网络演习在最近几年被越来越多的单位重视,网络演习可以真正验证安全的水平,在攻防的真实对抗中,可以发现安全问题,提高安全建设和运营水平。同时,网络演习重点是考验单位的应急响应、协同合作的各种能力。随着《关键信息基础设施安全保护条例》的颁布,在条例中提到了定期开展应急演习,这也是网络演习的一种形式。国外开展网络演习已经有十年多,笔者重点研究了美国、欧盟和北约网络演习的一些做法,可以对我们之后的网络演习有一些借鉴意义。
网络风暴演习(Cyber Storm)
首先介绍下美国整体网络安全的保护组织和角色、职责。这里以国土安全部(DHS)为核心举例说明,网络安全的分工协作层面,简单来说司法部(DOJ)牵头调查,国土安全部(DHS)是保护,国防部(DoD)作为防御。比如CISA就属于国土安全部(DHS),NSA属于国防部(DoD),这些都是美国网络安全领域很重要的部门。
图1:国土安全部应对网络安全挑战
还有个更大的架构图,美国行政管理和预算局(OMB)保证执行FISMA法案,美国国家标准技术研究所(NIST)开发相关标准,美国情报机构(IC)负责收集情报,还有一些保护情报的部门和其他部门等。美国的网络安全政府机构就不展开讨论,比如FBI属于司法部(DOJ),CIA属于情报机构(IC)。
图2:美国网络安全的保护组织和角色、职责
美国网络风暴演习是隶属于DHS的CISA组的攻防演习。由图3可以看出来整个的参与群体,整体的规模越来越大,参与的州、威胁情报中心、联邦机构、国家、行业也越来越多,参加的合作伙伴也越来越多,这里面应该都是美国的各种安全厂商。网络风暴演习以威胁情报中心作为主体,并会涉及相关的其他国家(主要来自于IWWN组织)一起进行演习。
图3:美国网络风暴演习参与群体
网络风暴演习是美国最顶级的网络演习,将公共和私营部门聚集在一起,模拟对影响国家关键基础设施的网络危机的反应。网络风暴演习是 CISA 评估和加强网络准备和检查事件响应流程的持续努力的一部分。CISA 赞助这些演习,以提高网络事件响应社区的能力,鼓励在关键基础设施领域推进公私伙伴关系,并加强联邦政府与其州、地方和国际各级政府合作伙伴之间的关系。可以看出来整体的保障主体都是围绕关键基础设施开展的模拟演习。
网络风暴演习是每两年一次,整个演习的时间一般是持续4-5天。但是为了这短暂的演习,CISA的准备时间大概在半年以上。通过图4可以看出整体的时间线,总体分为5个阶段,首先确定概念和目标,其次制定相关方案,通过不同的会议进行落地,然后确定最后方案,之后在一周内进行执行演习内容,最后进行演习内容总结。
图4:网络风暴演习整体的时间线
每年的演习设立相关的目标和具体检查内容。以最近的2020年演习为例,其总体目标是通过运用政策、流程和程序来识别和响应针对关键基础设施的多部门网络攻击,加强网络安全预备和响应能力。具体的相关内容包括:
● 检查国家网络安全计划以及政策的实施和有效性;
● 加强在网络事件期间整个网络生态系统中使用的信息共享和协调机制;
● 加强公共和私人机构的伙伴关系,提高他们及时分享相关信息的能力;
● 检验网络事件响应的通信能力,不断完善通信策略。
在目标和指导内容的要求下,每年都取得了一些成果,这些成果如下所示:
● Cyber Storm I 2006,标志着网络响应社区首次聚集在一起研究国家对网络事件的响应。
● Cyber Storm II 2008,锻炼个人反应能力和领导决策能力。
● Cyber Storm III 2010,专注于根据国家级框架响应,并提供了国家网络安全和通信集成中心(NCCIC)的首次运行测试。
● Cyber Storm IV 包括 2011 年至 2014 年间的 15 次多种类型的练习,以帮助社区和国家锻炼网络响应能力以应对不断升级的安全事件。
● Cyber Storm V 2016,包括 1,000 多个分布广泛的参与者,并汇集了新的部门,包括零售和医疗保健参与者。
● Cyber Storm VI 2018,专注于响应影响非传统 IT 设备的事件,包括来自关键制造和汽车行业的新参与者。
每年的演习会指定一些特定场景和攻击者情况。在2020年的演习中重点的场景是关注互联网的三个基础设施:DNS、CA和BGP。攻击对象假想是两个国家级别的攻击者,利用DNS、CA和BGP的漏洞进行入侵。同时通过论坛共享这些工具,可以被犯罪组织、“脚本小子”以及暗网组织成员所利用。网络风暴演习构建了一整套的攻击者模拟组织架构图。
