SEC10-BP07 运行模拟
随着组织不断发展壮大,威胁形势也会不断变化,因此务必要持续评估组织的事件响应能力。运行模拟(也称为实际演练)是可用于执行这种评估的一种方法。模拟过程使用现实世界中的安全事件场景,旨在模仿威胁主体采取的战术、技术和程序(TTP),让组织通过响应现实中可能发生的模拟网络事件,来练习和评估自己的事件响应能力。
建立这种最佳实践的好处:模拟有多种好处:
-
检验网络准备情况,有助于事件响应人员树立信心。
-
测试工具和工作流程的准确性和有效性。
-
完善沟通和上报环节,使之与您的事件响应计划相吻合。
-
提供机会来应对不太常见的攻击载体。
在未建立这种最佳实践的情况下暴露的风险等级:中等
实施指导
模拟主要分为三种类型:
-
桌面演练:桌面演练模拟方法是一种基于讨论的会议,让各个事件响应利益相关者参与进来,练习角色和职责,以及练习使用既定的沟通工具和行动手册。通常是用一整天的时间在虚拟场地和/或实地中协调完成演练。由于桌面演练以讨论为基础,因此侧重于流程、人员和协作。在讨论中,技术是必不可少的一部分,但事件响应工具或脚本的实际使用通常不包括在桌面演练中。
-
紫队演练:紫队演练可提高事件响应人员(蓝队)和模拟威胁主体(红队)之间的协作能力。蓝队由安全运营中心(SOC)的成员组成,但也可以包括在实际网络事件中会参与进来的其他利益相关者。红队由渗透测试团队或接受过攻击安全培训的关键利益相关者组成。在设计场景时,红队会与演练协调员相互协作,以确保场景的准确性与可行性。在紫队演练中,主要的关注点是支持事件响应工作的检测机制、工具和标准操作程序(SOP)。
-
红队演练:在红队演练中,进攻方(红队)模拟进行攻击,从而在预定范围内实现特定目标或一系列目标。防御方(蓝队)不一定知道演练的范围和持续时间,如此,可以更真实地评估他们应对真实事件的能力。由于红队的演练可能是侵入性测试,因此务必谨慎行事,并实施控制措施,以确保该演练不会对环境造成实际破坏。
请考虑定期协调开展网络模拟。对于参与者和整个组织而言,每种演练类型都可以带来独特的好处,因此您可以选择从不太复杂的模拟类型(例如桌面演练)入手,然后再慢慢过渡到较为复杂的模拟类型(红队演练)。您应根据自身的安全成熟度、资源和预期结果选择模拟类型。由于红队演练的复杂性和成本,一些客户可能不会选择进行红队演练。
实施步骤
无论您选择哪种模拟类型,模拟通常都遵循以下实施步骤:
-
确定核心演练要素:确定模拟场景和模拟要达成的目标。这两者都应该得到领导层的认同。
-
确定关键利益相关者:演练至少需要演练协调员和参与者。根据具体的场景,可能会涉及其他利益相关者,例如法务、通信或行政等领域的领导层。
-
构建和测试场景:如果有特定要素不可行,则可能需要在构建时重新定义该场景。本阶段的预期结果是最终确定的场景。
-
协调开展模拟:采用的模拟类型决定了所需的协调工作(书面讨论场景对比高技术含量的模拟场景)。协调员应根据演练目标调整其协调战术,并应尽可能让所有演练参与者都参与进来,以实现最大利益。
-
撰写事后报告(AAR):确定哪些方面进展较为顺利、哪些方面需要改进以及可能存在的差距。AAR 应衡量模拟的有效性,并记录团队对模拟事件的响应情况,以便在将来的模拟中可以不断跟踪进度。
资源
相关文档:
相关视频:
