网络风暴演习(Cyber Storm)首先介绍下美国整体网络安全的保护组织和角色、职责。这里以国土安全部(DHS)为核心举例说明,网络安全的分工协作层面,简单来说司法部(DOJ)牵头调查,国土安全部(DHS)是保护,国防部(DoD)作为防御。比如CISA就属于国土安全部(DHS),NSA属于国防部(DoD),这些都是美国网络安全领域很重要的部门。图1:国土安全部应对网络安全挑战还有个更大的架构图,美国行政管理和预算局(OMB)保证执行FISMA法案,美国国家标准技术研究所(NIST)开发相关标准,美国情报机构(IC)负责收集情报,还有一些保护情报的部门和其他部门等。美国的网络安全政府机构就不展开讨论,比如FBI属于司法部(DOJ),CIA属于情报机构(IC)。图2:美国网络安全的保护组织和角色、职责美国网络风暴演习是隶属于DHS的CISA组的攻防演习。由图3可以看出来整个的参与群体,整体的规模越来越大,参与的州、威胁情报中心、联邦机构、国家、行业也越来越多,参加的合作伙伴也越来越多,这里面应该都是美国的各种安全厂商。网络风暴演习以威胁情报中心作为主体,并会涉及相关的其他国家(主要来自于IWWN组织)一起进行演习。图3:美国网络风暴演习参与群体网络风暴演习是美国最顶级的网络演习,将公共和私营部门聚集在一起,模拟对影响国家关键基础设施的网络危机的反应。网络风暴演习是 CISA 评估和加强网络准备和检查事件响应流程的持续努力的一部分。CISA 赞助这些演习,以提高网络事件响应社区的能力,鼓励在关键基础设施领域推进公私伙伴关系,并加强联邦政府与其州、地方和国际各级政府合作伙伴之间的关系。可以看出来整体的保障主体都是围绕关键基础设施开展的模拟演习。网络风暴演习是每两年一次,整个演习的时间一般是持续4-5天。但是为了这短暂的演习,CISA的准备时间大概在半年以上。通过图4可以看出整体的时间线,总体分为5个阶段,首先确定概念和目标,其次制定相关方案,通过不同的会议进行落地,然后确定最后方案,之后在一周内进行执行演习内容,最后进行演习内容总结。图4:网络风暴演习整体的时间线每年的演习设立相关的目标和具体检查内容。以最近的2020年演习为例,其总体目标是通过运用政策、流程和程序来识别和响应针对关键基础设施的多部门网络攻击,加强网络安全预备和响应能力。具体的相关内容包括:● 检查国家网络安全计划以及政策的实施和有效性;●加强在网络事件期间整个网络生态系统中使用的信息共享和协调机制;●加强公共和私人机构的伙伴关系,提高他们及时分享相关信息的能力;●检验网络事件响应的通信能力,不断完善通信策略。在目标和指导内容的要求下,每年都取得了一些成果,这些成果如下所示:●Cyber Storm I 2006,标志着网络响应社区首次聚集在一起研究国家对网络事件的响应。●Cyber Storm II 2008,锻炼个人反应能力和领导决策能力。●Cyber Storm III 2010,专注于根据国家级框架响应,并提供了国家网络安全和通信集成中心(NCCIC)的首次运行测试。●Cyber Storm IV 包括 2011 年至 2014 年间的 15 次多种类型的练习,以帮助社区和国家锻炼网络响应能力以应对不断升级的安全事件。●Cyber Storm V 2016,包括 1,000 多个分布广泛的参与者,并汇集了新的部门,包括零售和医疗保健参与者。●Cyber Storm VI 2018,专注于响应影响非传统 IT 设备的事件,包括来自关键制造和汽车行业的新参与者。每年的演习会指定一些特定场景和攻击者情况。在2020年的演习中重点的场景是关注互联网的三个基础设施:DNS、CA和BGP。攻击对象假想是两个国家级别的攻击者,利用DNS、CA和BGP的漏洞进行入侵。同时通过论坛共享这些工具,可以被犯罪组织、“脚本小子”以及暗网组织成员所利用。网络风暴演习构建了一整套的攻击者模拟组织架构图。图5:演习中的特定场景在此期间,攻击者使用勒索软件可以对信息进行勒索,削弱组织的整体运营能力。同时设计了8个场景片段进行演习。参加者可以选择其中的一些场景进行演习,目的是为了更好地应对这些攻击场景。