• 2019年8月，烏克蘭核電站雇員為了挖幣而將部分內(nèi)部網(wǎng)絡(luò)連到外網(wǎng)，導(dǎo)致國(guó)家機(jī)密潛在泄露
• 2019年7月，美國(guó)國(guó)土安全部官員稱，俄羅斯黑客入侵了美國(guó)電力公司的隔離網(wǎng)絡(luò)
• 2019年6月，阿根廷和烏拉圭因互聯(lián)電網(wǎng)發(fā)生“大規(guī)模故障”，導(dǎo)致全國(guó)性停電
• ……

關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域硝煙四起，網(wǎng)絡(luò)安全成關(guān)鍵屏障。此時(shí)，各國(guó)啟動(dòng)練兵，演習(xí)正當(dāng)其時(shí)。

談攻防演練，避不開(kāi)中美。而近來(lái)美國(guó)最大規(guī)模攻防演練Cyber Storm VII落下帷幕，更讓筆者對(duì)兩國(guó)網(wǎng)絡(luò)攻防演練對(duì)比生出好奇，因而有了這篇文章。

初探中美攻防演練

2016年開(kāi)始，我國(guó)對(duì)網(wǎng)絡(luò)攻防演練的重視和實(shí)戰(zhàn)提上章程，并且在近幾年不斷常態(tài)化，民間機(jī)構(gòu)、各大企業(yè)也嘗試開(kāi)展日?；墓シ姥菥?，而網(wǎng)絡(luò)靶場(chǎng)產(chǎn)品的涌現(xiàn)和應(yīng)用則進(jìn)一步推動(dòng)了攻擊演練的發(fā)展。

目前，我國(guó)的攻防演練的主要特點(diǎn)是

• 事先不通知
• 攻擊手段不明確
• 以防攻擊、防破壞、防泄密、防重大網(wǎng)絡(luò)安全故障為重點(diǎn)

在攻防設(shè)置上和國(guó)外相反，即：

• 藍(lán)軍為攻擊方：包括網(wǎng)警、測(cè)評(píng)中心、安全公司等。
• 紅軍為防守方：包括政府機(jī)構(gòu)、國(guó)有企業(yè)、高校和醫(yī)院等。

此外，還設(shè)置了“裁判”角色對(duì)攻防雙方進(jìn)行打分。每次演練時(shí)長(zhǎng)在3周，一般會(huì)提前確定參演名單。

主要規(guī)則為：攻擊方即獲取權(quán)限、獲取數(shù)據(jù)、遠(yuǎn)程控制等;防守方為發(fā)現(xiàn)攻擊、消除威脅、應(yīng)急響應(yīng)等。通過(guò)攻防演練及時(shí)發(fā)現(xiàn)安全問(wèn)題，快速整改。

不過(guò)，盡管我國(guó)在攻防演練上已經(jīng)積累了一定經(jīng)驗(yàn)，但和美國(guó)、北約等相比，起步較晚。早在2010年，北約聯(lián)盟就啟動(dòng)為期5天的攻防演練，主要攻擊范圍為模擬的海軍基地、電站等關(guān)鍵信息建設(shè)設(shè)備。而美國(guó)在這一領(lǐng)域的經(jīng)驗(yàn)則更為豐富。

美國(guó)比較成熟的攻防演練類型包括Cyber Guard、Cyber Flag以及Cyber Storm。

• Cyber Guard，傳說(shuō)中美國(guó)國(guó)防部警衛(wèi)隊(duì)的磨練場(chǎng)。由美國(guó)網(wǎng)絡(luò)司令部、美國(guó)國(guó)土安全部和美國(guó)聯(lián)邦調(diào)查局聯(lián)合舉辦的一年一度的網(wǎng)絡(luò)演習(xí)。

整個(gè)演習(xí)環(huán)境在一個(gè)封閉的模擬網(wǎng)絡(luò)中，參與者可以真正體驗(yàn)在時(shí)間緊迫的情況下，承受巨大壓力進(jìn)行攻防對(duì)抗。

根據(jù)美國(guó)網(wǎng)絡(luò)司令部司令Michael Rogers的說(shuō)法，Cyber Guard主要是在磨練網(wǎng)絡(luò)戰(zhàn)下，國(guó)防部麾下各支力量(現(xiàn)役、預(yù)備役與國(guó)民警衛(wèi)隊(duì))間的協(xié)作能力。因此，演習(xí)期間的訓(xùn)練成果比起比賽結(jié)果贏輸更為重要。

