2024紫队实战攻防演习组织.docx

《2024紫队实战攻防演习组织.docx》由会员分享，可在线阅读，更多相关《2024紫队实战攻防演习组织.docx（26页珍藏版）》请在第壹文秘上搜索。

1、紫队实战攻防演习组织目录第一章什么是紫队1一、实战攻防演习组织要素1二、实战攻防演习组织形式3三、实战攻防演习组织关键3第二章实战攻防演习组织的四个阶段6一、组织策划阶段6二、前期准备阶段15三、实战攻防演习阶段17四、演习总结阶段20第三章实战攻防演习风险规避措施24一、演习限定攻击目标系统，不限定攻击路径.24二、除授权外，演习不允许使用拒绝服务攻击.24三、网页篡改攻击方式的说明24四、演习禁止采用的攻击方式25五、攻击方木马使用要求25六、非法攻击阻断及通报26紫队实战攻防演习组织第一章什么是紫队紫队，一般是指网络实战攻防演习中的组织方。紫队是在实战攻防演习中，以组织方角色，开展演习的

2、整体组织协调工作，负责演习组织、过程监控、技术指导、应急保障、演习总结、技术措施与策略优化建议等各类工作。紫队组织红队对实际环境实施攻击，组织蓝队实施防守，目的是通过演习检验参演单位安全威胁应对能力、攻击事件检测发现能力、事件分析研判能力和事件响应处置能力，提升被检测机构安全实战能力。下面，就针对紫队组织网络实战攻防演习的要素、形式和关键点分别进行介绍。-、实战攻防演习组织要素组织一次网络实战攻防演习，组织要素包括：组织单位、演习技术支撑单位、攻击队伍（即红队）、防守单位这四个部分。组织单位总体把控、资源协调、专家评审、裁判打分成立若干攻击小组，以竞赛或合作的方式展开真实的网络攻击,发现安全漏

3、洞，获得月艮务器权限可视化展示所有攻击行为安全可控成立防守小组，实时监控网络，进行实时阻断、应急响应等工作攻击录屏，视频监控麒映樊攻防演画组缀、演习组织、演习总结、落实整改等相关工作等。演习技术支撑单位由专业安全公司提供对应技术支撑和保障，实现攻防对抗演习环境搭建和攻防演习可视化展示。攻击队伍，也即红队，一般由多家安全厂商独立组队，每支攻击队一般配备3-5人。在获得授权前提下，以资产探查、工具扫描和人工渗透为主进行渗透攻击，以获取演习目标系统权限和数据。防守队伍，也即蓝队，由参演单位、安全厂商等人员组成，主要负责对防守方所管辖的资产进行防护，在演习过程中尽可能不被红队拿到权限和数据。二、实战攻

4、防演习组织形式网络实战攻防演习的组织形式根据实际需要出发，主要有以下两种：1）由国家、行业主管部门、监管机构组织的演习此类演习一般由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业关键信息基础设施和重要系统，组织攻击队以及行业内各企事业单位进行网络实战攻防演习。2）大型企事业单位自行组织演习央企、银行、金融企业、运营商、行政机构、事业单位及其他政企单位，针对业务安全防御体系建设有效性的验证需求，组织攻击队以及企事业单位进行实战攻防演习。三、实战攻防演习组织关键实战攻防演习得以成功实施，组织工作包括：演习范围、周期、场地、设备

5、、攻防队伍组建、规则制定、视频录制等多个方面。演习范围：优先选择重点（非涉密）关键业务系统及网络。演习周期：结合实际业务开展，一般建议1-2周。演习场地：依据演习规模选择相应的场地，可以容纳指挥部、攻击方、防守方，三方场地分开。演习设备：搭建攻防演习平台、视频监控系统，为侬紫帙实战攻防演习组织方组建：选择参演单位自有人员或聘请第三方安全服务商专业人员组建。防守队组建：以各参演单位自有安全技术人员为主,聘请第三方安全服务商专业人员为辅构建防守队伍。演习规则制定：演习前明确制定攻击规则、防守规则和评分规则，保障攻防过程有理有据，避免攻击过程对业务运行造成不必要的影响。演习视频录制：录制演习的全过程

