实战攻防演习之 紫队视角下的实战攻防演习组织 奇安信安服团队 2019.8 前 言 网络实战攻防演习， 是新形势下关键信息系统网络安全保护 工作的重要组成部分。 演习通常 是以实际运行的信息系统为保护 目标，通过有监督的攻防对抗， 尽可能地模拟真实的网络攻击， 以此来检验信息系统的实际安全性和运维保障的实际有效性。 2016年以来， 在国家监管机构的有力推动下， 网络实战攻防 演习日益 得到重视，演习范围越来越广，演习周期越来越长，演 习规模越来越大。 国家有关部门组织的全国性网络实战攻防演习 从2016年仅有几家参演单位， 到 2019年已扩展到上百家参演单 位；同时各省、各市、各行业的监管机构，也都在积极地筹备和 组织各自管辖范围内的实战演习。一时间，网络实战攻防演习遍 地开花。 在演习规模不断扩大的同时， 攻防双方的技术水平和对抗能 力也在博弈中不断升级。 2016年， 网络实战攻防演习尚处于起步阶段， 攻防重点大多 集中于互联网入口或内网边界。 2017年，实战攻防演习开始与重大活动的网络安全保障工 作紧密结合。就演习成果来看，从互联网侧发起的直接攻击仍然 普遍十分有效； 而系统的外层防护一旦被突破，横向移动 、跨域 攻击，往往都比较容易实现。 2018年， 网络实战攻防演习开始向行业和地方深入。 伴随着 演习经验的不断丰富和大数据安全技术的广泛应用， 防守方对攻 击行为的监测、发现和溯源能力大幅增强 ，与之相应的，攻击队 开始更多 地转向精准攻击和供应链攻击等新型作战策略。 2019年以来． 网络实战攻防演习工作受到了监管部门、 政企 机构和安全企业的空前重视。流量分析、 EDR、蜜罐、白名单等专 业监测与防护技术被防守队广泛采用。 攻击难度的加大 也迫使攻 击队全面升级 ，诸如0day漏洞攻击、 1day漏洞攻击 、 身份仿冒、 钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在实战攻防演 练中均已不再罕见 ，攻防演习与网络实战的水平更加接近。 如何更好 地参与网络实战攻防演习？如何更好 地借助实战 攻防演习提升自身的安全能力？这已经成为大型政企机构运营 者关心的重要问题。 作为国内 前沿的网络安全企业， 奇安信集团 已成为全国各类 网络实战攻防演习的主力军 。奇安信集团安服团队结合 200余次 实战攻防演习经验，总结编撰了这套实战攻防演习系列丛书，分 别从红队视角、蓝队视角和紫队视角，来解读网络实战攻防演习 的要领，以及如何结合演习提升政企机构的安 全能力。 需要说明的是， 实战攻防演习中的红方与蓝方对抗 实际上是 沿用了军事演习的概念和方法 ，一般来说，红方与蓝方分别代表 攻击方与防守方。 不过， 红方和蓝方的 名词定义尚无 严格的规定， 也有一些实际的攻防演习，将蓝队设为攻击队 、将红队设为防守 队。 在本系列丛书中， 我们 依据绝大多数网络安全工作者的习惯， 统一将攻击队命名为红队，将防守队命名为蓝队 ，而紫队则代表 组织演练的机构。 《紫队视角下的实战攻防演习组织 》是本系列丛书的第 三本。 本书重点介绍实战环境下的紫队工作 ， 提出组织实战攻防演习的 四个阶段，给出实战攻防演习的组织要素、组织形式，明确演习 各方的人员职责，描述每阶段需开展的重点工作，并提示在开展 实战攻防演习时应规避的风险。 目 录 第一章 什么是紫队 ................................ ............................... 1 实战攻防演习组织要素 ................................ ........................... 1 实战攻防演习组织形式 ................................ ........................... 2 实战攻防演习组织关键 ................................ ........................... 3 第二章 实战攻防演习组织的四个阶段 ................................ 4 组织策划阶段 ................................ ................................ ........... 4 前期准备阶段 ................................ ................................ ......... 10 实战攻防演习阶段 ................................ ................................ . 12 演习总结阶段 ................................ ................................ ......... 14 第三章 实战攻防演习风险规避措施 ................................ .. 17 演习限定攻击目标系统，不限定攻击路径 .......................... 17 除授权外，演习不允许使用拒绝服务攻击 .......................... 17 网页篡改攻击方式的 说明 ................................ ..................... 17 演习禁止采用的攻击方式 ................................ ..................... 18 攻击方木马使用要求 ................................ ............................. 18 非法攻击阻断及通报 ................................ ............................. 18 附录 奇安信实战攻防演习组织经验 ................................ .... 19 1 第一章 什么是紫队 紫队，一般是指网络实战攻防演习中的 组织方。 紫队是在实战攻防演习中， 以组织方角色 ，开展演习的整体组 织协调工作 ，负责演习组织、过程监控、技术指导、应急保障、演 习总结、技术措施与策略优化建议等各类工作。 紫队组织 红队对实际环境 实施攻击，组织蓝队实施防守， 目的 是通过演习 检验参演单位安全威胁应对能力、攻击事件检测发现 能力、 事件分析研判能力和事件响应处置能力， 提升被检测机构 安 全实战能力 。 下面， 就针对紫队组织网络实战攻防 演习的要素、 形式和关键 点分别进行 介绍。 实战攻防演习 组织要素 组织一次网络 实战攻防演习 ，组织要素 包括：组织单位、演习 技术支撑 单位、攻击队伍（即红队）、防守单位这四个部分。 可视化展示，所有攻击行 为安全可控 ，组织单位 攻防演习 平台 攻击队伍 防守单位总体把控、资源协调、 专家评审、 裁判打分 成立若干攻击小组，以竞赛或合 作的方式展开真实的网络攻击， 发现安全漏洞，获得 服务器权限可视化展示 所有攻击行为安全可 控 攻击录屏，视频 监控成立防守小组 ，实时监控网络， 进行实时 阻断、应急 响应等工作 2 组织单位负责总体把控、资源协调、演习准备 、演习组织、 演 习总结、落实整改等 相关工作 等。 演习技术支撑 单位由专业安全 公司提供对应技术支撑和保障 ， 实现攻防对抗演习 环境搭建和攻防演习 可视化展示。 攻击队伍，也即红队，一般 由多家安全厂商独立组队 ，每支攻 击队一般配备3-5人。在获得授权前提下，以资产探查、工具扫描 和人工渗透为主进行 渗透攻击， 以获取演习目标 系统权限和数据 。 防守队伍，也即蓝队， 由参演单位、安全厂商 等人员组成，主 要负责对防守方所管辖的资产进行防护，在演习过程中 尽可能不 被红队拿到权限和数据。 实战攻防演习 组织形式 网络实战攻防演习的组织 形式根据实际 需要出发， 主要有以 下两种： 1） 由国家、行业主管 部门、监管机构组织 的演习 此类演习一般由 各级公安机关、 各级网信部门、 政府、金融、 交通、卫生、教育、电力、运营商等 国家、行业主管 部门或监管机 构组织开展 。针对行业关键信息 基础设施和重要系统 ， 组织攻击 队 以及行业内各 企事业单位进行 网络实战攻防演习。 2） 大型企事业单位 自行组织演习 央企、银行、金融企业、运营商、行政机构、 事业单位及其他 政企单位 ， 针对业务安全防御体系建设有效性 的验证需求 ，组织攻 击队以及 企事业单位进行实战攻防演习 。 3 实战攻防演