據多家媒體報道[1,2],2020年8月中旬,美國組織了為期三天的網絡風暴演習(Cyber Storm Exercise)2020。網絡風暴演習是美國國土安全部(DHS)定期組織的系列大型網絡安全演習活動,至今已舉辦七屆。作為網絡空間安全演習、攻防對抗的標桿之一,該活動的舉辦對于提高參演方應急響應能力有著非常重要的作用,對于我國網絡安全從業者及安全管理部門都有著重要的借鑒學習作用。
作為企業的內設研究機構,中測安華必達實驗室在整理歷屆網絡風暴演習情況的基礎上,對歷屆的演習主旨以及演習中發現的問題進行分析總結后發現:第一,協調聯動的主旨貫穿始終,對于應急響應尤其重要;第二,信息共享在演習中極為關鍵,對應急響應效果作用明顯;第三,防御協同流程機制一直在優化,針對新威脅、新場景和新技術的趨勢需要不斷完善。以上表明,美國政府對協同、共享非常重視,在歷屆演習中所暴露的與之相關的問題和改進措施等經驗總結,對于國內網絡安全運營工作有者重要的指導意義。中測安華也在實踐中借鑒了美國網絡風暴演習的經驗,不斷豐富完善持續風險監測體系中協同機制的內涵和外延,從而有效提高該體系應用單位跨部門、跨機構的協同聯動效率。
本文將詳細介紹美國歷屆網絡風暴演習的基本情況,以供網絡安全同行參考。
一、概述
網絡風暴演習是美國國土安全部(DHS)主辦的大規模網絡安全系列演習活動,從2006年2月開始至今,共舉辦了7次(兩年一次)。網絡風暴演習一般會包含為期為3天左右的實戰演習,演習結束后會進行戰后分析研討形成總結。網絡風暴演習以美國為主導,涉及全球多個合作伙伴(主要是五眼聯盟、北約等國家),旨在加強公私領域、跨國間的網絡應急協調和情報共享能力。網絡風暴系列演習重點演練參演方對網絡攻擊的準備,防護和應急響應能力,評估信息共享機制和通信途徑等。
二、歷屆網絡風暴演習介紹
1. 網絡風暴I[3]
首次網絡風暴演習于2006年2月6日至10日舉行,涉及能源,IT,運輸和通信行業,參演方包括五眼聯盟(澳大利亞,加拿大,新西蘭、英國、美國),多個州政府(密歇根州政府,蒙大拿州政府等),聯邦機構(商務部,國防部等)等。演習目的是通過國家網絡響應協調小組(NCRCG),進行機構間的協調,確定影響應急響應和應急恢復的策略問題以及在公私領域中重要的信息共享途徑和機制,不斷完善和促進根據響應流程和程序進行的公私領域之間的合作溝通。
在演習的協調聯動方面,美國計算機應急響應小組(US-CERT)和國土安全運營中心(HSOC)發布重大預警警告時,國家網絡響應協調小組(NCRCG)和機構間事件管理小組(IIMG)隨之啟動,國土安全部(DHS)和國家網絡響應協調小組(NCRCG)通過獲得的信息分析出總體的攻擊態勢,評估出對國家重要基礎設施的影響,對國家安全和經濟利益的威脅,美國計算機應急響應小組(US-CERT)不僅被用作響應信息的中轉中心,為國土安全部(DHS)和國家網絡響應協調小組(NCRCG)提供分析總體攻擊態勢的信息,而且在信息量過大且國家網絡響應協調小組(NCRCG)技術人員不足時,充當分析總體攻擊態勢的職責。而各行業的信息分享和分析中心(ISAC)則會與該行業的參演人員相互溝通。
演習后的總結中提到,組織機構間的威脅響應需要進一步完善操作和協同程序,同時隨著網絡事件的不斷增加,響應協調的難度也在增加。
2. 網絡風暴II[4]
此次演習在2008年3月10日至14日舉行,涉及IT、通信,化工,運輸業,參演方包括五眼聯盟(澳大利亞,加拿大,新西蘭、英國、美國),多個州(加利福尼亞州,科羅拉多州等),聯邦機構(國防部,能源部等)等。此次演習中,參演方可以評估自己對網絡攻擊的準備能力,防護能力和響應能力以及決策和協調能力,評估信息共享機制及通信途徑。
在演習的協調聯動方面,參演人員在模擬的場景中(包括網絡中斷,通信中斷和控制系統出錯),通過標準化操作流程(SOP)及伙伴關系協同應對網絡風險。在演習過程中,國家網絡響應協調小組(NCRCG)作為威脅行動小組(CAT)的戰略顧問,為該小組提供相關的信息,幫助評估事件的影響并制定響應要求,而威脅行動小組(CAT)則負責指揮應急響應。各個行業的信息共享和分析中心(ISAC)和美國計算機應急響應小組(US-CERT)作為協同的重要部分,幫助參與者進行溝通。
演習后的總結中提到,應急通信的工具和相關方法需要進一步完善和加強,行業協調委員會(SCCs)、美國計算機應急響應小組(US-CERT)、國家網絡響應協調小組(NCRCG)及威脅行動小組(CAT)的職責需要進一步明確。
