攻防演习紫队第二篇之组织的不同阶段

文章目录

攻防演习组织的不同阶段
0x01 组织策划阶段
- 一、建立演习组织
- 二、确定演习目标
- 三、制定演习规则
- 四、确定演习流程
- 五、搭建演习平台
- 六、应急保障措施
0x02 前期准备阶段
- 1、资源准备
- 2、人员准备
0x03 实战攻防演习阶段
- 一、演习启动
- 二、演习过程
0x04 应急演练阶段
- 一、检测阶段
- 二、抑制阶段
- 三、根除阶段
- 四、恢复阶段
- 五、总结阶段
0x05 演习总结阶段
- 一、演习恢复
- 二、演习总结
- 三、整改建议
摘抄

攻防演习组织的不同阶段

实战攻防演习的组织可分为四个阶段：
组织策划阶段：此阶段明确演习最终实现的目标，组织策划演习各项工作，形成可落地、可实施的实战攻防演习方案，并需得到领导层认可。
前期准备阶段：在已确定实施方案基础上开展资源和人员的准备，落实人财物。
实战攻防演习阶段：是整个演习的核心，由组织方协调攻防两方及其他参演单位完成演习工作，包括演习启动、演习过程、演习保障等。
演习总结阶段：先恢复所有业务系统至日常运行状态，再进行工作成果汇总，为后期整改建设提供依据。

0x01 组织策划阶段

网络实战攻防演习是否成功，组织策划环节非常关键。
组织策划阶段主要从建立演习组织、确定演习目标、制定演习规则、确定演习流程、搭建演习平台、应急保障措施这六个方面进行合理规划、精心编排, 这样才能指导后续演习工作开展。

一、建立演习组织

为确保攻防演习工作顺利进行，成立实战攻防演习工作组及各参演小组，组织架构通常如下：

(1）攻击组（红队）
由参演单位及安全厂商攻击人员构成，一般由攻防渗透人员、代码审计人员、内网攻防渗透人员等技术人员组成。负责对演习目标实施攻击。
(2）防守组
由各个防护单位运维技术人员和安全运营人员组成，负责监测演习目标，发现攻击行为，遏制攻击行为，进行响应处置。
(3）技术支撑组
其职责是攻防过程整体监控，主要工作为攻防过程中实时状态监控、阻断处置操作等，保障攻防演习过程安全、有序开展。
演习组织方，即紫队需要负责演习环境运維，维护演习IT环境和演习监控平台正常运行。
(4）监督评价组
由攻防演习主导单位组织形成专家组和裁判组，负责攻防演习过程中巡查各个攻击小组，即红队的攻击状态，监督攻击行为是否符合演习规则，并对攻击效果进行评价。
专家组负责对演习整体方案进行研究，在演习过程中对攻击效果进行总体把控，对攻击成果进行研判，保障演习安全可控。
裁判组负责在演习过程中对攻击状态和防守状态进行巡查，对攻击方操作进行把控，对攻击成果判定相应分数，依据公平、公正原则对参演攻击队和防守单位给予排名。
(5）组织保障组
由演习组织方指定工作人员组成，负责演习过程中 协调联络和后勤保障等相关事宜，包括演习过程中应急响应保障、演习场地保障、演习过程中视频采集等工作。

二、确定演习目标

依据实战攻防演习需要达到的演习效果，对参演单位业务和信息系统全面梳理，可以由演习组织方选定或由参演单位上报，最终选取确认演习目标系统。
通常会选择关键信息基础设施、重要业务系统、门户网站等作为演习首选目标。

三、制定演习规则

依据演习目标结合实际演习场景，细化攻击规则、防守规则和评分规则。为了鼓励和提升防守单位防守技术能力，可以适当增加防守方反击得分规则。
演习时间：通常为工作日5x8小时，组织单位视情况还可以安排为7x24小时。
沟通方式：即时通信软件、邮件、电话等。

