实战攻防之紫队视角下的实战攻防演习组织

实战攻防演习之 紫队视角下的实战攻防演习组织 奇安信安服团队 2019.8 前 言 网络实战攻防演习，是新形势下关键信息系统网络安全保护工作的重要组成部分。演习通常是以实际运行的信息系统为保护目标，通过有监督的攻防对抗，尽可能地模拟真实的网络攻击，以此来检验信息系统的实际安全性和运维保障的实际有效性。 2016年以来，在国家监管机构的有力推动下，网络实战攻防演习日益得到重视，演习范围越来越广，演习周期越来越长，演习规模越来越大。国家有关部门组织的全国性网络实战攻防演习从2016年仅有几家参演单位，到2019年已扩展到上百家参演单位；同时各省、各市、各行业的监管机构，也都在积极地筹备和组织各自管辖范围内的实战演习。一时间，网络实战攻防演习遍地开花。 在演习规模不断扩大的同时，攻防双方的技术水平和对抗能力也在博弈中不断升级。 2016年，网络实战攻防演习尚处于起步阶段，攻防重点大多集中于互联网入口或内网边界。 2017年，实战攻防演习开始与重大活动的网络安全保障工作紧密结合。就演习成果来看，从互联网侧发起的直接攻击仍然普遍十分有效；而系统的外层防护一旦被突破，横向移动、跨域攻击，往往都比较容易实现。 2018年，网络实战攻防演习开始向行业和地方深入。伴随着演习经验的不断丰富和大数据安全技术的广泛应用，防守方对攻击行为的监测、发现和溯源能力大幅增强，与之相应的，攻击队开始更多地转向精准攻击和供应链攻击等新型作战策略。 2019年以来．网络实战攻防演习工作受到了监管部门、政企机构和安全企业的空前重视。流量分析、EDR、蜜罐、白名单等专业监测与防护技术被防守队广泛采用。攻击难度的加大也迫使攻击队全面升级，诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在实战攻防演练中均已不再罕见，攻防演习与网络实战的水平更加接近。 如何更好地参与网络实战攻防演习？如何更好地借助实战攻防演习提升自身的安全能力？这已经成为大型政企机构运营者关心的重要问题。 作为国内前沿的网络安全企业，奇安信集团已成为全国各类网络实战攻防演习的主力军。奇安信集团安服团队结合200余次实战攻防演习经验，总结编撰了这套实战攻防演习系列丛书，分别从红队视角、蓝队视角和紫队视角，来解读网络实战攻防演习的要领，以及如何结合演习提升政企机构的安全能力。 需要说明的是，实战攻防演习中的红方与蓝方对抗实际上是沿用了军事演习的概念和方法，一般来说，红方与蓝方分别代表攻击方与防守方。不过，红方和蓝方的名词定义尚无严格的规定，也有一些实际的攻防演习，将蓝队设为攻击队、将红队设为防守队。在本系列丛书中，我们依据绝大多数网络安全工作者的习惯，统一将攻击队命名为红队，将防守队命名为蓝队，而紫队则代表组织演练的机构。 《紫队视角下的实战攻防演习组织》是本系列丛书的第三本。本书重点介绍实战环境下的紫队工作，提出组织实战攻防演习的四个阶段，给出实战攻防演习的组织要素、组织形式，明确演习各方的人员职责，描述每阶段需开展的重点工作，并提示在开展实战攻防演习时应规避的风险。 目 录 第一章 什么是紫队 ............................................................... 1 实战攻防演习组织要素 ........................................................... 1 实战攻防演习组织形式 ........................................................... 2 实战攻防演习组织关键 ........................................................... 3 第二章 实战攻防演习组织的四个阶段 ................................ 4 组织策划阶段 ........................................................................... 4 前期准备阶段 ......................................................................... 10 实战攻防演习阶段 ................................................................. 12 演习总结阶段 ......................................................................... 14 第三章 实战攻防演习风险规避措施 .................................. 17 演习限定攻击目标系统，不限定攻击路径 .......................... 17 除授权外，演习不允许使用拒绝服务攻击 .......................... 17 网页篡改攻击方式的说明 ..................................................... 17 演习禁止采用的攻击方式 ..................................................... 18 攻击方木马使用要求 ............................................................. 