• Cyber Flag，同樣由美國(guó)網(wǎng)絡(luò)司令部主導(dǎo)，為一年一度的聯(lián)合網(wǎng)絡(luò)空間訓(xùn)練演習(xí)，主要參演人員是美國(guó)的網(wǎng)絡(luò)空間部隊(duì)。

值得注意的是，在演習(xí)中除了紅藍(lán)隊(duì)，還存在一個(gè)白隊(duì)。“白隊(duì)”主要負(fù)責(zé)演習(xí)評(píng)估，人數(shù)默認(rèn)在5人及以上，其中1人派駐在控制室中控制演習(xí)進(jìn)程，1人跟隨“紅隊(duì)”，3人或3人以上跟隨“藍(lán)隊(duì)”，觀察其行動(dòng)并將結(jié)果錄入數(shù)據(jù)庫(kù)。

而在Cyber Flag 2019中，就有來(lái)自國(guó)防部，其他聯(lián)邦機(jī)構(gòu)和合作伙伴國(guó)家的650多名網(wǎng)絡(luò)專業(yè)人員參與演練，圍繞針對(duì)工業(yè)控制系統(tǒng)和數(shù)據(jù)采集網(wǎng)絡(luò)進(jìn)行攻防。同時(shí)，為了確保演習(xí)更具備現(xiàn)實(shí)意義和針對(duì)性，攻擊方使用的戰(zhàn)術(shù)、技術(shù)還會(huì)模仿特定民族國(guó)家和黑客組織。

• 最后是Cyber Storm——網(wǎng)絡(luò)風(fēng)暴，相對(duì)來(lái)說(shuō)似乎名氣更為大一些。

該演練由美國(guó)國(guó)土安全部主導(dǎo)的，約兩年舉辦一次，每次演習(xí)5天，迄今已舉行過(guò)7次。

透視Cyber Storm VII

每屆“網(wǎng)絡(luò)風(fēng)暴”演習(xí)都會(huì)以先前發(fā)生的真實(shí)事件為基礎(chǔ)，通過(guò)演練最新的應(yīng)急響應(yīng)政策、流程和程序，加強(qiáng)美國(guó)在應(yīng)對(duì)影響范圍波及多個(gè)行業(yè)的網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全戰(zhàn)備和應(yīng)急處置能力。至于具體的演習(xí)內(nèi)容和演習(xí)方式則會(huì)不斷完善。

此前，我們分享過(guò)歷屆Cyber Storm的特點(diǎn)：

以剛結(jié)束的Cyber Storm VII(此前默認(rèn)2019年11月，美國(guó)首次與臺(tái)灣省共同舉行的演練為Cyber Storm VII，但“官方”并沒(méi)有承認(rèn))為例，今年的規(guī)模再次擴(kuò)大，人數(shù)達(dá)到2000+，針對(duì)行業(yè)覆蓋醫(yī)療保健、制造業(yè)和其他關(guān)鍵領(lǐng)域。

盡管此次演練并沒(méi)有攻擊特定的系統(tǒng)，但互聯(lián)網(wǎng)的一些關(guān)鍵流程和基礎(chǔ)設(shè)施依舊是主角，尤其是DNS(域名系統(tǒng))證書頒發(fā)機(jī)構(gòu)、BGP(邊界網(wǎng)關(guān)協(xié)議)等。

此外，值得注意的是，Cyber Storm VII的幾個(gè)要點(diǎn)：

• 建立在以往演習(xí)成果和網(wǎng)絡(luò)安全格局變化的基礎(chǔ)上;
• 評(píng)估和提高網(wǎng)絡(luò)響應(yīng)機(jī)構(gòu)的能力;
• 促進(jìn)公私伙伴關(guān)系并加強(qiáng)聯(lián)系;
• 整合新的關(guān)鍵基礎(chǔ)設(shè)施合作伙伴，同時(shí)為退伍軍人提供回來(lái)的機(jī)會(huì)。

