中美网络安全攻防演练对比:透视美国Cyber Storm VII
- 2019年8月,乌克兰核电站雇员为了挖币而将部分内部网络连到外网,导致国家机密潜在泄露
- 2019年7月,美国国土安全部官员称,俄罗斯黑客入侵了美国电力公司的隔离网络
- 2019年6月,阿根廷和乌拉圭因互联电网发生“大规模故障”,导致全国性停电
- ……
关键基础设施领域硝烟四起,网络安全成关键屏障。此时,各国启动练兵,演习正当其时。
谈攻防演练,避不开中美。而近来美国最大规模攻防演练Cyber Storm VII落下帷幕,更让笔者对两国网络攻防演练对比生出好奇,因而有了这篇文章。
初探中美攻防演练
2016年开始,我国对网络攻防演练的重视和实战提上章程,并且在近几年不断常态化,民间机构、各大企业也尝试开展日常化的攻防演练,而网络靶场产品的涌现和应用则进一步推动了攻击演练的发展。
目前,我国的攻防演练的主要特点是
- 事先不通知
- 攻击手段不明确
- 以防攻击、防破坏、防泄密、防重大网络安全故障为重点
在攻防设置上和国外相反,即:
- 蓝军为攻击方:包括网警、测评中心、安全公司等。
- 红军为防守方:包括政府机构、国有企业、高校和医院等。
此外,还设置了“裁判”角色对攻防双方进行打分。每次演练时长在3周,一般会提前确定参演名单。
主要规则为:攻击方即获取权限、获取数据、远程控制等;防守方为发现攻击、消除威胁、应急响应等。通过攻防演练及时发现安全问题,快速整改。
不过,尽管我国在攻防演练上已经积累了一定经验,但和美国、北约等相比,起步较晚。早在2010年,北约联盟就启动为期5天的攻防演练,主要攻击范围为模拟的海军基地、电站等关键信息建设设备。而美国在这一领域的经验则更为丰富。
美国比较成熟的攻防演练类型包括Cyber Guard、Cyber Flag以及Cyber Storm。
- Cyber Guard,传说中美国国防部警卫队的磨练场。由美国网络司令部、美国国土安全部和美国联邦调查局联合举办的一年一度的网络演习。
整个演习环境在一个封闭的模拟网络中,参与者可以真正体验在时间紧迫的情况下,承受巨大压力进行攻防对抗。
根据美国网络司令部司令Michael Rogers的说法,Cyber Guard主要是在磨练网络战下,国防部麾下各支力量(现役、预备役与国民警卫队)间的协作能力。因此,演习期间的训练成果比起比赛结果赢输更为重要。
- Cyber Flag,同样由美国网络司令部主导,为一年一度的联合网络空间训练演习,主要参演人员是美国的网络空间部队。
值得注意的是,在演习中除了红蓝队,还存在一个白队。“白队”主要负责演习评估,人数默认在5人及以上,其中1人派驻在控制室中控制演习进程,1人跟随“红队”,3人或3人以上跟随“蓝队”,观察其行动并将结果录入数据库。
而在Cyber Flag 2019中,就有来自国防部,其他联邦机构和合作伙伴国家的650多名网络专业人员参与演练,围绕针对工业控制系统和数据采集网络进行攻防。同时,为了确保演习更具备现实意义和针对性,攻击方使用的战术、技术还会模仿特定民族国家和黑客组织。
- 最后是Cyber Storm——网络风暴,相对来说似乎名气更为大一些。
该演练由美国国土安全部主导的,约两年举办一次,每次演习5天,迄今已举行过7次。
透视Cyber Storm VII
每届“网络风暴”演习都会以先前发生的真实事件为基础,通过演练最新的应急响应政策、流程和程序,加强美国在应对影响范围波及多个行业的网络攻击的网络安全战备和应急处置能力。至于具体的演习内容和演习方式则会不断完善。
此前,我们分享过历届Cyber Storm的特点:
以刚结束的Cyber Storm VII(此前默认2019年11月,美国首次与台湾省共同举行的演练为Cyber Storm VII,但“官方”并没有承认)为例,今年的规模再次扩大,人数达到2000+,针对行业覆盖医疗保健、制造业和其他关键领域。
尽管此次演练并没有攻击特定的系统,但互联网的一些关键流程和基础设施依旧是主角,尤其是DNS(域名系统)证书颁发机构、BGP(边界网关协议)等。
此外,值得注意的是,Cyber Storm VII的几个要点:
- 建立在以往演习成果和网络安全格局变化的基础上;
- 评估和提高网络响应机构的能力;
- 促进公私伙伴关系并加强联系;
- 整合新的关键基础设施合作伙伴,同时为退伍军人提供回来的机会。
基于美国Cyber Storm的发展,可以发现,从参演方来看,Cyber Storm的参与人数不断增加,且由最开始的联邦政府发展到全球多国参与其中,从攻击侧重点来看,越来越多的行业参与演习(医疗、制造、运输等),但核心依然是关键基础设施。
此外,在网络安全体系建设中就奉行军民融合的美国,将这一理念同样贯彻到了攻防演练之中,美国充分借助民间优势,强化军政民多向合作,持续增强网络攻防和支援能力。