四、确定演习流程

实战攻防演习正式开始后的流程一般如图所示：

(1）确认人员就位
确认红队人员以及攻防演习组织方、防守组人员按要求到位。
(2）确认演习环境
攻击组与技术支撑组确认演习现场和演习平台准备就绪。
(3）确认准备工作
防守组确认参演系统备份情况，目标系统是否正常，并已做好相关备份工作。
(4）演习开始
各方确认准备完毕，演习正式开始。
(5）攻击组实施攻击
红队对目标系统开展网络攻击，记录攻击过程和成果证据。
(6）防守组监测攻击
防守组可利用安全设备对网络攻击进行监测，对发现的攻击行为进行分析确认，详细记录监测数据。
(7）提交成果
演习过程中，红队人员发现可利用安全漏洞，将获的权限和成果截图保存，通过平台进行提交。
(8）漏洞确认及研判
由专家组对提交的漏洞进行确认，确认漏洞的真实性，并根据演习计分规则进行分数评判。
(9）攻击结束
在演习规定时间外，攻击组人员停止对目标系统的攻击。
(10）成果总结
演习工作组协调各参演小组，对演习中产生的成果、问题、数据进行汇总，输出相关演习总结报告。
(11）资源回收
由演习工作组负责对各类设备、网络资源进行回收，同时对相关演习数据进行回收处理，并监督攻击组人员对在演习过程中使用的木马、脚本等数据进行清除。
(12）演习结束
对所有目标系统攻击结束后，工作小组还需要进行内部总结汇报，演习结束。

五、搭建演习平台

为了保证演习过程安全可靠，需搭建攻防演习平台，演习平台包括：攻击场地、防守场地、攻击目标信息系统、指挥大厅、攻击行为分析中心。
(1）攻击场地

攻击场地可分为场内攻击和场外攻击，搭建专用的网络环境并配以充足的攻击资源。
正式攻击阶段，攻击小组在对应场所内实施真实性网络攻击。
场地内部署攻防演习监控系统，协助技术专家监控攻击行为和流量，以确保演习中攻击的安全可控。

(2）防守场地

防守场地主要是防守方演习环境，可通过部署视频监控系统将防守工作环境视频回传指挥中心。

(3）攻击目标信息系统

攻击目标信息系统即防守方网络资产系统。
防守方在被攻击系统开展相应的防御工作。

(4）攻击行为分析中心

攻击行为分析中心通过部署网络安全审计设备对攻击者攻击行为进行收集及分析，实时监控攻击过程，由日志分析得出攻击步骤，建立完整的攻击场景，直观地反应目标主机受攻击的状况，并通过可视化大屏实时展现。

(5）指挥大厅

演习过程中，攻方和守方的实时状态将接入到指挥大厅监控大屏，领导可以随时进行指导、视察。

六、应急保障措施

指攻防演习中发生不可控突发事件，导致演习过程中断、终止时，所需要采取的处置措施预案
需要预先对可能发生的紧急事件（如断电，断网，业务停顿等）做出临时处置安排措施。
攻防演习中一旦参演系统出现问题，防守方应采取临时处置安排措施，及时向指挥部报告，由指挥部通知红队在第一时间停止攻击。
指挥部应组织攻、防双方制定攻击演习应急相应预案，具体应急响应预案在演习实施方案中完善。

0x02 前期准备阶段

实战攻防演习能否顺利、高效开展，必须提前做好两项准备工作，
一是资源准备，涉及到场地、演习平台、演习设备、演习备案、演习授权、保密工作以及规则制定等；
二是人员准备，包括攻击人员、防守人员的选拔、审核和队伍组建等。

1、资源准备

演习场地布置：演习展示大屏、办公桌椅、攻击队网络搭建、演习会场布置等；
演习平台搭建：攻防平台开通、攻击方账户开通、IP分配、防守方账户开通，做好平台运行保障工作；
演习人员专用电脑：配备专用电脑，安装安全监控软件、防病毒软件、录屏软件等，做好事件回溯机制；
视频监控部署：部署攻防演习场地办公环境监控，做好物理环境监控保障；
演习备案：演习组织方向上级主管单位及监管机构（公安、网信等）进行演习备案；
演习授权：演习组织方向攻击队进行正式授权，确保演习工作在授权范围内有序进行；
保密协议：与参与演习工作的第三方人员签署相关保密协议，确保信息安全；
攻击规则制定：攻击规则包括攻击队接入方式、攻击时间、攻击范围、特定攻击事件报备等，明确禁止使用的攻击行为，如；导致业务瘫痪、信息篡改、信息泄露、潜伏控制等动作；
评分规则制定：依据攻击规则和防守规则，制定相应评分规则。例如，防守方评分规则包括：发现类、消除类、应急处置类、追踪溯源类、演习总结类加分项以及减分项等；攻击方评分规则包括：目标系统、集权类系统、账户信息、重要关键信息系统加分以及违规减分项等。

