· 公众号:业务连续性+ 原文链接 ↗

阅读与思考20180830_网络安全演练专辑5(上)

阅读 与思考 20180 8 2 6 – 网络安全演练专辑( 5 ) ( 上)

网络安全演练专辑分为以下5个部分:

从C yber E urope 看网络安全演练 2. 网络安全演练分类法 3. 十谈网络安全 Cy bersecurity 4. 网络安全事件 响应、 网络 杀伤链、OODA及其它 5. 网络安全演练指南

【 导读 】 本期阅读与思考,接前期的 “网络安全演练专辑( 4)

网络安全事件响应、网络杀伤链、OODA及其它 ” ,重点说 说 “ 网络安全演练指南 ” 。 目前, 国内 网络安全事件应急演练指南比较权威的有两个,一个是 全国 信 息 安 全标准化技术 委 员会( TC260) WG7组编写的 《 信息安全技术 网络安全事件应急演练通用指南》 ( 征求意见稿 ) (2017 年5月公开 ) ,另一个是 中央 网信办 网络安全事件应急演练指南编制课题组 编写的 《网络安全事件应急演练指南》 ( 试行 ) (2017 年9月公开 ) 。 国外方面, 欧盟网络与信息安全局ENISA在2 009 年发布《 国家演练良好实践指南 》 ( National Exercises Good Practice Guide) , MITRE 公司 在2 014 年发布《 网络安全演练 操作 手册 》 (Cy ber Exercise Playbook) , 国际知名的危机管理和连续性规划专家 Re gina Phelps 在2 016 年出版了 《 C yber Breach – what if your defenses fail? Designing an exercise to map a ready strategy 》 ,美国国防部在2 018 年4月发布《网络安全测试与评价指南》( DoD Cybersecurity Test and Evaluation Gui debook) Version 2.0 , 7 月发布《 网络安全桌面演练指南》( DoD Cyber Table top Guidebook) Version 1.0 。 此外, 网络安全 应急 演练是一种特定类型的 应急 演练, 应急演练 实施与评估方面的规范也 可以拿来 参考,国务院应急办 在2 009 年发布 《突发事件应急演练指南》 ( 国务院 应急办函 [ 2009] 6 2号) 、 北京市应急委发布 《北京市突发事件应急演练管理办法》 ( 京应急委发 [ 2010]3 号)、《北京市突发事件应急演练实施指南》 (2 011 年 9 月 2 1 日发布 ) 、 安全生产领域的行业标准有 《生产安全事故应急演练指南 (A Q/T 9007-2011) 》 、《生产安全事故应急演练评估规范》 (A Q/T 9 009

2 015 ) ;国外方面 , 美国 国土安全部的 国土安全演练与评估项目 HSEEP(H omeland Security Exercise and Evaluation Program ) ( 2 013 年4月更新) 、 国家应急演练计划 NEP( National Exercise Pro gram) 是美国具有代表性的 演练与评估方法 ( NLE 2012 就是 网络安全 主题的 演练 ) , 国际标准化组织ISO在2 013 年发布了 《I SO 22398: 2013 社会安全 – 演练指南》( ISO 22398: 2013 Societal security – Guidelines for exercises) 。 本文 将对这些标准/指南/参考规范择要点予以介绍。 另, 从6月1 3 日开始, 公众号开始“网络安全演练专辑”连载, 这是该专辑的第8篇文章 也是最后一辑 , 刚写了一半已 近 7 000 字 ,所以这期专辑( 5) 也会分为上、下两部分 发出。 ( 9 月份 我 会根据朋友们的留言及反馈意见, 将这系列专辑文章修订整理 成“网络安全演练白皮书” ) 。

对于网络安全事件应急演练,在《网络安全法》中有如下要求: 第三十四条规定,制定网络安全事件应急预案,并 定期进行演练是关键信息基础设施的运营者应当履行安全保护义务之一 。 第三十九条规定 定期组织关键信息基础设施的运营者进行网络安全应急演练 ,提高应对网络安全事件的水平和协同配合能力,是国家网信部门统筹协调有关部门对关键信息基础设施的安全保护措施之一。 第五十三条规定 负责关键信息基础设施安全保护工作的部门 应当制定本行业、本领域的网络安全事件应急预案,并 定期组织演练 。

• 两个指南( 信安标委《 网络安全事件应急演练 通用 指南 》和网信办《网络安全事件应急演练指南》 )

2017年5月24日,全国信息安全标准化委员会(TC260)秘书处发布《信息安全技术网络安全事件应急演练通用指南》(征求意见稿)(以下简称《通用指南》),面向社会广泛征求意见。