6、视频，作为演习汇报材料以及网络安全教育素材，内容包括：演习工作准备、攻击队攻击过程、防守队防守过程以及裁判组评分过程等内容。第二章实战攻防演习组织的四个阶段实战攻防演习的组织可分为四个阶段：组织策划阶段：此阶段明确演习最终实现的目标，组织策划演习各项工作，形成可落地、可实施的实战攻防演习方案，并需得到领导层认可。前期准备阶段：在已确定实施方案基础上开展资源和人员的准备，落实人财物。徽fife雷战地防演ffl织方协调攻防两方及其他参演单位完成演习工作，包括演习启动、演习过程、演习保障等。演习总结阶段：先恢复所有业务系统至日常运行状态，再进行工作成果汇总，为后期整改建设提供依据。下面依次进行详细介

7、绍。一、组织策划阶段网络实战攻防演习是否成功，组织策划环节非常关键。组织策划阶段主要从建立演习组织、确定演习目标、制定演习规则、确定演习流程、搭建演习平台、应急保障措施这六个方面进行合理规划、精心编排，这样才能指导后续演习工作开展。（一）建立演习组织为确保攻防演习工作顺利进行，成立实战攻防演习工作组及各参演小组，组织架构通常如下：演习组织机构设置示意图1）攻击组（红队）由参演单位及安全厂商攻击人员构成，一般由攻防渗透人员、代码审计人员、内网攻防渗透人员等技术人员组成。负责对演习目标实施攻击。2）防守组由各个防护单位运维技术人员和安全运营人员组成,负责监测演习目标，发现攻击行为，遏制攻击行为，进

8、行响应处置。3）技术支撑组其职责是攻防过程整体监控，主要工作为攻防过程中实时状态监控、阻断处置操作等，保障攻防演习过程安全、有序开展。演习组织方，即紫队需要负责那派樊城攻防慢落组绒常运4）监督评价组由攻防演习主导单位组织形成专家组和裁判组，负责攻防演习过程中巡查各个攻击小组，即红队的攻击状态，监督攻击行为是否符合演习规则，并对攻击效果进行评价。专家组负责对演习整体方案进行研究，在演习过程中对攻击效果进行总体把控，对攻击成果进行研判，保障演习安全可控。裁判组负责在演习过程中对攻击状态和防守状态进行巡查，对攻击方操作进行把控，对攻击成果判定相应分数，依据公平、公正原则对参演攻击队和防守单位给予排名

9、。5）组织保障组由演习组织方指定工作人员组成，负责演习过程中协调联络和后勤保障等相关事宜，包括演习过程中应急响应保障、演习场地保障、演习过程中视频采集等工作。（二踊定演习目标依据实战攻防演习需要达到的演习效果，对参演单位业务和信息系统全面梳理，可以由演习组织方选定或由参演单位上报，最终选取确认演习目标系统。通常会选择关键信息基础设施、重要业务系统、门户网站等作为演习首选目标。（三制定演习规则依据演习目标结合实际演习场景，细化攻击规则、防守规则和评分规则。为了鼓励和提升防守单位防守技术能力，可以适当增加防守方反击得分规则。演习时间：通常为工作日5义8小时，组织单位视情况还可以安排为7X24小时。

10、沟通方式：即时通信软件、邮件、电话等。（四）5角定演习流程实战攻防演习正式开始后的流程一般如图所示:1）确认人员就位确认红队人员以及攻防演习组织方、防守组人员按要求到位。2）确认演习环境攻击组与技术支撑组确认演习现场和演习平台准备就绪。3）确认准备工作防守组确认参演系统备份情况，目标系统是否正常,并已做好相关备份工作。4）演习开始各方确认准备完毕，演习正式开始。5）攻击组实施攻击红队对目标系统开展网络攻击，记录攻击过程和成果证据。6）防守组监测攻击防守组可利用安全设备对网络攻击进行监测，对发现的攻击行为进行分析确认，详细记录监测数据。7）提交成果演习过程中，红队人员发现可利用安全漏洞，将获取的

