中美俄将首次共同参与网安演习,世界级HW ?网安从业者启示录
2022-11-17 23:22:9 Author: 白帽子程序员(查看原文) 阅读量:23 收藏

今天凤凰网军事频道报《中美俄首次参与网安演习 明年将面对面对抗

近几年无论是各级HW 还是国外网络攻防演习,无不体现着网络安全的重要性。

随着《关键信息基础设施安全保护条例》的颁布,在条例中提到了定期开展应急演习,这也是网络演习的一种形式。国外开展网络演习已经有十年多,笔者重点研究了美国、欧盟和北约网络演习的一些做法,可以对我们之后的网络演习有一些借鉴意义。

  • 网络风暴演习(Cyber Storm)

  • 桌面推演训练(Tabletop Exercises TTX)

  • 锁盾演习(Locked Shields)

  • 十字剑演习(Crossed Swords)

  • 全球演习分析

网络风暴演习(Cyber Storm)

首先介绍下美国整体网络安全的保护组织、角色和职责。这里以国土安全部(DHS)为核心进行举例说明。在网络安全的分工协作层面,简单来说,说司法部(DOJ)负责牵头调查,国土安全部(DHS)负责保护,国防部(DoD)负责防御。比如CISA就属于国土安全部(DHS),NSA属于国防部(DoD),这些都是美国网络安全领域很重要的部门。

图2 国土安全部应对网络安全挑战

美国网络风暴演习是隶属于DHS的CISA组的攻防演习。由图3可以看出来整个参与群体与规模越来越大,参与的州、威胁情报中心、联邦机构、国家、行业也越来越多,参加的合作伙伴也越来越多,这里面应该都是美国的各种安全厂商。网络风暴演习以威胁情报中心作为主体,并会涉及相关的其他国家(主要来自于IWWN组织)一起进行演习。

图3 国土安全部应对网络安全挑战

网络风暴演习是美国最顶级的网安演习,将公共和私营部门聚集在一起,模拟对影响国家关键基础设施的网络危机的反应。网络风暴演习是 CISA 评估和加强网络准备和检查事件响应流程的一部分。CISA 赞助了这些演习,以提高网络事件响应社区的能力,鼓励在关键基础设施领域推进公私伙伴关系,并加强联邦政府与其州、地方和国际各级政府合作伙伴之间的关系。可以看出来整体的保障主体都是围绕关键基础设施开展的模拟演习。

桌面推演训练(Tabletop Exercises TTX)
CISA除了网络风暴这种演习形式之外还有桌面演习的形式。这种形式跟实战演互为补充,其实都是针对关键基础设施的一种训练方案。CISA提供了一整套桌面推演或者叫沙箱推演的项目文档,叫做CISA Tabletop Exercise Package (CTEP)。这套文档包括了两大类,一类是规划类指引,一类是设计模板。规划类指引包括了欢迎信、规划人手册、协调人和评价人手册、规划人意见反馈表格。设计模板包括了邀请信、简介ppt模板、参与者反馈表格、事后报告及改进计划、场景手册。根据这套模板就可以组织一个比较体系的桌面推演的活动。整体桌面推演的演习分了14个步骤。

锁盾演习(Locked Shields)

北约合作网络防御卓越中心(CCDCOE)位于塔林,是 NATO 认可的跨国网络防御中心,参与四个重点领域的研究、培训和演习,包括:技术、战略、运营和法律。

锁盾2021年度演习由 CCDCOE 自2010年起组织,旨在让网络安全专家能够提高他们在实时攻击下保护国家IT系统和关键基础设施的技能。来自近30个国家的2000多名专家参加了锁盾2021年度演习。本次演习有22个蓝队参加,每个蓝队中平均有40个专家组成,并且有5000个虚拟系统和基于此的4000种攻击。其中包括关键信息基础设施、电力和供水以及国防系统,锁盾2021引入了几个具有增强功能的新系统。例如,演习首次涉及卫星任务控制系统,需要提供实时态势感知以帮助军事决策。同时,本次演习研究了不断发展的技术(如深度伪造)将如何塑造未来的冲突。该演习还检查新冠疫情带来的新情况,例如远程工作和自动化带来的更大安全漏洞。该演习主要是实时的红蓝对抗的演习,涉及常规业务IT、关键基础设施和军事系统,整合技术和战略决策练习,并在由基金会 CR14 管理的创新平台 Cyber Range 上运行。这个系列的演习主要目的是训练蓝军的各方面能力:

● 保护不熟悉的专业系统;

● 在紧迫的时间压力下写出好的情况报告;

● 检测和缓解大型复杂 IT 环境中的攻击;

● 良好协调的团队合作。

图4 锁盾演习的合作伙伴

十字剑演习(Crossed Swords)

锁盾演习是北约组织偏向蓝队训练的项目,而十字剑演习是为了训练红队的项目,主要通过网安演习培训渗透测试员、数字取证专家和态势感知专家。该演习还为在锁盾网络防御演习中扮演对手的红队成员提供了培训机会。自2018年以来,演习的范围和复杂性已大大扩展,涵盖多个地理区域,涉及关键信息基础设施提供者和军事单位的网络动力参与。

2021年,演习完全在现场进行。它汇集了来自包括北约和非北约成员国在内的21个国家的约100名参与者。本次演习是一项密集的实战型网络操作练习,安全专家和渗透测试人员可以学习如何更好地应对各种攻击媒介,并测试进攻性网络能力。演习的目标是通过了解最新的进攻工具和技术来建立有弹性的防守。

