攻防演练-组织沙盘推演的4个阶段.

这篇具有很好参考价值的文章主要介绍了攻防演练-组织沙盘推演的4个阶段.。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

组织沙盘推演的4个阶段

沙盘推演是在实战攻防演练的基础上,在攻击路线、攻击手段等 的有效性被证实的情况下,评估真实网络攻击可能对政企机构及公共 安全产生的影响,包括经济损失、声誉损失和社会影响等;同时,对 攻防过程中应急响应的有效性进行全过程评估。

传统的实战攻防演练更多关注的是技术和管理层面的安全风险与 攻击有效性,所以沙盘推演并不是其必选阶段。但是,作为安全损失 评估的重要过程,沙盘推演为演练机构进行科学合理的安全规划、安 全建设和安全投入提供了关键性的参考依据。因此,沙盘推演的概念和方法一经提出就备受关注,并在越来越多的实战攻防演练中被吸收 和采纳。
沙盘推演的整体策划和组织过程分为多个阶段,主要包括以下四个阶段。

组织策划阶段

组织策划阶段的主要目的是通过建立推演组织、明确推演目标、 搭建推演平台、确定推演流程和制定推演规则等工作并形成策划方 案,为沙盘推演打下基础。

建立推演组织

为保证沙盘推演工作的顺利完成,需要组建沙盘推演工作小组, 其组织架构如图13-1所示。

攻防演练-组织沙盘推演的4个阶段.

图13-1 沙盘推演工作小组组织架构图

1)指挥组:主要由推演组织单位组成,负责推演工作的指挥协 调、过程策划、人员选定以及规则制定等工作。

2)攻击组:主要由攻防演练中攻击队人员组成,负责攻击方案制 定、讲解等工作。

3)防守组:主要由参演企业网络安全人员、业务系统负责人以及 目标企业相关财务、法务和公关人员组成。财务、法务和公关人员的 作用为评估网络攻击对企业业务产生的影响,包括但不限于以下几方 面:

  • 财务人员负责评估模拟攻击可能造成的经济损失; - 法务人员负责评估模拟攻击可能造成的政策监管风险; - 公关人员负责评估模拟攻击可能造成的声誉影响。

4)专家组:主要由组织单位邀请行业专家和技术专家组成,负责 对推演过程中攻防双方方案的可行性进行点评并打分。

明确攻击目标

依据沙盘推演需要达到的目标及影响范围,选定推演拟攻击的目 标系统。一般应优先选择关键业务系统、覆盖多区域的业务专网作为 模拟攻击目标进行推演。

搭建推演平台

为了体现推演过程中攻防双方的结果,方便专家组根据评分规则 进行点评,需搭建沙盘推演平台。推演平台可为攻防双方在推演过程 中展示攻防手段,帮助专家组依据评分规则进行评分。

确定推演流程

推演阶段是沙盘推演过程中最重要的阶段。推演流程根据不同的 业务场景分为多场推演,每场推演依据不同的攻击方案设定为一轮或 多轮。图13-2为常见的沙盘推演流程。

攻防演练-组织沙盘推演的4个阶段.