图5:演习中的特定场景
在此期间,攻击者使用勒索软件可以对信息进行勒索,削弱组织的整体运营能力。同时设计了8个场景片段进行演习。参加者可以选择其中的一些场景进行演习,目的是为了更好地应对这些攻击场景。
片段编号
场景片段描述
片段1
攻击者建立了一个具有"诱饵"代码存储库网站,公司程序员下载"定时轰炸"的专用代码片段。
片段2
一个组织是大规模网络钓鱼活动的受害者。嵌入在网络钓鱼电子邮件中的是一个伪造的证书,点击链接后会自动下载。然后,对手能够执行中间人攻击、数据泄露或勒索软件攻击。
片段3
攻击者将流量从合法站点重定向到类似于合法站点的恶意网站。用户首先导航到欺诈网站,并被要求获得其凭据。用户输入其凭据后,将利用其应用凭据转发到合法站点。在此过程中,对手会在日志文件中捕获凭据以创建/修改交易和/或更改密码/安全问题。
片段4
攻击者将流量从合法站点重定向到不存在的页面(例如,404 错误)或欺诈页面(例如,带有黑客信息的网站)。此攻击方式可用于创建拒绝服务攻击。
片段5
攻击者利用 DNS 协议中的弱点,无论是内部还是外部威胁,以重定向或阻止通信。因此,第三方提供商的服务不再可用。
片段6
公司的流量通过 BGP 劫持通过对手国家/地区进行。所有边境门户路线都经过该国更改,导致交通通过非标准路线。潜在影响包括成本的变化、拒绝服务、中间人攻击和性能问题。此攻击也可以与证书授权滥用合并,因此在被劫持时可以读取流量。
片段7
对手利用了组织外部面对 Web 应用程序的关键漏洞。攻击者利用漏洞来转储包含个人可识别信息 (PII) 的数据库内容。然后,敏感信息被张贴在暗网上。
片段8
供应链攻击在信任链中引入了配置错误的证书。预加载的泄露证书允许恶意软件安装,因为它们"信任"更新。利用此访问,对手进行中间人攻击或拒绝服务攻击。
这些片段根据不同的行业也有不同的演示,可以找到早年间的一些规划细节。
图6:场景时间线
可以看出来对于不同行业会有不同的场景模拟,比如对于IT行业来说:恶意CD的分发,可信的内部系统污染、DNS 缓存污染、网络诈骗、恶意证书机构伪造、DDOS攻击、MSSP的恶意软件分发通过恶意代码等场景。
整个攻防演习是在DETER(Cyber Defense Technology Experimental Research Project)网络安全平台上展开的。这个项目本身也是DHS赞助的,为了进行真实攻击模拟的一个平台,这个平台的特性是 “虚拟的互联网”,测试平台提供封闭环境,使研究人员能够安全地测试针对“实时”威胁的高级防御机制,而不会危及其他研究或更大的互联网。可以理解为是在一个封闭环境下进行真实的演习,但是这个真实环境是足够的真实。在最开始的几届网络风暴演习中,这个平台也是演习验证的目的之一。
桌面推演训练(Tabletop Exercises TTX)
CISA除了网络风暴这种演习形式之外还有桌面演习的形式。这种形式跟实战演习互为补充,其实都是针对关键基础设施的一种训练方案。CISA提供了一整套桌面推演或者叫沙箱推演的项目文档,叫做CISA Tabletop Exercise Package (CTEP)。这套文档包括了两大类,一类是规划类指引,一类是设计模板。规划类指引包括了欢迎信、规划人手册、协调人和评价人手册、规划人意见反馈表格。设计模板包括了邀请信、简介ppt模板、参与者反馈表格、事后报告及改进计划、场景手册。根据这套模板就可以组织一个比较体系的桌面推演的活动。整体桌面推演的演习分了14个步骤。
图7:桌面推演的14个步骤
这里面最重要的就是演习内容的开发,演习内容主要包括的是场景设计和问题设计。下面举个例子可以说明相关的内容。场景设计如下:
某一天上午9:00,整个组织的计算机上都会出现红色屏幕。所有人似乎都感染了相同的勒索软件。显示一条消息,要求为解密密钥支付价值约 53,000,00 美元的比特币,并警告除非在 48 小时内收到付款,否则密钥将过期。
问题如下:
你支付赎金了吗?
a.谁来决定的?
b.流程是什么?
c.付费的优点/缺点是什么?
d.潜在的政治后果是什么?
e.您需要联系哪些外部合作伙伴/实体?
