今天凤凰网军事频道报《中美俄首次参与网安演习 明年将面对面对抗》
近几年无论是各级HW 还是国外网络攻防演习,无不体现着网络安全的重要性。
随着《关键信息基础设施安全保护条例》的颁布,在条例中提到了定期开展应急演习,这也是网络演习的一种形式。国外开展网络演习已经有十年多,笔者重点研究了美国、欧盟和北约网络演习的一些做法,可以对我们之后的网络演习有一些借鉴意义。
网络风暴演习(Cyber Storm)
桌面推演训练(Tabletop Exercises TTX)
锁盾演习(Locked Shields)
十字剑演习(Crossed Swords)
全球演习分析
网络风暴演习(Cyber Storm)
首先介绍下美国整体网络安全的保护组织、角色和职责。这里以国土安全部(DHS)为核心进行举例说明。在网络安全的分工协作层面,简单来说,说司法部(DOJ)负责牵头调查,国土安全部(DHS)负责保护,国防部(DoD)负责防御。比如CISA就属于国土安全部(DHS),NSA属于国防部(DoD),这些都是美国网络安全领域很重要的部门。
图2 国土安全部应对网络安全挑战
美国网络风暴演习是隶属于DHS的CISA组的攻防演习。由图3可以看出来整个参与群体与规模越来越大,参与的州、威胁情报中心、联邦机构、国家、行业也越来越多,参加的合作伙伴也越来越多,这里面应该都是美国的各种安全厂商。网络风暴演习以威胁情报中心作为主体,并会涉及相关的其他国家(主要来自于IWWN组织)一起进行演习。
图3 国土安全部应对网络安全挑战
网络风暴演习是美国最顶级的网安演习,将公共和私营部门聚集在一起,模拟对影响国家关键基础设施的网络危机的反应。网络风暴演习是 CISA 评估和加强网络准备和检查事件响应流程的一部分。CISA 赞助了这些演习,以提高网络事件响应社区的能力,鼓励在关键基础设施领域推进公私伙伴关系,并加强联邦政府与其州、地方和国际各级政府合作伙伴之间的关系。可以看出来整体的保障主体都是围绕关键基础设施开展的模拟演习。
锁盾演习(Locked Shields)
北约合作网络防御卓越中心(CCDCOE)位于塔林,是 NATO 认可的跨国网络防御中心,参与四个重点领域的研究、培训和演习,包括:技术、战略、运营和法律。
锁盾2021年度演习由 CCDCOE 自2010年起组织,旨在让网络安全专家能够提高他们在实时攻击下保护国家IT系统和关键基础设施的技能。来自近30个国家的2000多名专家参加了锁盾2021年度演习。本次演习有22个蓝队参加,每个蓝队中平均有40个专家组成,并且有5000个虚拟系统和基于此的4000种攻击。其中包括关键信息基础设施、电力和供水以及国防系统,锁盾2021引入了几个具有增强功能的新系统。例如,演习首次涉及卫星任务控制系统,需要提供实时态势感知以帮助军事决策。同时,本次演习研究了不断发展的技术(如深度伪造)将如何塑造未来的冲突。该演习还检查新冠疫情带来的新情况,例如远程工作和自动化带来的更大安全漏洞。该演习主要是实时的红蓝对抗的演习,涉及常规业务IT、关键基础设施和军事系统,整合技术和战略决策练习,并在由基金会 CR14 管理的创新平台 Cyber Range 上运行。这个系列的演习主要目的是训练蓝军的各方面能力:
● 保护不熟悉的专业系统;
● 在紧迫的时间压力下写出好的情况报告;
● 检测和缓解大型复杂 IT 环境中的攻击;
● 良好协调的团队合作。
图4 锁盾演习的合作伙伴
十字剑演习(Crossed Swords)
锁盾演习是北约组织偏向蓝队训练的项目,而十字剑演习是为了训练红队的项目,主要通过网安演习培训渗透测试员、数字取证专家和态势感知专家。该演习还为在锁盾网络防御演习中扮演对手的红队成员提供了培训机会。自2018年以来,演习的范围和复杂性已大大扩展,涵盖多个地理区域,涉及关键信息基础设施提供者和军事单位的网络动力参与。