3. 網絡風暴III[5]
此次演習在2010年9月27日至10月1日舉行,涉及化工,能源(電力)及運輸(鐵路)業 。參演方包括聯邦機構(中情局,商務部等),多個州(加利福尼亞州,特拉華州等),12個國際伙伴(來自澳大利亞,加拿大[6],新西蘭、英國及國際觀測和預警網絡(IWWN)成員國)等。此次演習是為了明確并演練處理流程、程序、合作及響應機制,評估國土安全部(DHS)所承擔的角色以及國家網絡事件響應計劃(NCIRP),評測協調和決策機制,找出信息共享中的問題等。
在演習的協調聯動方面,參演人員按照國家網絡事件響應計劃(NCIRP)來應對影響重要基礎設施的網絡安全威脅以及網絡攻擊活動。在演習中,參與者通過協調機構來應對風險,其中協調機構包括:國家網絡安全與通信集成中心(NCCIC)和網絡統一協調小組(UCG),在化工、電力、IT和運輸行業,公司還可借助信息共享和分析中心(ISAC)、貿易協會、行業代理以及直接對接來進行跨行業分享信息。例如在運輸領域,私有企業通過信息分享和分析中心(ISAC)來與國家網絡安全與通信集成中心(NCCIC)進行協同響應。
演習后的總結中提到,參演方發現國家網絡事件響應計劃(NCIRP)中涉及的處理過程、程序、角色和職責還需進一步完善。
4. 網絡風暴IV[7]
此次演習從2011年11月延續到2014年1月,參演方包括國際觀測和預警網絡(IWWN)成員國(澳大利亞,加拿大,法國等),多個州(緬因州,俄勒岡州等)及其他企業和部門。此次演習是為了提高國家網絡事件響應計劃(NCIRP)中的處理流程、程序、合作機制和信息分享機制,評估國土安全部(DHS)及其相關部門在全球網絡事件中的作用,演練協調機制,評估信息共享的能力以及決策程序。本次演習的具體形式較之前有所變化,由小型研討會、紙上推演、實戰演練等15個演練活動組成。
演習后的總結中提到,參演方發現信息共享和溝通中依舊存在問題,并且一些參演方不了解有哪些資源可用,以及如何獲取到資源。
5. 網絡風暴V[8]
此次演習在2016年3月7日至11日舉行,包括3天的實戰演習,主要涉及IT、通信、醫療保障和公共健康、商業設施(零售子領域)領域。參演方包括聯邦機構(國土安全部(DHS),國防部等),多個州(阿拉巴馬州,科羅拉多州等),12個國際合作伙伴(新西蘭國家網絡安全中心,日本國家信息安全中心等),約70家私營企業(亞馬遜,沃爾瑪等)和協調機構(統一協調小組(UCG)等)。此次演習是為了演練協調機制、決策的程序、評估信息共享能力以及對態勢的認知能力,評估國土安全部(DHS)及其他政府部門在網絡事件中的角色和職能等。
參演人員根據內部的策略和程序、外部的報告要求和協調機制(例如,向信息共享和分析組織(ISAO)或信息共享和分析中心(ISAC)發送報告)進行響應。當演習規模達到國家級別(National Level),國家網絡安全與通信集成中心(NCCIC)所指揮的統一協調小組(UCG)便會啟動。而統一協調小組(UCG)作為一種實時的應急響應機制,幫助公私部門進行溝通協調,增加對應急事件的認識。
演習后的總結中提到,參演方發現在信息共享方面,還是面臨著一些問題,例如共享的途徑或信息的及時性,以及國土安全部(DHS)和國家網絡安全與通信集成中心(NCCIC)應該進一步完善他們處理流程、程序和綜合能力。
6. 網絡風暴VI[9]
此次演習在2018年4月舉行,歷時7天,其中包含3天的實戰演習,主要涉及IT、交通、通信以及重要的制造業。參演方包括聯邦機構、州、國際合作伙伴、執法部門、情報機構和國防部。
此次演習是為了演練協調機制,評估國家網絡事件響應計劃(NCIRP)的效果及信息共享機制,評估國土安全部(DHS)的角色和職能,幫助參演方提高處理流程、程序、協作能力及信息共享機制。
截至目前,尚沒有本次演習活動相關的官方總結資料。
7. 網絡風暴2020[10]
此次演習在2020年8月舉行,包括3天的實戰演習,主要涉及化工、通信、金融服務、醫療保健和公共衛生、IT、運輸業及關鍵的制造業等。包括聯邦機構,州政府和地方政府以及一些重要基礎設施領域的合作伙伴等200余家的超過2萬名人員參與其中,達到歷屆演習活動之最[11]。