十字剑演习是在一个叫Frankenstack的平台开展的,如图5所示,该演习由几部分构成,不同部分标记不同的颜色并代表不同的团队。因为是红队使用演习平台,所以没有红队的内容。绿色代表靶场的核心内容,由绿队进行维护,通过各种API和流量抓包把各种数据输出,主要使用的是VMware NSX的数据中心的SDN方案。蓝色代表对攻击者的监控,也是蓝队的主要职责,通过各种日志和事件采集对事件进行汇总收集。黄色部分内容最多,包括了演习的监控和态势感知,是黄队的职责。可以看到使用了不同的消息队列,比如Kafka进行收集处理,同时有一些 Suricata 和 Arkime 的流量分析引擎,红色框的内容是论文中体现的改进的内容,包括资产信息的收集、Sigma引擎以及使用Python的转换器把数据导入ES进行分析,最后进行ATT&CK和Kibana以及Alerta进行展示。黑色部分采用商用的安全分析类产品,主要由Cymmetria、Greycortex和Stamus三家厂商提供。

图5 十字剑演习的组成部分

有关国外网安演习的更多信息,可以点击查看国外网安演习思考》

十字剑演习(Crossed Swords)
锁盾演习是北约组织偏向蓝队训练的项目,而十字剑演习是为了训练红队的项目,主要通过网络演习培训渗透测试员、数字取证专家和态势感知专家。该演习还为在锁盾网络防御演习中扮演对手的红队成员提供了培训机会。自2018年以来,演习的范围和复杂性已大大扩展,涵盖多个地理区域,涉及关键信息基础设施提供者和军事单位的网络动力参与。
2021年,经过两年的新冠疫情影响,此次演习完全在现场进行。它汇集了来自包括北约和非北约成员国在内的21个国家的约100名参与者。这个演习是一项密集的动手全面网络操作练习,安全专家和渗透测试人员可以学习如何更好地应对各种攻击媒介,并测试进攻性网络能力。演习的目标是通过了解最新的进攻工具和技术来建立有弹性的防守。
此次演习是在演习和训练中心 CR14 进行的。CR14 基金会于今年年初成立,其基础是在网络空间训练、演习、测试、验证和实验方面十多年的网络靶场经验。
全球演习分析
著名的欧洲网络与信息安全局(ENISA)在2015年分析研究了全球各个地区和国家的演习情况,包括了公众部门和私有部门以及演习中的各种细节情况,例如演习采用的方式、演习的目的、工具、方法、受众等内容,最终形成了一个演习的统计报告。
图10:研究的输入和输出
在分析报告中可以看出来,2002年到2015年的演习数量逐年增多,尤其是2013-2015年增长的最快。此报告说明了导致网络演习增长的三个主要原因。一是政策力度加大,支持网络安全演习活动的战略文件,例如国家网络安全战略,ENISA 的出版物以及即将发布的 NIS 指令。二是网络安全演习活动是一种实战演,因此引起越来越多的关注。三是每次演习会带来更多的演习,尤其是像网络欧洲这样的大规模演习,在这些案例中为其他网络安全演习活动打开了大门。在全球演习活动数量中,欧洲和北美的网络演习数量占到了80%以上。

写在最后

近年来,随着新兴技术的快速发展和普及应用,随之而来的网络安全事件也层出不穷,严重威胁着国家网络空间的安全。面对严峻的网络安全形势,我国已将网络安全上升至国家战略,予以了高度重视和政策支持。《数据安全法》《个人信息保护法》《网络安全法》等法律政策纷纷出台,推动我国网络安全政策体系不断完善,网络安全产业发展由此进入了“快车道”。明年,中国与美俄等国共同参与攻防演习,进行面对面的对抗,将更加真实地验证我们的安全能力,提高网络响应能力,促进网络安全政策的完善。

网络安全行业的前景是非常好的,在2021年3月颁布的《十四五规划与2035远景目标》中,国家已经针对计算机信息安全专业,提炼了5个重点。· 

第一点,坚持创新驱动发展,把科技自立自强作为国家发展战略支撑,加快建设科技强国· 

第二点,发展壮大战略性新兴产业,加快建设新型基础设施,着眼抢占未来产业发展先机

· 第三点,加快数字化发展,建设数字中国,加快建设数字经济、数字社会、数字政府· 

第四点,培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业· 

第五点,推动网络强国建设,加强网络安全保护,构建网络空间命运共同体。

而且以上五点可以看出无论是科技强国还是网络强国还是数字中国,无论是战略性新兴产业还是新兴数字产业,归根到底,这些战略和产业的发展引擎仍然是恒定不变的,那就是依托IT计算机等高新技术来进行经济发展。这样的发展战略,国家从十二五规划到十三五规划,再到现在的十四五规划和2035远景目标,一直都是坚定不移的。题主提到的卷,

至少在未来5年、10年、15年,信息安全专业都还是能吃到国家政策的红利的,因此完全不用担心它的前景问题。

参考:

https://www.zhihu.com/question/527388983https://mp.weixin.qq.com/s/0yv7mBOY-zyeccdg64hAnAhttps://mp.weixin.qq.com/s/Fb0T8uloSvU8URGa29YnPwhttps://mp.weixin.qq.com/s/cXJM6SXVR-k0pLCqDZqcWQ(安全喷子 程度)

加我进群


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3Mjc0MDQ2Nw==&mid=2247489708&idx=1&sn=2e1c69726f8b9b28814eff16094786aa&chksm=ceebfbb0f99c72a6541fd59818f1ec0e3c83662a15c57032b9520c54be4fd4c290193797b1db#rd
如有侵权请联系:admin#unsafe.sh