这些场景和问题是比较多变和真实的,针对这些场景,并拟定相关的问题来发现组织里面出现的问题,以及遇到突发事件时候的应对方案。
锁盾演习(Locked Shields)
北约合作网络防御卓越中心(CCDCOE)是位于塔林的 NATO 认可的跨国网络防御中心,参与四个重点领域的研究、培训和演习,包括:技术、战略、运营和法律。
锁盾2021年度演习由 CCDCOE 自2010年起组织,使网络安全专家能够提高他们在实时攻击下保护国家IT系统和关键基础设施的技能。来自近30个国家的2000多名专家参加了锁盾2021年度演习。本年度有22个蓝队参加,每个蓝队中平均有40个专家组成,并且有5000个虚拟系统和基于此的4000种攻击。其中包括关键信息基础设施、电力和供水以及国防系统,锁盾2021引入了几个具有增强功能的新系统。例如,演习首次涉及卫星任务控制系统,需要提供实时态势感知以帮助军事决策。同时演习研究了不断发展的技术(如深度伪造)将如何塑造未来的冲突。该演习还将检查 COVID-19 大流行带来的新现实,例如远程工作和自动化带来的更大安全漏洞。该演习主要是实时的红蓝对抗的演习,涉及常规业务IT、关键基础设施和军事系统,整合技术和战略决策练习,并在由基金会 CR14 管理的创新平台 Cyber Range 上运行。这个系列的演习主要目的是训练蓝军的各方面能力:
● 保护不熟悉的专业系统;
● 在紧迫的时间压力下写出好的情况报告;
● 检测和缓解大型复杂 IT 环境中的攻击;
● 良好协调的团队合作。
图8:锁盾演习的合作伙伴
十字剑演习(Crossed Swords)
锁盾演习是北约组织偏向蓝队训练的项目,而十字剑演习是为了训练红队的项目,主要通过网络演习培训渗透测试员、数字取证专家和态势感知专家。该演习还为在锁盾网络防御演习中扮演对手的红队成员提供了培训机会。自2018年以来,演习的范围和复杂性已大大扩展,涵盖多个地理区域,涉及关键信息基础设施提供者和军事单位的网络动力参与。
2021年,经过两年的新冠疫情影响,此次演习完全在现场进行。它汇集了来自包括北约和非北约成员国在内的21个国家的约100名参与者。这个演习是一项密集的动手全面网络操作练习,安全专家和渗透测试人员可以学习如何更好地应对各种攻击媒介,并测试进攻性网络能力。演习的目标是通过了解最新的进攻工具和技术来建立有弹性的防守。
此次演习是在演习和训练中心 CR14 进行的。CR14 基金会于今年年初成立,其基础是在网络空间训练、演习、测试、验证和实验方面十多年的网络靶场经验。
今年的情景需要通过在 Berylia 进行警务和进攻性网络行动来重新控制内部安全局势。该演习以虚构的 Berylia 州为基础,Berylia 是大西洋上的一个岛国,大小与西班牙差不多。Berylia 是议会民主制国家,是欧盟的准成员,正在向正式成员地位迈进,并已批准欧洲委员会网络犯罪公约。Berylia 以南约300公里处是 Crimsonia 岛。它的面积与英国差不多,气候与 Berylia 相似。Crimsonia 是一个弱议会民主制,政治寡头政治非常强大,国际社会并不认可。更具体场景并没有描述。
十字剑演习是在一个叫Frankenstack的平台开展的,这也是在最近发表的一篇论文中体现出来的。如图9所示,该演习由几部分构成,不同部分标记不同的颜色并代表不同的团队。因为是红队使用演习平台,所以没有红队的内容。绿色代表靶场的核心内容,由绿队进行维护,通过各种API和流量抓包把各种数据输出,主要使用的是VMware NSX的数据中心的SDN方案。蓝色代表对攻击者的监控,也是蓝队的主要职责,通过各种日志和事件采集对事件进行汇总收集。黄色部分内容最多,包括了演习的监控和态势感知,是黄队的职责。可以看到使用了不同的消息队列,比如Kafka进行收集处理,同时有一些 Suricata 和 Arkime 的流量分析引擎,红色框的内容是论文中体现的改进的内容,包括资产信息的收集、Sigma引擎以及使用Python的转换器把数据导入ES进行分析,最后进行ATT&CK和Kibana以及Alerta进行展示。黑色部分采用商用的安全分析类产品,主要由Cymmetria、Greycortex和Stamus三家厂商提供。