图13-2 沙盘推演流程图

1)攻击组讲解攻击方案。由攻击组结合实战演练结果提供攻击方 案可行性论证,同时说明攻击过程预计投入的时间、人力和物力以及 相关投入的科学性。

2)防守组向攻击组提问。由防守组对攻击组提出的攻击方案及攻 击思路进行提问和质辩,以确认攻击方案的可行性。

3)防守组汇报防守方案:防守组针对攻击组提出的攻击方案,提 出可行的防守方案并与攻击组质辩相关方案的可行性。

4)攻击组补充发言。攻击组根据防守组已经确认的可行性方案, 提出自己将要采取的实际攻击及进一步行动,如数据篡改、窃取、删 除以及攻击范围、攻击效果等。

5)防守组补充发言。防守组提出自己的应急响应方案,并估算投 入成本,包括投入的时间、人力、物力等。

6)双方对峙交互双方在对峙过程中进行交互,论证双方投入的时 间、人力、物力的可行性,避免出现理论上可行而实施成本过高的假 设。

7)专家组点评并评分双方发言结束后,由专家组人员对攻防双方 的表现进行评价并根据打分规则评分。

8)宣布第一轮评分结果及主要结论,并宣布第一轮推演结束。

按照以上流程,依据攻击组其他攻击方案开展后面几轮推演工 作,并在多轮推演结束后开展以下工作。

1)攻击组针对上述两轮推演对防守组提出安全建议。 2)防守组自评。防守组对两轮防守策略、方案、表现进行自评。

3)专家组点评。综合两轮推演,专家组对攻击组和防守组依据评 分规则使用评分平台对双方进行评分,并给出指导意见。

4)宣布推演结束。指挥组宣布推演结束。 5)提交报告。攻防双方提交方案报告。

制定推演规则

沙盘推演的第一要素是规则,如攻方如何证明攻击路线和攻击手 段的可行性,守方如何证明其应对措施的可行性及可能的响应周期。 攻防双方需共同对评估结果的科学性提供保障。制定规则的目标也是 保证这种结果的科学性,指挥组应依据实际环境制定相应的评分规 则。

推演周期一般建议为1~2天,单场推演建议不超过3小时。建议攻 击组在推演开始前1小时内向防守组公布攻击方案,因为做好攻击方案 保密工作是最大限度模拟实际攻击过程、检验防守组反应能力的有效 方法。攻防双方推演时间需控制在指定范围内。

推演准备阶段

推演准备阶段的主要目的是基于策划方案,依据推演实际环境搭 建演示环境,初步形成推演演示环境,主要工作内容为攻击方案筛 选、推演平台搭建、推演展台搭建、推演人员准备等。

  1. 攻击方案筛选

推演准备阶段需要攻击组提前提交攻击方案,专家组进行评审并 指导攻击组对方案进行调整与优化,选取优秀方案纳入推演环节。

  1. 推演平台搭建

依据现场实际场景搭建推演平台,导入攻击组方案形成攻击路线 图,并在推演开始前导入防守组方案,主要用于在防守组质辩过程中 展示防守方案,开通对应专家组账号。

  1. 推演展台搭建

依据推演模式选择可容纳攻击组、防守组、专家组、指挥组等人 员的场地,根据现场环境的实际情况搭建展示大屏、攻防展台、灯光 等。

  1. 推演人员准备

1)攻击组人员准备。攻击组人员可为攻防演练阶段蓝队人员或第 三方蓝队人员。攻击组人员需具备蓝队攻击经验,了解防守组网络架 构及安全脆弱点并能够制定专项攻击方案。建议组建2队,每队2~3 人。如涉及第三方蓝队人员,须签订保密协议,并宣贯推演规则。

2)防守组人员准备。防守组人员由目标系统网络安全人员、业务 系统负责人以及财务、会务和公关人员组成。建议至少组建2组,每组 2~3人。

3)现场保障人员准备。应由指挥组组建现场保障团队,主要负责 推演现场环境、展示、平台等的运行保障工作。

4)现场摄制人员准备。如需现场拍摄推演过程,指挥组需组建现 场拍摄团队。

5)主持人准备。主持人主要负责推演全过程中的现场节奏把控, 由指挥组指定人员担任。

沙盘推演阶段

沙盘推演由指挥组依据推演策划内容,协调攻击组与防守组实 施。沙盘推演阶段主要涉及推演过程、评估影响、专家评分等工作。

1)推演过程。沙盘推演主要由攻防双方根据对应方案展开阐述和 对峙。推演过程中指挥组应确保双方在质辩过程中按规则执行,双方 关注点不跑偏。

2)评估影响。由评估人员,即防守方财务、会务和公关人员在攻 防双方质辩结束后对推演影响进行评估,并输出攻防双方本次推演的 可行性评估方案及评估损失文档。

3)专家评分。攻防双方对峙结束后,专家组依据评分规则对攻防 双方方案可行性进行点评和评分。攻击组评分规则主要考量技术水 平、攻击危害性、可行性等方面,防守组评分规则主要考量监测、发 现、应急处置、协调配合等方面。

4)推演保障。需对现场平台、展台、网络链路进行例行检查,做 好资源保障;确定紧急联系人列表,紧急联系人主要负责推演现场平 台或展台突发故障应急事宜,执行预案,遇到突发事件报告指挥组。

