网络攻击者的寻求对象不再是个人或企业,攻击的目标已逐渐伸向国家,他们想获取有益价值的野心越来越大,同时提醒着我们要加强网络安全防御,网络安全防范工作势在必行。

“说一百遍,不如去做一次”,理论不如行动来的实际,对于实战攻防演练,相信多数企业只是单一了解,实际开展演练的却寥寥无几。

攻防演练是指在不影响企业运营的前提下,对企业进行模拟入侵进攻,在有限的时间内从各种进入点进行攻击,尝试达成企业的指定的测试任务。在这种完全贴近真实攻击的测试活动中,能够测试企业安全防护体系的阻断、检测和响应能力。

蓝队(攻击方)模拟黑客的动机与行为,探测企业网络存在的薄弱点,加以利用并深入扩展,在授权范围内获得业务数据、服务器控制权限、业务控制权限;

红队(防守方)通过设备监测和日志及流量分析等手段,监测攻击行为并响应和处置;

组织方与客户协商基本信息,并提供演练技术支撑,制定对抗规则,提供后期保障,组织红蓝双方在指定时间内开展红蓝对抗。演练结束后,组织方召开总结会议,红蓝双方汇报成果,共同复盘,沟通攻防过程中的优点与不足,结合安全防护体系现状探讨安全建议。

 

一、攻防演练的意义

(1)网络安全对抗,实质是人与人之间的对抗。网络安全需网络安全人才来维护,是白帽和黑帽之间的较量,而白帽是建设网络强国的重要资源。网络攻防演练能够发现网络安全人才,清楚自身技术短板所在,并加以改进,提升安全技术。

(2)开展攻防演练,能够提早发现企业网络安全问题所在。针对问题及时整改,加强网络安全建设力度,提升企业的网络安全防护能力。

 

二、如何开展一场攻防演练?

攻防演练分为五个阶段:计划阶段、准备阶段、演练阶段、收尾阶段及总结汇报阶段。

 

 

● 计划阶段

确定演练的基础信息,编纂演练组织实施方案。明确演练目标资产范围、攻击方团队、防守方团队、演练导向、时间周期,制定实施规则、评分规则、保密协议等前期工作。

 

● 准备阶段

准备演练设施,落实参演人员,安排后勤。确定演练组织架构中的人员,准备演练现场设施,组织方搭建演练所需的技术平台,安排参演人员的交通、住宿、餐饮,准备演练材料、医疗团队、宣传材料、奖品、门禁、安保。

 

● 演练阶段

组织红蓝双方开展攻防,各小组各司其职,运营整个演练过程,并输出演练结果。攻防双方开展红蓝对抗,每日归档当日攻防双方成果,演练结束后公布演练成绩。

 

● 收尾阶段

根据演练结果输出名次,对表现优异的团队进行表彰。回收发放的门禁、网线、电脑等重要资料,下线攻防平台。

 

● 总结汇报阶段

演练结束后,召开总结会议,总结本次演练的经验,反思不足。根据演练成果分析防护问题,讨论安全建设方法,输出攻防演练总结报告。

 

三、攻防演练的价值

(1)发现企业潜在安全威胁。通过模拟入侵来验证企业内部IT资产是否存在安全风险,从而寻求应对措施。

(2)强化企业安全意识。通过攻防演练,提高企业内部协同处置能力,预防风险事件的发生,确保企业的高度安全性。

(3)提升团队能力。通过攻防演练,以实际网络和业务环境为战场,真实模拟黑客攻击行为,防守方通过企业中多部门协同作战,实践大规模攻击情况下的防护流程及运营状态,提升应急处置效率和实战能力。