(jiān)控，掌握演習(xí)全過演習(xí)過程中對攻擊方及防守方成果進(jìn)行研判，從攻擊方及防守方的過程結(jié)果進(jìn)行研判評分。對攻擊方的評分機制包括：攻擊方對目標(biāo)系統(tǒng)攻擊所造成實際危害程度、準(zhǔn)確性、攻擊時間長短以及漏洞貢獻(xiàn)數(shù)量等，對防守方的評分機制包括：發(fā)現(xiàn)攻擊行為、響應(yīng)流程、防御手段、防守時間等。通過多個角度進(jìn)行綜演習(xí)過程中如遇突發(fā)事件，防守方無法有效應(yīng)對時，由演習(xí)組織方提供應(yīng)急處置人員對防守方出現(xiàn)的問題快速定位、分析、恢復(fù)保障演習(xí)系統(tǒng)或相關(guān)系統(tǒng)簽到與鑒別，保障參與人員全程一致，避免出現(xiàn)替換擊人員的操作行為，并進(jìn)行網(wǎng)絡(luò)全流量監(jiān)控；通過視頻監(jiān)控對物理環(huán)境及人員全程監(jiān)控，并且每日輸出日確認(rèn)攻擊成果，確認(rèn)防守成果，判定違規(guī)行為等，對身份核查，派專人現(xiàn)場監(jiān)督，建立應(yīng)急團隊待命處置資源保障：對設(shè)備、系統(tǒng)、網(wǎng)絡(luò)鏈路每日例行檢演習(xí)結(jié)束需做好相關(guān)保障工作，如收集報告、清除后門、回收賬戶及權(quán)限、設(shè)備回收、網(wǎng)絡(luò)恢復(fù)等工演習(xí)總結(jié)主要包括由參演單位編寫總結(jié)報告，評委專家匯總演習(xí)成果，演習(xí)全體單位召開總結(jié)會議，演習(xí)視頻編排與宣傳工作的開展。對整個演習(xí)進(jìn)行全面總結(jié)，對發(fā)現(xiàn)問題積極開展整改，開展后期宣傳工價，攻防方與防守方進(jìn)行經(jīng)驗分享，對成績優(yōu)異的參演隊伍頒發(fā)獎杯和證書，對問題提出改進(jìn)建議和整改制作實戰(zhàn)攻防演習(xí)視頻，供防守方在內(nèi)部播放宣實戰(zhàn)攻防演習(xí)工作完成后，演習(xí)組織方組織專業(yè)技術(shù)人員和專家，匯總、分析所有攻擊數(shù)據(jù)，進(jìn)行充分、全面的復(fù)盤分析，總結(jié)經(jīng)驗教訓(xùn)，并對不足之處給出合理整改建議，為防守方提供具有針對性的詳細(xì)過程分析報告，隨后下發(fā)參演防守單位，督促整改并上報整改結(jié)果。后續(xù)防守方應(yīng)不斷優(yōu)化防護(hù)工作模式，循序漸進(jìn)完善安全防護(hù)措施，優(yōu)化安全策略，強第三 實戰(zhàn)攻防演習(xí)風(fēng)險規(guī)避措能出現(xiàn)的風(fēng)險，明確提出攻防操作的限定規(guī)則，保證采用的攻擊路徑進(jìn)行限定。在攻擊路徑中發(fā)現(xiàn)的安全漏洞和隱患，攻擊方實施的攻擊應(yīng)及時向演習(xí)指揮部報備，不允許對其進(jìn)行破壞性的操作，避免影響業(yè)務(wù)業(yè)務(wù)的正常開展，演習(xí)除非經(jīng)演習(xí)主辦方授權(quán)，否則不允許使用SYNFLOOD、CC等拒絕服務(wù)攻擊手段。面進(jìn)行篡改，以檢驗防守方的應(yīng)急響應(yīng)和偵查調(diào)查能力。演習(xí)過程中，攻擊團隊要圍繞攻擊目標(biāo)系統(tǒng)進(jìn)行攻擊滲透，在獲取網(wǎng)站控制權(quán)限后，需先請示演習(xí)指揮部，演習(xí)指揮部同意后在指定網(wǎng)頁張貼特定圖片（由演習(xí)指揮部下發(fā)）。如目標(biāo)系統(tǒng)的互聯(lián)網(wǎng)網(wǎng)站和業(yè)務(wù)應(yīng)用防護(hù)嚴(yán)密，攻擊團隊可以將與目標(biāo)系統(tǒng)關(guān)系較區(qū)的目的是確保通