2021年,演习完全在现场进行。它汇集了来自包括北约和非北约成员国在内的21个国家的约100名参与者。本次演习是一项密集的实战型网络操作练习,安全专家和渗透测试人员可以学习如何更好地应对各种攻击媒介,并测试进攻性网络能力。演习的目标是通过了解最新的进攻工具和技术来建立有弹性的防守。
十字剑演习是在一个叫Frankenstack的平台开展的,如图5所示,该演习由几部分构成,不同部分标记不同的颜色并代表不同的团队。因为是红队使用演习平台,所以没有红队的内容。绿色代表靶场的核心内容,由绿队进行维护,通过各种API和流量抓包把各种数据输出,主要使用的是VMware NSX的数据中心的SDN方案。蓝色代表对攻击者的监控,也是蓝队的主要职责,通过各种日志和事件采集对事件进行汇总收集。黄色部分内容最多,包括了演习的监控和态势感知,是黄队的职责。可以看到使用了不同的消息队列,比如Kafka进行收集处理,同时有一些 Suricata 和 Arkime 的流量分析引擎,红色框的内容是论文中体现的改进的内容,包括资产信息的收集、Sigma引擎以及使用Python的转换器把数据导入ES进行分析,最后进行ATT&CK和Kibana以及Alerta进行展示。黑色部分采用商用的安全分析类产品,主要由Cymmetria、Greycortex和Stamus三家厂商提供。
图5 十字剑演习的组成部分
有关国外网安演习的更多信息,可以点击查看《国外网安演习思考》。
写在最后
近年来,随着新兴技术的快速发展和普及应用,随之而来的网络安全事件也层出不穷,严重威胁着国家网络空间的安全。面对严峻的网络安全形势,我国已将网络安全上升至国家战略,予以了高度重视和政策支持。《数据安全法》《个人信息保护法》《网络安全法》等法律政策纷纷出台,推动我国网络安全政策体系不断完善,网络安全产业发展由此进入了“快车道”。明年,中国与美俄等国共同参与攻防演习,进行面对面的对抗,将更加真实地验证我们的安全能力,提高网络响应能力,促进网络安全政策的完善。
网络安全行业的前景是非常好的,在2021年3月颁布的《十四五规划与2035远景目标》中,国家已经针对计算机信息安全专业,提炼了5个重点。·
第一点,坚持创新驱动发展,把科技自立自强作为国家发展战略支撑,加快建设科技强国·
第二点,发展壮大战略性新兴产业,加快建设新型基础设施,着眼抢占未来产业发展先机
· 第三点,加快数字化发展,建设数字中国,加快建设数字经济、数字社会、数字政府·
第四点,培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业·
第五点,推动网络强国建设,加强网络安全保护,构建网络空间命运共同体。
而且以上五点可以看出无论是科技强国还是网络强国还是数字中国,无论是战略性新兴产业还是新兴数字产业,归根到底,这些战略和产业的发展引擎仍然是恒定不变的,那就是依托IT计算机等高新技术来进行经济发展。这样的发展战略,国家从十二五规划到十三五规划,再到现在的十四五规划和2035远景目标,一直都是坚定不移的。题主提到的卷,
至少在未来5年、10年、15年,信息安全专业都还是能吃到国家政策的红利的,因此完全不用担心它的前景问题。
参考:
https://www.zhihu.com/question/527388983https://mp.weixin.qq.com/s/0yv7mBOY-zyeccdg64hAnAhttps://mp.weixin.qq.com/s/Fb0T8uloSvU8URGa29YnPwhttps://mp.weixin.qq.com/s/cXJM6SXVR-k0pLCqDZqcWQ(安全喷子 程度)
加我进群
如有侵权请联系:admin#unsafe.sh