《通用指南》“是为了应对越来越严峻的频发的网络安全事件,而建立的一套培训、检验政府、企事业单位、社会团体有效应对网络安全事件的应急处理能力的演练标准”,“为相关单位进行网络安全事件应急响应检验及平时应急演练,提供了一个可具体操作的基本框架”。

《通用指南》认为:“网络安全事件应急演练的基础是建立网络安全事件应急演练组织机构,制定网络安全事件应急演练方案。应急演练是有效应对网络安全事件的保证。”因此,《通用指南》主要涉及到了网络安全应急预案、网络安全事件应急演练形式及网络安全事件应急演练组织环节,其中应急预案主要明确应急响应组织、应急响应流程(组织和流程部分与GB/T 24363-2009保持一致)和网络安全事件分类应急处置措施;应急演练形式部分说明演练的分类和简要描述;应急演练组织环节是《通用指南》的主体,描述了应急演练计划、准备、实施和改进这4个阶段,如下图所示:

配图

网络安全事件应急演练流程

受中国央信办委托,网络安全事件应急演练指南编制课题组编制了《网络安全事件应急演练指南(试行 ) 》(以下简称《指南》 ) ,并于2 017 年9月发布。

《指南》“适用于各地区、各部门、各行业、各单位组织开展网络安全事件应急演练活劝,可参考本指南落实网络安全事件应急演练的机构组成与职责,确定演练的目标与内容、演练的组织过程与形式,以及开展对演练过程的监督检查与评价”。“在参考本指南的基础上,可结合实际情况制定具体应急演练操作细则。”

《指南》 主 要包括演练概述(总则 ) 、演练组织结构、演练流程及附录4个部分,其中概述部分明确演练的定义、目的、原则、分类及规划( Program) ;组织结构部分为组织单位及参演单位说明。

《指南》将应急演练流程分为演练准备、演练实施、演练总结和成果运用四个阶段。 • 演练准备阶段是确保演练成功的关键,包 括制定计划、设计方案、方案评审、动员培训、演练保障等几个方面; • 演练实施阶段是演练 的实际操作阶段,包括系统准备、演练启动、演练执行、演练解说、演练记录、演练宣传、演练结束和系统恢复几个方面; • 演练总结阶段是对演练全面回顾,归纳问题和经验,包括演练评估、演练总结、文件归档和备案、考核与奖惩几个方面; • 演练成果运用是在演练总结的基础上,对问题和经验的运用,包括完善预案、实施整改、教育培训等。

《指南》共计6 1 页,附录部分 有 4 6 页,附录A提供了演练计划、演练方案、演练方案剧本、演练纪录单、演练评估、演宣传、演练总结和事件报告书这 8 种文档的模板;附录B 是演练形式(即演练分类 ) 对照表;附录C是演练场景 库;附录D给出了 设备设施故障实战演练 和 网络攻击事件桌面推演 的案例。

如: 附录C 演练场景库列出了6大类网络安全事件类型如下: 网络安全事件类型 子类型 有害程序事件(MI) 计算机病毒事件(CVI) 蠕虫事件(WI) 特洛伊木马事件(THI) 僵尸网络事件(BI) 混合攻击程序事件(BAI) 网页内嵌恶意代码(WBPI) 其它有害程度事件(OMI) 网络攻击事件(NAI) 拒绝服务攻击事件(DOSAI) 后门攻击事件(BDAI) 漏洞攻击事件(VAI) 网络扫描窃听事件(NSEI) 网络钓鱼事件(PI) 干扰事件(II) 其它网络攻击事件(ONAI) 信息破坏事件(IDI) 信息篡改事件(IAI) 信息假冒事件(IMI) 信息泄漏事件(ILEI) 信息窃取事件(III) 信息丢失事件(ILOI) 其它信息破坏事件(OIDI) 设备设施故障(FF) 软硬件自身故障(SHF) 外围保障设施故障(PSFF) 人为破坏事件(MDA) 其它设备设施故障(IF-OT) 灾害性事件(DI) 其它事件(OI)

这两个指南是 国内 目前网络安全事件应急演练的权 威指南,值得认真关注和学习, 二者在应急演练方面的主要参考都是国务院应急办在2 009 年发布的《突发事件应急演练指南》( 国务院应急办函 [ 2009] 6 2号 ), 因此,二者都聚焦在网络安全事件( cybersecurity incident) 响应 (及恢复) 的演练 ,而非网络 事件 全过程的演练( cyber ex ercise) , 也未将业 内 如火如荼的CTF类技能大赛 等 内容 纳入 ;二者都明确了 单一演练项目( exercise project) 的策划准备、实施和评估改进, 但 在 演练方案( exercise program) 和 演练的培训和意识教育作用 方面 应可以再强化一些,相对而言 , 《通用指南》 更 宏观 简略 , 《指南》更全面和实用 ,另外,需要指出的 还有 以下几点: • 《通用指南》需要和《 G B/T 24363