18 非法攻击阻断及通报 ............................................................. 18 附录 奇安信实战攻防演习组织经验 .................................... 19 1 第一章 什么是紫队 紫队，一般是指网络实战攻防演习中的组织方。 紫队是在实战攻防演习中，以组织方角色，开展演习的整体组织协调工作，负责演习组织、过程监控、技术指导、应急保障、演习总结、技术措施与策略优化建议等各类工作。 紫队组织红队对实际环境实施攻击，组织蓝队实施防守，目的是通过演习检验参演单位安全威胁应对能力、攻击事件检测发现能力、事件分析研判能力和事件响应处置能力，提升被检测机构安全实战能力。 下面，就针对紫队组织网络实战攻防演习的要素、形式和关键点分别进行介绍。 实战攻防演习组织要素 组织一次网络实战攻防演习，组织要素包括：组织单位、演习技术支撑单位、攻击队伍（即红队）、防守单位这四个部分。 可视化展示，所有攻击行为安全可控，组织单位攻防演习平台攻击队伍防守单位总体把控、资源协调、专家评审、裁判打分成立若干攻击小组，以竞赛或合作的方式展开真实的网络攻击，发现安全漏洞，获得服务器权限可视化展示所有攻击行为安全可控攻击录屏，视频监控成立防守小组，实时监控网络，进行实时阻断、应急响应等工作 2 组织单位负责总体把控、资源协调、演习准备、演习组织、演习总结、落实整改等相关工作等。 演习技术支撑单位由专业安全公司提供对应技术支撑和保障，实现攻防对抗演习环境搭建和攻防演习可视化展示。 攻击队伍，也即红队，一般由多家安全厂商独立组队，每支攻击队一般配备3-5人。在获得授权前提下，以资产探查、工具扫描和人工渗透为主进行渗透攻击，以获取演习目标系统权限和数据。 防守队伍，也即蓝队，由参演单位、安全厂商等人员组成，主要负责对防守方所管辖的资产进行防护，在演习过程中尽可能不被红队拿到权限和数据。 实战攻防演习组织形式 网络实战攻防演习的组织形式根据实际需要出发，主要有以下两种： 1） 由国家、行业主管部门、监管机构组织的演习 此类演习一般由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业关键信息基础设施和重要系统，组织攻击队以及行业内各企事业单位进行网络实战攻防演习。 2） 大型企事业单位自行组织演习 央企、银行、金融企业、运营商、行政机构、事业单位及其他政企单位，针对业务安全防御体系建设有效性的验证需求，组织攻击队以及企事业单位进行实战攻防演习。 3 实战攻防演习组织关键 实战攻防演习得以成功实施，组织工作包括：演习范围、周期、场地、设备、攻防队伍组建、规则制定、视频录制等多个方面。 演习范围：优先选择重点（非涉密）关键业务系统及网络。 演习周期：结合实际业务开展，一般建议1-2周。 演习场地：依据演习规模选择相应的场地，可以容纳指挥部、攻击方、防守方，三方场地分开。 演习设备：搭建攻防演习平台、视频监控系统，为攻击方人员配发专用电脑等。 攻击方组建：选择参演单位自有人员或聘请第三方安全服务商专业人员组建。 防守队组建：以各参演单位自有安全技术人员为主，聘请第三方安全服务商专业人员为辅构建防守队伍。 演习规则制定：演习前明确制定攻击规则、防守规则和评分规则，保障攻防过程有理有据，避免攻击过程对业务运行造成不必要的影响。 演习视频录制：录制演习的全过程视频，作为演习汇报材料以及网络安全教育素材，内容包括：演习工作准备、攻击队攻击过程、防守队防守过程以及裁判组评分过程等内容。 4 第二章 实战攻防演习组织的四个阶段 实战攻防演习的组织可分为四个阶段： 组织策划阶段：此阶段明确演习最终实现的目标，组织策划演习各项工作，形成可落地、可实施的实战攻防演习方案，并需得到领导层认可。 前期准备阶段：在已确定实施方案基础上开展资源和人员的准备，落实人财物。 实战攻防演习阶段：是整个演习的核心，由组织方协调攻防两方及其他参演单位完成演习工作，包括演习启动、演习过程、演习保障等。 演习总结阶段：先恢复所有业务系统至日常运行状态，再进行工作成果汇总，为后期整改建设提供依据。 下面依次进行详细介绍。 组织策划阶段 网络实战攻防演习是否成功，组织策划环节非常关键。组织策划阶段主要从建立演习组织、确定演习目标、制定演习规则、确定演习流程、搭建演习平台、应急保障措施这六个方面进行合理规划、精心编排，这样才能指导后续演习工作开展。 （一） 建立演习组织 为确保攻防演习工作顺利进行，成立实战攻防演习工作组及各参演小组，组织架构通常如下： 5 演习组织机构设置示意图 演习指挥小组（指挥部）：由组织单位相关部门领导和技术专家共同组成，负责演习工作总体指挥和调度。 演习工作小组：由演习指挥小组指派专人构成，负责演习工作具体实施和保障。下设如下实施小组： 1） 攻击组（红队） 由参演单位及安全厂商攻击人员构成，一般由攻防渗透人员、代码审计人员、内网攻防渗透人员等技术人员组成。负责对演习目标实施攻击。 2） 防守组 由各个防护单位运维技术人员和安全运营人员组成，负责监测演习目标，发现攻击行为，遏制攻击行为，进行响应处置。 3） 技术支撑组 6 其职责是攻防过程整体监控，主要工作为攻防过程中实时状态监控、阻断处置操作等，保障攻防演习过程安全、有序开展。演习组织方，即紫队需要负责演习环境运维，维护演习IT环境和演习监控平台正常运行。 4） 监督评价组 由攻防演习主导单位组织形成专家组和裁判组，负责攻防演习过程中巡查各个攻击小组，即红队的攻击状态，监督攻击行为是否符合演习规则，并对攻击效果进行评价。专家组负责对演习整体方案进