2、人员准备

红队：组建攻击队，确定攻击队数量，每队参与人员数量建议3-5人、对人员进行技术能力、背景等方面审核，确定防守方负责人并构建攻击方组织架构，签订保密协议；向攻击人员宣贯攻击规则及演习相关要求。
蓝队：组建防守队，确定采用本组织人员作为防守人员，或请第三方人员加入，对人员进行技术能力、背景等方面审核，确定防守方负责人并构建防守方组织架构。第三方人员签署保密协议，向防守方宣贯防守规则及演习相关要求。

0x03 实战攻防演习阶段

一、演习启动

演习组织方组织相关单位召开启动会议，部署实战攻防演习工作，对攻防双方提出明确工作要求、制定相关约束措施，确定相应的应急预案，明确演习时间，宣布正式开始演习。
实战攻防演习启动会的召开是整个演习过程的开始，启动会需要准备好相关领导发言，宣布规则、时间、纪律要求，攻防方人员签到与鉴别，攻击方抽签分组等工作。
启动会约为30分钟，确保会议相关单位及部门领导及人员到位。

二、演习过程

演习过程中组织方依据演习策划内容，协调攻击方和防守方实施演习，在过程中开展包括演习监控、演习研判、应急处置等主要工作。

(1）演习监控

演习过程中攻方和守方的实时状态以及比分状况将通过安全可靠的方式接入到组织方内部的指挥调度大屏，领导、裁判、监控人员可以随时进行指导、视察。
全程对被攻击系统的运行状态进行监控，对攻击人员操作行为进行监控，对攻击成果进行监控，对防守方攻击发现、响应处置进行监控，掌握演习全过程，达到公平、公正、可控的实战攻防演习。

(2）演习研判

演习过程中对攻击方及防守方成果进行研判，从攻击方及防守方的过程结果进行研判评分。
对攻击方的评分机制包括：攻击方对目标系统攻击所造成实际危害程度、准确性、攻击时间长短以及漏洞贡献数量等，
对防守方的评分机制包括：发现攻击行为、响应流程、防御手段、防守时间等。
通过多个角度进行综合评分，从而得出攻击方及防守方最终得分和排名。

(3）演习处置

演习过程中如遇突发事件，防守方无法有效应对时，由演习组织方提供应急处置人员对防守方出现的问题快速定位、分析、恢复保障演习系统或相关系统安全稳定运行，实现演习过程安全可控。

(4）演习保障

人员安全保障：演习开始后需要每日对攻防方人员签到与鉴别，保障参与人员全程一致，避免出现替换人员的现象，保障演习过程公平、公正；
攻击过程监控：演习开始后，通过演习平台监控攻击人员的操作行为，并进行网络全流量监控；通过视频监控对物理环境及人员全程监控，并且每日输出日报，对演习进行总结；
专家研判：聘请专家裁判通过演习平台开展研判，确认攻击成果，确认防守成果，判定违规行为等，对攻击和防守给出准确的裁决；攻击过程回溯：通过演习平台核对攻击方提交成果与攻击流量，发现违规行为及时处理；
信息通告：利用信息交互工具，如蓝信平台，建立指挥群统一发布和收集信息，做到信息快速同步；
人员保障：采用身份验证的方式对攻击方人员进行身份核查，派专人现场监督，建立应急团队待命处置突发事件，演习期间派医务人员实施医务保障；
资源保障：对设备、系统、网络链路每日例行检查，做好资源保障；
后勤保障：安排演习相关人员合理饮食、现场预备食物与水；
突发事件应急处置：确定紧急联系人列表，执行预案，突发事件报告指挥部。

0x04 应急演练阶段

在演习过程中，针对参演单位失陷的业务系统，组织攻击队和参演单位进行应急事件处理，目的是通过应急演练，快速恢复业务和检验参演单位应急响应机制与流程，利用实战演习环境，将演练实战化，提升参演单位应急响应能力和完善应急响应机制。