2009 信息安全应急响 应计划规范》结合使用, 《 指南》用超过3 /4 的篇幅给出的附录对 演练策划/设计/组织/评估人员 很 实用 ; • 在演练形式(即演练类型 ) 方面,结合近年来的发展 ,《指南》专门加入了“按组织范围划分”部分; • 在演练组织机构方面,《指南》将相关组织机构分为组织单位和参演单位,并在组织单位中明确加入督导小组和观摩小组 ; • 在演练过程方面, 《通用指南》和《指南》都比较粗略,指导性不够,但《指南》通 过全面、丰富的附录 一定程度上弥补了这一问题。

还有一点 比较有意思的是 ,《通用指南》给出的 网络安全演练 的对应英文是:“ network security incident emergency drills”, 这也许能说明不少问题。

• MITRE公司的《C yber Exercise P laybook 》

配图

MITRE公司在 2014 年1 1 月 发布了由Jaso n Kick 编写的 《网络安全演练操作手册》( Cyber Exercise Playbook) ,这本小册子 从植入到报告的网络安全演练 过程 的总体描述,先是介绍了术语和网络安全演练生命 周期,然后聚焦在演练的规划和实施上,包括 演练目标、场景、报告、评估程序、网络架构、工具以及 经验总结等 。

在演练策划和准备方面,该手册给出了常见的1 2 类演练目标 、1 0 种成果 ( 如下 ) : 编号 演练目标 1 确定演练之前网络教育的有效性 2 评估组织的(或演练的)的事件报告和为弥补缺陷的分析指导的有效性 3 评估参演人员在演练中检测和有序应对恶意活动的能力 4 评估参演组织在确定网络攻击的运营影响和有序执行恢复程序的组织能力 5 确定ECG(Exercise Control Group,演练控制组)、RT(Red Team)和参演组织的场景规划和实施是否成功 6 了解IT系统失去信任的影响,并寻找这种情况的处理方案 7 发现并纠正网络安全系统的弱点 8 发现并纠正网络操作政策和程序的弱点 9 确定在恶意环境下保护信息系统并保持运行还需要哪些增强和能力 10 确定注入是否能达到培训目标 11 增强网络意识、准备度和协调 12 为部分或全部IT系统损失后的生存编制应急预案

编号 演练成果 演练活动 分类 1 为参演人员提供了合适难度/语言的网络意识培训 伙伴方最终用户、系统管理员、网络管理员、安全管理员完成了包括网络威胁、事件响应和责任方面的网络意识培训 培训 2 培训了能操作网络和系统安全工具的网络安全防御人员 为伙伴方安全管理员参与演练,安全专家为其进行适用的网络工具培训,可能包括任何安全设备(防火墙、防病毒、入侵检测系统,认可(政策和程序)、入侵检测程序、日志审查和事件响应等) 培训 3 确保红队采用了对演练执行有实际意义的培训场景 为仿真与任务/场景有关的演练,红队使用非保密的、可与伙伴方共享的工具和技术,包括社交工程、鱼叉式钓鱼、假冒网站、物理访问攻击和内部网络操作等 执行 4 确保即使红队失败演练培训目标也能达成 演练控制组(ECG)在红队(RT)行动失败时准备好注入“纸卡片”或通告网络场景进行模拟,以达成伙伴方的培训目标 执行 5 确保红队能解决ECG关于可疑活动的问题 在可疑活动事件报告给ECG后,红队必须能够在收到ECG请求后30分钟内确认或拒绝参与演练 执行 /确认 6 确认运行、防御和恢复网络可用性和完整性的能力 伙伴方通信员在演练过程中可以保持网络运行,具体包括检测、缓解和报告攻击、能力降级、中断或网络服务拒绝的能力 确认 7 确认针对演练场景的网络安全防御程序(事件响应计划)存在 红队模拟威胁场景推动伙伴方参演人员执行网络安全防御程序开启演练 确认 8 为参演人员和领导提供演练态势感知 在伙伴方参演人员检测到事件并执行事件响应程序,或当红队行动对IT安全的影响出现时,参演人员在1小时内有适当的态势感知 确认 9 演练完成后的热反馈 在演练总结时,演练组织者应向参演人员展示红队的活动以确认执行的行动、实际响应及预期响应 报告 10 确认和报告能力、人员配备或培训的不足 演练观察员记录网络安全培训、响应程序、人员配置以及角色和职责上的任何差距,并报告给演练规划人员和领导 报告