基于美國(guó)Cyber Storm的發(fā)展，可以發(fā)現(xiàn)，從參演方來(lái)看，Cyber Storm的參與人數(shù)不斷增加，且由最開(kāi)始的聯(lián)邦政府發(fā)展到全球多國(guó)參與其中，從攻擊側(cè)重點(diǎn)來(lái)看，越來(lái)越多的行業(yè)參與演習(xí)(醫(yī)療、制造、運(yùn)輸?shù)?，但核心依然是關(guān)鍵基礎(chǔ)設(shè)施。

此外，在網(wǎng)絡(luò)安全體系建設(shè)中就奉行軍民融合的美國(guó)，將這一理念同樣貫徹到了攻防演練之中，美國(guó)充分借助民間優(yōu)勢(shì)，強(qiáng)化軍政民多向合作，持續(xù)增強(qiáng)網(wǎng)絡(luò)攻防和支援能力。

而在Cyber Storm的成功背后，政府的2個(gè)作為同樣不能忽視：

• 協(xié)調(diào)多方參演：美國(guó)一向試圖掌握全球網(wǎng)絡(luò)空間話語(yǔ)權(quán)，這一點(diǎn)從美國(guó)的安全體系建設(shè)、分層網(wǎng)絡(luò)威脅戰(zhàn)略、頻繁的APT歸因等操作中可見(jiàn)，事實(shí)證明也有所成效。在多次Cyber Storm中，美國(guó)能夠協(xié)調(diào)多方參演，包括五眼聯(lián)盟和其他國(guó)家，一定程度上提升了攻防演練的有效性(得以發(fā)現(xiàn)更多安全問(wèn)題)。
• 前期立法鋪墊：美國(guó)先后頒布了大量保障關(guān)鍵基礎(chǔ)設(shè)施的法律文件，如《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》、《提高關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》、《提高關(guān)鍵基礎(chǔ)設(shè)施的安全性和恢復(fù)力》等，此外還推出了網(wǎng)絡(luò)威脅情報(bào)共享協(xié)議(STIX、Cybox、TAXII)，成立網(wǎng)絡(luò)威脅情報(bào)共享國(guó)際標(biāo)準(zhǔn)化組織OASIS……為攻防演練的開(kāi)展提供了支撐。

攻防演練發(fā)展趨勢(shì)

如今，美國(guó)已然把網(wǎng)絡(luò)空間納入其國(guó)防體系中，進(jìn)行統(tǒng)一規(guī)劃，而在網(wǎng)絡(luò)空間并不平靜的當(dāng)下乃至未來(lái)，各國(guó)都在為提升國(guó)家網(wǎng)絡(luò)安全做準(zhǔn)備，我國(guó)也在重新審視網(wǎng)絡(luò)安全問(wèn)題，將視角轉(zhuǎn)移到更高級(jí)別的“攻防對(duì)抗”上，攻防演練的重要性不言而喻。

可以預(yù)見(jiàn)的是：

• 關(guān)鍵信息基礎(chǔ)設(shè)施至少會(huì)在很長(zhǎng)一段時(shí)間是攻防演練重頭戲
• 攻防演練對(duì)企業(yè)/機(jī)構(gòu)的安全能力提出更高的要求，即從被動(dòng)防御和基本合規(guī)走向主動(dòng)防御、實(shí)戰(zhàn)驅(qū)動(dòng)
• 政府牽頭，多方協(xié)作是攻防演練規(guī)模體系化成長(zhǎng)的必要因素
• 關(guān)鍵機(jī)構(gòu)和重要企事業(yè)單位之間的協(xié)同、信息共享是攻防演練效益提升的重要推動(dòng)

此外，構(gòu)建第三方專業(yè)攻擊隊(duì)伍/平臺(tái)，設(shè)定更具針對(duì)性和全面性的攻擊場(chǎng)景是檢驗(yàn)安全能力的重要工作，目前仍需不斷提升。

最后，建議強(qiáng)化、深化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域的網(wǎng)絡(luò)安全信息共享標(biāo)準(zhǔn)，為攻防演練提供法律法規(guī)的指導(dǎo)，也要重視演練實(shí)戰(zhàn)中人員的表現(xiàn)，開(kāi)展考核獎(jiǎng)勵(lì)機(jī)制，并將網(wǎng)絡(luò)攻防演練作為各企事業(yè)單位，乃至國(guó)家層面培養(yǎng)網(wǎng)絡(luò)安全人才的創(chuàng)新型培養(yǎng)模式。