11、权限和成果截图保存，通过平台进行提交。8）漏洞确认及研判由专家组对提交的漏洞进行确认，确认漏洞的真实性，并根据演习计分规则进行分数评判。9）攻击结束在演习规定时间外，攻击组人员停止对目标系统的攻击。10）成果总结7鄢枣隋演fl鼎级的成果、问题、数据进行汇总，输出相关演习总结报告。11）资源回收由演习工作组负责对各类设备、网络资源进行回收,同时对相关演习数据进行回收处理，并监督攻击组人员对在演习过程中使用的木马、脚本等数据进行清除。12）演习结束对所有目标系统攻击结束后，工作小组还需要进行内部总结汇报，演习结束。（五海建演习平台为了保证演习过程安全可靠，需搭建攻防演习平台,演习平台包括：攻击场地

12、、防守场地、攻击目标信息系统、指挥大厅、攻击行为分析中心。1）攻击场地攻击场地可分为场内攻击和场外攻击，搭建专用的网络环境并配以充足的攻击资源。正式攻击阶段，攻击小组在对应场所内实施真实性网络攻击。场地内部署攻防演习监控系统，协助技术专家监控攻击行为和流量，以确保演习中攻击的安全可控。2）防守场地防守场地主要是防守方演习环境，可通过部署视频监控系统将防守工作环境视频回传指挥中心。3）攻击目标信息系统攻击目标信息系统即防守方网络资产系统。防守方在被攻击系统开展相应的防御工作。4）攻击行为分析中心攻击行为分析中心通过部署网络安全审计设备对攻击者攻击行为进行收集及分析，实时监控攻击过程，由日志分析得

13、出攻击步骤，建立完整的攻击场景，直观地反应目标主机受攻击的状况，并通过可视化大屏实时展现。5）指挥大厅演习过程中，攻方和守方的实时状态将接入到指挥加）紫帙实敕畋阴演习缠织（六）应急保障措施指攻防演习中发生不可控突发事件，导致演习过程中断、终止时，所需要采取的处置措施预案。需要预先对可能发生的紧急事件（如断电，断网，业务停顿等）做出临时处置安排措施。攻防演习中一旦参演系统出现问题，防守方应采取临时处置安排措施，及时向指挥部报告，由指挥部通知红队在第一时间停止攻击。指挥部应组织攻、防双方制定攻击演习应急相应预案，具体应急响应预案在演习实施方案中完善。二、前期准备阶段实战攻防演习能否顺利、高效开展，

14、必须提前做好两项准备工作，一是资源准备，涉及到场地、演习平台、演习设备、演习备案、演习授权、保密工作以及规则制定等；二是人员准备，包括攻击人员、防守人员的选拔、审核和队伍组建等。1）资源准备演习场地布置：演习展示大屏、办公桌椅、攻击队网络搭建、演习会场布置等；演习平台搭建：攻防平台开通、攻击方账户开通、IP分配、防守方账户开通，做好平台运行保障工作；演习人员专用电脑：配备专用电脑，安装安全监控软件、防病毒软件、录屏软件等，做好事件回溯机制；视频监控部署：部署攻防演习场地办公环境监控，做好物理环境监控保障；演习备案：演习组织方向上级主管单位及监管机构（公安、网信等）进行演习备案；演习授权：演习组

15、织方向攻击队进行正式授权，确保演习工作在授权范围内有序进行；保密协议：与参与演习工作的第三方人员签署相关保密协议，确保信息安全；攻击规则制定：攻击规则包括攻击队接入方式、攻击时间、攻击范围、特定攻击事件报备等，明确禁止使用的攻击行为，如；导致业务瘫痪、信息篡改、信息泄露、潜伏控制等动作；B劈映;噪:战般盼野酱1匆啰伴!，制定相应评獭心漪,即仔眼遍包拈:%现类、消除类、应急处置类、追踪溯源类、演习总结类加分项以及减分项等；攻击方评分规则包括：目标系统、集权类系统、账户信息、重要关键信息系统加分以及违规减分项等。2）人员准备红队：组建攻击队，确定攻击队数量，每队参与人员数量建议3-5人、对人员进行技术能力、背景等方面审核，确定防守方负责人并构建攻击方组织架构，签订保密协议；向攻击人员宣贯攻击规则及演习相关要求。蓝队：组建防守队，确定采用本组织人员作为防守人员，或请第三方人员加入，对人员进行技术能力、背景等方面审核，确定防守方负责人并构建防守方组织架构。第三方人员签署保密协议，向防守方宜贯防守规则及演习相关要求。三、实战攻防演习阶段（一寅习启动演习组织