此次演習是為了測試國家網絡安全計劃和策略并評估其實際效果,旨在加強信息共享和協作機制,加強公私領域的合作關系,完善有關通信網絡應急響應的通信策略。
截至目前,尚沒有本次演習活動的相關官方總結資料。
三、歷屆網絡風暴演習總結與分析
綜合上述關于歷屆演習活動的資料,必達實驗室對7次網絡風暴演習情況進行了分析總結:
1. 協調聯動在應急響應中發揮著重要作用
無論是在前期網絡風暴演習目標的制定還是演習后的研討會中,協調聯動一直被關注和討論,同時協調聯動方面在歷次演習中也往往是最容易暴露問題的地方。在應急事件處置過程中,(來自不同國家或者組織的)不同單位之間的進行有效的協調聯動是非常重要的。只有相互緊密合作,才能充分發揮各方的職能。
2. 信息共享極為關鍵,對應急響應效果作用明顯
信息共享出現問題會嚴重制約應急響應效果。從歷次的網絡風暴演習中,我們可以發現信息共享在應急響應中既是重點也是難點。其中在信息共享過程中所涉及的時效性,信息的敏感度,對通信工具的熟悉度,信息的質量等都會影響彼此的聯通協作,最終影響應急響應的效果。
3. 流程機制的完善與迭代是協同防御改進的重點
歷次演習活動所涉及的新威脅、新場景和新技術不斷變化,在演習總結中,流程機制的改善一直都被提及。顯而易見,伴隨著每次演習活動的目標、關注領域和參演方的不同,具體應急響應的機制流程也面臨實際工作挑戰,這就給主要的網絡安全部門如,國土安全部(DHS)和國家網絡安全與通信集成中心(NCCIC),帶來了新的協同防御工作要求,同時網絡威脅的不斷發展,攻擊手段的不斷更新,也要求相關部門不斷的去適應和優化國家網絡事件響應計劃(NCIRP)。
四、帶給我們的思考
根據對美國歷次“網絡風暴”演習的分析可以發現,美國政府在應對嚴重網絡安全威脅過程中十分注重機構間網絡安全防御的協同聯動,側面也反映出美國政府在協同聯動中在信息共享、組織協調等方面的問題。鑒于此,我們在應對未來嚴峻的網絡威脅時,需要重視各級組織機構間的協調,各種設備系統之間的聯動以及各類安全數據的協同,也要通過不斷應急演練來完善相應的流程和機制。
▲持續風險監測體系
必達實驗室通過對美國等發達國家網絡安全政策和行動的跟蹤研究過程中也深刻認識到協同聯動在網絡安全防御中的重要作用,并根據長期的網絡安全實踐建立了以“持續風險監測”理念為指導的安全運營框架,將人員、設備和數據三者的協同機制作為持續風險監測的核心之一引入到網絡安全運營工作中,構建系統化網絡安全防御能力。
中英文縮寫對照表
標準化操作流程(Standard Operating Procedure-SOP)
國際觀測和預警網絡(International Watch and Warning Network-IWWN)
國家網絡安全與通信集成中心(National Cybersecurity and Communications Integration Center-NCCIC)
國家網絡響應協調小組(National Cyber Response Coordination Group -NCRCG)
國家網絡事件響應計劃(National Cyber Incident Response Plan-NCIRP)
國土安全運營中心(Homeland Security Operations Center-HSOC)
國土安全部(Department of Homeland Security-DHS)
行業協調委員會(Sector Coordinating Councils-SCCs)
機構間事件管理小組(Interagency Incident Management Group-IIMG)
美國計算機應急響應小組(United States Computer Emergency Readiness Team-US-CERT)
威脅行動小組(Crisis Action Team-CAT)
信息分享和分析中心(Information Sharing and Analysis Center-ISAC)
信息共享和分析組織(Information Sharing and Analysis Organizations-ISAO)
責編AJX
-
通信
+關注
關注
18文章
6026瀏覽量
135951 -
互聯網
+關注
關注
54文章
11148瀏覽量
103241 -
網絡安全
+關注
關注
10文章
3155瀏覽量
59703
發布評論請先 登錄
相關推薦
評論