总结评估阶段

总结评估阶段的工作目的是对沙盘推演整体过程进行复盘、总结 和汇报。推演结束后,攻击组和防守组需向指挥组提供本次推演的相 关材料,指挥组对这些材料进行评审,并确定后续工作如何开展。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南文章来源地址https://www.toymoban.com/news/detail-441533.html

到了这里,关于攻防演练-组织沙盘推演的4个阶段.的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全攻防演练项目介绍

    有很多朋友问我写的攻防演练是什么? 本文给予回答 网络安全攻防演练是公安部组织的面向税务、电力、电信、银行、铁路、财政、广电、水利、教育、互联网、检察院、法院、石油、交通等行业的政府单位/公司,开展的实战攻防演练,也简称为护网。 攻防演练主要目标是

    2024年02月09日
    浏览(41)
  • 网络安全实战攻防演练应急处置预案

    1.1 监测阶段 (1) 蜜罐系统,还用于将检测到的疑似社会工程学攻击事件发送给控制器;控制器,还用于将蜜罐系统发送的疑似社会工程学攻击事件存储至数据存储系统,并向事件分析系统下发与疑似社会工程学攻击事件对应的事件类型判断指令。 (2) 收到钓鱼邮件。 (

    2024年02月02日
    浏览(51)
  • 攻防演练:渗透测试云上初体验

    免责声明:涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担! 该渗透测试项目为已授权项目,本文已对敏感部分做了相关处理。 渗透测试本质还是在于信息收集,信息收集的越多,攻击面就越广,成功拿下主机

    2024年02月15日
    浏览(52)
  • 『哈士奇赠书31期』- 『网络靶场与攻防演练』

    《网络靶场与攻防演练》全面阐述了网络靶场与攻防演练的基础理论、重要技术与实施要点,梳理了网络靶场的演进脉络与发展趋势,总结了网络靶场的常见类型与应用模式,围绕实现主流网络靶场所需的关键技术地图、系统平台、核心能力、建设路径和运营模式,结合具体

    2024年02月16日
    浏览(38)
  • 记一次攻防演练之vcenter后渗透利用

    很早之前的一次攻防演练,主要是从 web 漏洞入手,逐渐学习 vcenter 后利用技术。过程由于太长,很多细节都省略了,中间踩坑、磕磕绊绊的地方太多了。。。 由于敏感性,很多地方都是打码或者是没有图,按照回忆整理的,见谅! 根据打点的记录,找到了一个 confluence 的界

    2024年02月09日
    浏览(47)
  • 红蓝攻防演练怎样构建实战化网络安全防御体系

    笔者简介                团队以攻防技术为核心,在云端大数据支撑下聚焦威胁检测和响 应,具备咨询规划、威胁检测、攻防演练、持续响应、预警通告、安 全运营等一系列实战化服务能力,是一支能够为客户提供全周期安全 保障服务的专业网络安保和应急响应团队

    2024年02月01日
    浏览(59)
  • 攻防演练中红队常用的攻击方法之横向移动(上)

    横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。 中安网星特此推出了横向移动科普系列,本系列共有三篇文章。 近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上

    2024年02月12日
    浏览(41)
  • 实战攻防演练-Linux写入ssh密钥,利用密钥登录

    密钥形式登录的原理是利用密钥生成器制作一对密钥,一只公钥和一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过 SSH 暴力破解你的密码来远程登录到系统。此外,如果将公钥复制到其他账

    2024年02月08日
    浏览(57)
  • 实战攻防演练-利用长亭百川云平台上线远控提权

    长亭百川云平台是北京长亭未来科技有限公司旗下的 SaaS 产品服务平台,专注于云安全解决方案。其提供牧云·主机管理助手、网站监测、牧云·云原生安全平台、雷池 Web 应用防火墙等一系列在线安全产品,帮助企业用户更轻松地治理云安全问题,使云上业务更加安全可靠。

    2024年02月08日
    浏览(39)
  • 实战攻防之紫队视角下的实战攻防演习组织

    本文是学习实战攻防之紫队视角下的实战攻防演习组织. 下载地址 http://github5.com/view/55010而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 紫队,一般是指网络实战攻防演习中的组织方。 紫队是在实战攻防演习中,以组织方角色,开展演习的整体组织

    2024年02月05日
    浏览(31)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包