下面这个样例给出了演练注入( injects) 与演练目标和成果之间的逻辑关系,可以清晰地回答“为什么设计这个而非其它场景”的问题: 编号 注入名称 描述 演练目标 演练成果 IA-1 网络病毒 红队向参演人员发送一封显示是演练负责人签署的鱼叉式钓鱼邮件,提出要求查看用于更新包含模拟爱卡病毒(eicar virus)字符串演练信息等内容的网页 01,02,04,07,08,09,10,11 01,03,06,07,08,10 IA-2 网络拒绝服务 红队针对演练网络生成大量的异常网络流量以模拟在系统性能统计和日志数据中可见的网络能力受损,来自参演人员关于网络性能下降或不能访问网站的额外通知应提示事件响应程序和相应的故障排错 01,02,03,04,06,07,08,09,10,11,12 03,04,06,07,08,10 IA-3 网络中未授权的计算机 红队尝试将未授权便携机连接到演练网络以查看是否被检测到 01,02,04,07,08,09,10,11 02,03,06,07,08,10 IA-4 恶意外部扫描 红队对演练网络进行外部扫描以查看是否会被检测到,也可用于帮助对防火墙和入侵检测系统的培训 01,02,03,04,06,07,08,09,10,11 02,03,06,07,08,10 IA-5 恶意内部扫描 红队将设备连接到演练网络,从内部位置扫描以帮助对防火墙和入侵检测系统的培训 01,02,03,04,06,07,08,09,10,11 02,03,06,07,08,10 IA-6 计算机泄密(computer compromise) 红队成员穿过工作区,在无人并且未使用屏保的计算机上用文本编辑器在屏上显示计算机泄密通告并与网络安全管理人员联系 01,02,04,07,08,09,10,12 02,03,06,07,08,10 IA-7 电子邮件钓鱼 红队向参演人员发送鱼叉式钓鱼邮件尝试诱出演练中的敏感信息 01,02,04,07,08,09,10,12 01,03,05,06,07,08,10

对 演练策划,该操作手册吸收了HSEEP ( 后面会详细介绍 ) 的 演练策划 5 步 法并结合 网络安全的特点,较详细描述了 从 Con cept Development Meeting (意向会 )—> I nitial Planning Meeting( 启动会 )—>MSEL Planning Meeting( 主 情景规划会 )—>Mid-Term Planning Meeting( 中期会 )—>Final Planning Meeting( 终审会 ) 的演练策划过程以及每期的成果物,这点对网络安全演练规划人员设计演练有特别大的帮助。

对 演练实施, 该操作手册用 下图描述 了演练控制方( ECG) 、参演人员( Training Audience) 、红队( Red Team) 和观察员(O bservers ,属评估方 ) 之间的 信息交互关系:

配图

对 演练 后 的 评估及经验 总结 ,该操作手册 主要分析了 常见的7种演练策划陷阱 ,以及演练后勤和技术方面的注意事项。

该操作手册 还提供了多个附录,包括主场景事件清单 ( MSEL, m aster scenario event list ) 、演练事件响应计划( exercise incident response plan ) 、事件响应表单 ( incident response form) 、演练角色和职责 ( exercise roles and responsibilities) 、网络架构 ( network architecture) 、红队演练数据 ( red team exercise data) 、红队事件日志 ( red team event log) 、注入观察表单 ( inject observation form) 、主站日志 ( master station log) 和演练报告 ( after action report) 这9种文档的样例,以及常用的软件工具、参考资料和缩略语等。

总体而言, MITRE的这本小书子( 50 页 ) 短小强悍,覆盖了小规模网络安全演练中的主要问题及经验,特别是在演练策划方面 给出的策划5步法 弥补 其它网络安全演练指导资料方面的不足,附录中列出的参考资料也相当不错(如果能更新一下就更好了 ) 。

• 美国国防部的《C yber Table top Guidebook 》( CTT Guidebook) Ver 1.0

美国国防部在2 018 年4月2 5 日发布 《网络安全测试与评价指南2 .0 》( Cybersecurity Test and Evaluation Guidebook) ,在7月2日发布《网络安全桌面演练指南V er 1 .0 》( The DoD Cyber Table Top Guidebook Version 1.0) 。 首先需要说明 的是,大家不要被这个 网络安全桌面演练 ( Cyber Table Top ,简称CTT ) 误导,CTT并非是通常意义上的 网络 演练, 它 是一个轻量级的 主要目的是测试和评价( Test and EValuation) 的 演练 , 由 海军航空系统司令部、 集成 系统评估、试验和测试部(ISEET) 和 测试资源管理中心(TRMC) 以及 国家网络靶场(N ational C yber R ange )最 初开发 并结合 项目 经验改进 ,它使用 类似兵棋( wargame-like) 的方式 (两支具有相反任务的队伍,一支是负责作战任务的军事部队,另一支是反对这支军事队伍的网络作战部队), 探索网络攻击对美国系统执行 任务 能力的影响, 即CTT是与NIST SP 800-30 相一致的一种基于任务的网络安全风险评估(MBCRA ) 方法,