图9:十字剑演习的组成部分
全球演习分析
著名的欧洲网络与信息安全局(ENISA)在2015年分析研究了全球各个地区和国家的演习情况,包括了公众部门和私有部门以及演习中的各种细节情况,例如演习采用的方式、演习的目的、工具、方法、受众等内容,最终形成了一个演习的统计报告。
图10:研究的输入和输出
在分析报告中可以看出来,2002年到2015年的演习数量逐年增多,尤其是2013-2015年增长的最快。此报告说明了导致网络演习增长的三个主要原因。一是政策力度加大,支持网络安全演习活动的战略文件,例如国家网络安全战略,ENISA 的出版物以及即将发布的 NIS 指令。二是网络安全演习活动是一种实战演习,因此引起越来越多的关注。三是每次演习会带来更多的演习,尤其是像网络欧洲这样的大规模演习,在这些案例中为其他网络安全演习活动打开了大门。在全球演习活动数量中,欧洲和北美的网络演习数量占到了80%以上。
图11:全球演习数量2002-2015
图12:网络演习数量全球分布
演习的目的也有不同的区分,其中以培训参与者的技能和知识以及发展一些能力为主,以衡量能力和评估能力为辅。
图13:演习设计目的
演习的形式也是多种多样,其中以模拟、红蓝演习、研讨会和桌面推演为主。其他的形式占比较少,比如CTF,讲座、讨论型游戏、场景训练等。
图14:演习形式
演习的持续时间也相对较长,以网络欧洲、网络风暴和锁盾为例,持续的时间都在7个月以上,但是实际上大部分时间都花在了规划上,并不是实际的演习时间。
图15:不同演习的持续时间
网络演习的趋势主要体现在四个方面:复杂性增加、合作协同目标、私营部门参与和弥合差距练习。大型的网络演习越来越多,包含了大量的参与者、组织、专家、相关工作人员等,需要一定的时间进行规划、执行,整体的演习规划时间可能超过一年。对于协同的重视,网络演习中有专项的活动对于协同进行演习,并且这种目的的演习越来越多。私人部门参加的活动也越来越多,需要增强私人和公有的关系。其中一些参与者可能不会合作和定期交流及相互联系,这会产生差距并成为有效网络安全的障碍。所以补全差距的演习是十分有必要的,这种类型的演习既有运营级别的,也有战略级别和技术级别的演习。
图16:演习级别
总结
通过以上这些国外知名的网络攻防演习的分析可以看出,大部分演习的目的是为了找出防守方差距并在实战中得到提升,本质来说是一种培训项目同时辅以考核和评估作用。这种项目大部分的准备周期都很长,一般在一年以上,但是真正演习的持续时间很短。近年来,国内也如火如荼地举办了各种级别、多种形式的演习,因此需要对演习的各种形式做一些思考,并且在一些小范围的演习中做一些尝试。值得借鉴的内容包括:
1. 可以使用高仿真的靶场进行相关的演习,真实环境有时候在某种攻防情况下会有局限性。
2. 桌面推演的训练也是一种能够训练响应措施的方式,对于整体的安全思维训练有好处,使其更加直观和具体。
3. 场景化设计应该重视,针对不同的安全场景要有相关防守方的应对措施。
4. 攻防演习的形式可以有多种,比如可以增加新技术的话题讨论、游戏方式等等。
由于篇幅有限还有很多的演习并没有详细说明,比如美国NSA举办的网络演习,以及北约的其他网络演习,网络欧洲演习等等,大体上区别不大。反观国内,随着网络演习的价值深入人心,每个单位、每个行业乃至每个地区甚至全国都在开展,我们应该寻求一些新的形式来进行这种攻防演习,让演习真正提高我们的安全防御水平,无论从关键基础设施还是国家层面都有安全的保证。