一、检测阶段

(1)目标

接到事故报警后在服务对象的配合下对异常的系统进行初步分析，确认其是否真正发生了信息安全事件，制定进一步的响应策略，并保留证据。

(2)角色

应急服务实施小组成员、样本分析组、漏洞分析组。

(3)内容

a)检测范围及对象的确定
b)检测方案的确定
c)检测方案的实施
d)检测结果的处理

(4)输出
撰写完成《应急响应检查单》。

二、抑制阶段

(1)目标

及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。

(2)角色

应急服务实施小组成员、 样本分析组、漏洞分析组。

(3)内容

a)抑制方案的确定
b)抑制方案的认可
C)抑制方案的实施
d)抑制效果的判定

(4)输出
撰写完成《应急处置方案》。

三、根除阶段

(1)目标

对事件进行抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。

(2)角色

应急服务实施小组成员、样本分析组、漏洞分析组。

(3)内容

a)根除方案的确定
b)根除方案的认可
C)根除方案的实施
d)根除效果的判定

(4)输出
撰写完成《根除处理记录表》。

四、恢复阶段

(1)目标

恢复安全事件所涉及的系统，并还原到正常状态，使业务能够正常进行，恢复工作应避免出现误操作导致数据的丢失。

(2)角色

应急服务实施小组。

(3)内容

a)恢复方案的确定
b)恢复信息系统

五、总结阶段

(1)目标

通过以上各个阶段的记录表格，回顾安全事件处理的全过程，整理与事件相关的各种信息，进行总结，并尽可能地把所有信息记录到文档中。

(2)角色

应急服务实施小组。

(3)内容

a)事故总结
应急服务实施小组应及时检查安全事件处理记录是否齐全，是否具备可塑性，并对事件处理过程进行总结和分析。
应急处理总结的具体工作包括但不限于：事件发生的现象总结、事件发生的原因分析、系统的损害程度评估、事件损失估计、采取的主要应对措施相关的工具文档（如专项预案、方案等）归档。
b)事故报告
应急服务实施小组应向服务对象提供完备的网络安全事件处理报告、网络安全方面的措施和建议。

0x05 演习总结阶段

一、演习恢复

演习结束需做好相关保障工作，如收集报告、清除后门、回收账户及权限、设备回收、网络恢复等工作，确保后续正常业务运行稳定。相关内容如下：
(1）收集报告

收集攻击方提交的总结报告和防守方提交的总结报告并汇总信息。

(2）清除后门

依据攻击方报告和监控到的攻击流量，将攻击方上传的后门进行清除。

(3）账号及权限回收

攻击方提交报告后，收回攻击方所有账号及权限，包括攻击方在目标系统上新建的账号。

(4）攻击方电脑回收

对攻击方电脑进行格式化处理，清除过程数据。

(5）网络访问权限回收
* 收回攻击方网络访问权限。

二、演习总结

演习总结主要包括由参演单位编写总结报告，评委专家汇总演习成果，演习全体单位召开总结会议， 演习视频编排与宣传工作的开展。
对整个演习进行全面总结，对发现问题积极开展整改，开展后期宣传工作，体现演习的实用性。
(1）成果确认

以攻击方提供的攻击成果确认被攻陷目标的归属单位或部门，落实攻击成果。

(2）数据统计

汇总攻防方和防守方成果，统计攻防数据，进行评分与排名。

(3）总结会议

参演单位进行总结汇报，组织方对演习进行总体评价，攻防方与防守方进行经验分享，对成绩优异的参演队伍颁发奖杯和证书，对问题提出改进建议和整改计划。

(4）视频汇报与宣传

制作实战攻防演习视频，供防守方在内部播放宣传,提高人员安全意识。

三、整改建议

实战攻防演习工作完成后，演习组织方组织专业技术人员和专家，汇总、分析所有攻击数据，进行充分、全面的复盘分析，总结经验教训，并对不足之处给出合理整改建议，
为防守方提供具有针对性的详细过程分析报告，随后下发参演防守单位，督促整改并上报整改结果。
后续防守方应不断优化防护工作模式，循序渐进完善安全防护措施，优化安全策略，强化人员队伍技术能力，整体提升网络安全防护水平。

摘抄

善于反思的人，
能够及时修正自己。
在反思中领悟，
在改变中提升，
才能不断进步。
-----------《善于反思》