《网络安全测试与评价指南》描述了一个6阶段、迭代的网络安全测试和评价过程,CTT可用于其中任一阶段。

配图

网络安全测试与评价过程( Cybersecurity T&E Process ) 与采购生命周期

CTT 指南将CTT过程分为四步:策划、执行、分析和报告,对应为 演练准备、演练执行、演后分析和报告, 在详细描述了每步的主要工作后,还给出了每一步的完成标准。

配图

0) 在启动CTT之前需要满足一些先决条件:得到领导的认同,取得流程负责人、项目群办公室( program office) 的批准和预期资源,征招一名有经验的CTT引导师( facilitator) ,明确作战任务,明确需要分析的、支持相关作战任务的系统和接口的目标子系统,确定CTT的保密级别,一致同意的、清晰的目标(交付物,时间点等 ) 。 1) CTT 演练准备大约需要3 0

60 天,需要完成的工作包括:选择小组人员,确定小组任务和相关场景(想定 ) ,准备初始任务影响评估方法( initial mission impact assessment methodology) ,确定可能性评估方法, 收集侦察文件 资料,确定并编制文件和产出物。

配图

CTT中待分析子系统的图形表示

配图

任务影响方法( mission impact methodology) 示意

配图

可能性评估方法( like li hood assessment mothodology ) 示意

2)CTT 演练执行通常有3 – 5 天,这一步的主要工作包括:演练启动( kickoff) , 演练执行,搜集并复核数据。

配图

C TT 演练中的协作

3)CTT演后 分 析 ( post-exercise analysis) 可能持续3 0 – 90 天,主要工作包括:收集数据,初步分析,规范化攻击,确定风险,将推荐分类。 演后分析是劳动力密集型( labor-intensive) 的一步,通常包括3次长度3天的独立工作会议,这些次会议间需要提前做好“功课”。这一步也是CTT中最重要的一步,因为在这一步中原始数据会 综合形成分析表和风险矩阵,并为整个方案( program) 形成推荐行动。

配图

演后分析首次工作会议用的分析表(部分 )

配图

演后分析二次工作会议用到的分析表(部分 )

配图

演后分析末次工作会议中用到的分析表(部分 )

步骤3中形成的推荐行动通常可分为3类:测试(系统需要进行测试以确定与特定攻击相关的风险级别 ) ,接收或保留(风险低,未知或无法减轻 ) ,进一步分析(进一步检查以确定测试、减轻或接受哪个更合适 ) 。 4)CTT演练报告所需时间不定,主要工作包括:排定推荐的优先级,完成技术简报,编写 管理层简报( executive brief) 。

CTT 指南 还提供了丰富的附录信息,包括参考资料,演练准备、执行和分析方面可用的资源,并为控制组、作战组和网络对抗组提供了任务检查清单( checklist) 。 CTT指南中还简略提及网络杀伤链( cyber kill chain) 、攻击面( cyber attack surface) 和对手战术( adversary tactics ) ,为我们准备、执行和分析网络安全演练提供了更全面的视角。

配图

网络杀伤链

配图

接入轮( Wheel of Access ,美国空军开发,用以辅助攻击面分析)

CTT不是 关于机动和对抗的典型兵棋推演,它是一个 分析和辅助 工具,设计用来增进领导层和作战人员对作战任务环境中网络战域的理解,帮助方案/项目群更好地分配工程和测试资源。

未完待续,在网络安全演练专辑( 5) 的下半部分我将介绍以下资料: • R egina Phelps 的《Cyb er breach – What if your defenses fail? Designing an exercise to map a ready strategy 》 • 国务院应急办《突发事件应急演练指南》 • 美国国土安全部国土安全演练与评估项目HSEEP • 《ISO 22398 : 2013 社会安全 – 演练指南》

配图

说明:需要本文中提及的报告及相关资料的朋友,请在后台留言“2 0180 8 30 ”, 在资料整理完成后, 公众号助理会与您联系并发送 。

原文发表于公众号”业务连续性+” | 原文链接