而在Cyber Storm的成功背后,政府的2个作为同样不能忽视:
- 协调多方参演:美国一向试图掌握全球网络空间话语权,这一点从美国的安全体系建设、分层网络威胁战略、频繁的APT归因等操作中可见,事实证明也有所成效。在多次Cyber Storm中,美国能够协调多方参演,包括五眼联盟和其他国家,一定程度上提升了攻防演练的有效性(得以发现更多安全问题)。
- 前期立法铺垫:美国先后颁布了大量保障关键基础设施的法律文件,如《国家基础设施保护计划》、《提高关键基础设施的网络安全》、《提高关键基础设施的安全性和恢复力》等,此外还推出了网络威胁情报共享协议(STIX、Cybox、TAXII),成立网络威胁情报共享国际标准化组织OASIS……为攻防演练的开展提供了支撑。
攻防演练发展趋势
如今,美国已然把网络空间纳入其国防体系中,进行统一规划,而在网络空间并不平静的当下乃至未来,各国都在为提升国家网络安全做准备,我国也在重新审视网络安全问题,将视角转移到更高级别的“攻防对抗”上,攻防演练的重要性不言而喻。
可以预见的是:
- 关键信息基础设施至少会在很长一段时间是攻防演练重头戏
- 攻防演练对企业/机构的安全能力提出更高的要求,即从被动防御和基本合规走向主动防御、实战驱动
- 政府牵头,多方协作是攻防演练规模体系化成长的必要因素
- 关键机构和重要企事业单位之间的协同、信息共享是攻防演练效益提升的重要推动
此外,构建第三方专业攻击队伍/平台,设定更具针对性和全面性的攻击场景是检验安全能力的重要工作,目前仍需不断提升。
最后,建议强化、深化关键信息基础设施保护领域的网络安全信息共享标准,为攻防演练提供法律法规的指导,也要重视演练实战中人员的表现,开展考核奖励机制,并将网络攻防演练作为各企事业单位,乃至国家层面培养网络安全人才的创新型培养模式。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
勒索软件团伙称他们是纽卡斯尔大学袭击案的幕后黑手
英国纽卡斯尔大学称,在DoppelPaymer勒索软件运营商于8月30日上午攻破其网络并使系统离线后,it服务将需要数周时间恢复在线。 目前,英国警方和国家犯罪局与纽卡斯尔大学信息技术服务部(NUIT)合作,对这起袭击事件展开调查。 “在2020年8月30日星期日,我们意识到该大学遭受了一次严重的网络事件,该事件正在导致我们的网络和IT系统的运营中断,”该校当时说。 “除通讯(Office365–包括电子邮件和团队、画布和缩放)中列出的系统外,所有大学系统都不可用或可用,但有限制。 大学还没有决定是否也会重置账户密码,但它表示,可能会根据内部支持团队和第三方顾问的建议进行重置。 纽卡斯尔大学(Newcastle University)在今天发表的一份最新报告中说,“问题的性质意味着这将是一段时间内持续存在的情况,需要数周时间才能解决。” 对这起事件的调查仍处于早期阶段。IT部门的同事们继续努力制定系统恢复计划,并支持警方和国家犯罪调查局进行调查,在这次初步调查结束之前,我们无法透露事件的更多细节。在网络事件被发现的72小时内,ICO和学生办公室接到了通知。-纽卡斯尔大学发言人 提供的I...
- 下一篇
世界上最大的网站管理员社区数据泄露,80万用户数据泄露
属于Digital Point网站管理员论坛的一个数据库泄露了超过80万用户的记录。 总部位于加利福尼亚州圣地亚哥的Digital Point自称是“世界上最大的网站管理员社区”,汇集了自由职业者、营销人员、编码人员和其他创意专业人士。 7月1日,网站行星研究小组和网络安全研究员杰里米·福勒发现了一个不安全的Elasticsearch数据库,其中包含超过6200万条记录。总的来说,属于863412数字点用户的数据被包括在泄漏中。 据该小组称,姓名、电子邮件地址和内部用户ID号都已公开。 此外,内部记录和用户发布的详细信息都存储在开放数据库中。在检查数据库以找出所有者是谁时,研究人员无意中发现了一组与论坛成员有关的数据,这些数据包括对“糟糕的商业交易”的指控、垃圾邮件和其他原因,其中一些被描述为“琐碎和私人的” 除了用户数据盗窃和网络钓鱼等常见的安全后果外,该数据库可能已经成为众多屈服于Meow Bot的一个,Meow Bot是一个自动化脚本,它在7月份导致了数千个不安全的MongoDB和Elasticsearch数据库的安全漏洞。一旦部署了脚本,它就会用数字和单词“meow”覆盖数据。...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8编译安装MySQL8.0.19
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS6,7,8上安装Nginx,支持https2.0的开启