R-EACTR:一個設(shè)計現(xiàn)實網(wǎng)絡(luò)戰(zhàn)演習(xí)的框架
本材料來源于國防部資助并由卡內(nèi)基梅隆大學(xué)軟件工程研究所的運(yùn)營的項目,合同編號為FA8721-05-C-0003�,該項目是一家聯(lián)邦資助的研究與開發(fā)中心。
本材料中所表達(dá)的任何意見�、調(diào)查結(jié)果和結(jié)論或建議均為委托人的意見,調(diào)查結(jié)果和結(jié)論或建議�,并不一定反映美國國防部的觀點(diǎn)。
無擔(dān)保�。卡內(nèi)基梅隆大學(xué)和軟件工程學(xué)院的材料是“按原樣”提供的�。卡內(nèi)基梅隆大學(xué)不作任何明示或暗示的保證�,包括但不限于對適用性或適銷性、專有性或使用本材料所產(chǎn)生的結(jié)果的擔(dān)保�。卡內(nèi)基梅隆大學(xué)也不會對任何由此所產(chǎn)生的關(guān)于專利�、商標(biāo)或版侵犯的自由作出任何保證�。
[發(fā)行聲明]
本材料已經(jīng)核準(zhǔn)公開發(fā)布和無限制發(fā)行�。請參閱非美國政府使用和分發(fā)版權(quán)聲明。
內(nèi)部使用:*允許復(fù)制本材料�,并準(zhǔn)備從本材料制作衍生作品,以便在內(nèi)部使用�,只要所有復(fù)制品和衍生作品包含版權(quán)和“無擔(dān)保”聲明即可�。
外部使用:*本材料可在不經(jīng)修改的情況下完整復(fù)制,并無需正式許可�,以書面或電子形式免費(fèi)分發(fā)。任何其他外部/或商業(yè)用途都需要正式許可�。申請許可應(yīng)通過permission@sei.cmu.edu聯(lián)系軟件工程學(xué)院。
*這些限制不適用于美國政府實體�。
目錄
I 執(zhí)行概要... 2
II 摘要... 2
III 現(xiàn)實主義是網(wǎng)絡(luò)戰(zhàn)爭演習(xí)的關(guān)鍵... 3
IV R-EACTR框架... 4
4.1. 環(huán)境... 5
4.2. 對手... 5
4.3. 通信... 6
4.4. 戰(zhàn)術(shù)... 6
4.5. 角色... 7
V 案例研究 - Cyber Forge 11. 7
5.1. 環(huán)境... 7
5.2. 對手... 9
5.3. 通信... 11
5.4. 戰(zhàn)術(shù)... 11
5.5. 角色... 12
VI 結(jié)論... 13
I 執(zhí)行概要
要使一個網(wǎng)絡(luò)安全團(tuán)隊能夠保持對網(wǎng)絡(luò)***和網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)能力�,就必須通過實踐來進(jìn)行鍛煉�。在一個考慮參加網(wǎng)絡(luò)安全比賽的團(tuán)隊來說,團(tuán)隊的預(yù)備參賽隊員都有獨(dú)特的個人技能�,每個人都通過重復(fù)的練習(xí)來精煉和完善個人的技能。在這種過程中�,實踐的頂峰是“混戰(zhàn)”——團(tuán)隊的所有成員共同努力實現(xiàn)一個單一的目標(biāo):比另一個團(tuán)隊獲得更多的分?jǐn)?shù)。在網(wǎng)絡(luò)安全比賽領(lǐng)域�,比賽的組織方會竭盡全力使比賽的體驗盡可能的真實。其設(shè)計和組織方式�,和真正的游戲領(lǐng)域是完全一樣的�,并且比賽所使用的設(shè)備與真正的游戲設(shè)備幾乎相同�,游戲規(guī)則也是等價的。為了確保每個人都遵守規(guī)則�,還需要增加裁判員以加強(qiáng)監(jiān)督。在真正的比賽前�,最重要的彩排就是混戰(zhàn)。沒有一個混戰(zhàn)比拼�,教練很難評估網(wǎng)絡(luò)安全隊伍的優(yōu)勢和劣勢。同樣的�,如果沒有團(tuán)隊成員的混戰(zhàn),就很難理解他們的角色是如何融入整體的以及相互之間的優(yōu)勢和配合�。
這正是軍事策劃人員在為美國軍事網(wǎng)絡(luò)團(tuán)隊策劃網(wǎng)絡(luò)演習(xí)時必須采取的思維模式。軍事演習(xí)有很多目的�。比如安全***團(tuán)隊的戰(zhàn)術(shù)、技巧和程序演習(xí)和評估�。更重要的是,團(tuán)隊成員構(gòu)建并完善信任關(guān)系�。為了從這些參與中獲得最大的收益�,演習(xí)必須以現(xiàn)實主義為主要關(guān)注點(diǎn)。
在這份報告中�,我們介紹了一個名為現(xiàn)實--環(huán)境,對手�,通信�,戰(zhàn)術(shù)和角色(R-EACTR)的網(wǎng)絡(luò)戰(zhàn)演習(xí)的設(shè)計框架�。這個框架確保在設(shè)計基于團(tuán)隊的演習(xí)時�,將現(xiàn)實因素考慮到參與者體驗的各個方面。作者在大約30場實彈的網(wǎng)絡(luò)戰(zhàn)演習(xí)中使用了這個框架——反復(fù)改進(jìn)并記錄展現(xiàn)最佳現(xiàn)實主義的細(xì)節(jié)�。該框架在演習(xí)構(gòu)建過程的規(guī)劃和設(shè)計階段非常有用�。它迫使規(guī)劃者、工程師�、培訓(xùn)主管和參與者之間進(jìn)行對話。并鼓勵充分理解演習(xí)要完成的內(nèi)容以及將如何進(jìn)行的具體細(xì)節(jié)�。這些對話收集了即將到來的比賽參與的詳細(xì)信息�,這對于為鍛煉參與者創(chuàng)造有益的體驗至關(guān)重要。
I 摘要
隨著網(wǎng)絡(luò)空間領(lǐng)域擴(kuò)展到軍事行動的各個方面�,軍事領(lǐng)導(dǎo)人都面臨著向越來越多的網(wǎng)絡(luò)單位提供寶貴的培訓(xùn)和演習(xí)的挑戰(zhàn)。為了使得訓(xùn)練有價值�,訓(xùn)練的經(jīng)驗必須是真實的�。本報告介紹了一個名為現(xiàn)實--環(huán)境�,對手,通信�,戰(zhàn)術(shù)和角色(R-EACTR)的網(wǎng)絡(luò)戰(zhàn)演習(xí)的設(shè)計框架。 R-EACTR框架將現(xiàn)實主義置于每個網(wǎng)戰(zhàn)作戰(zhàn)設(shè)計決策的最前沿�。本報告還介紹了創(chuàng)建軍事網(wǎng)絡(luò)演習(xí)所涉及的挑戰(zhàn),為演習(xí)的各個方面構(gòu)建了現(xiàn)實主義的框架�,以及框架成功運(yùn)用的一項演習(xí)的案例研究�。
II 現(xiàn)實主義是網(wǎng)絡(luò)戰(zhàn)爭演習(xí)的關(guān)鍵
“福布斯”雜志撰稿人約翰·勞迪西娜(John Laudicina)預(yù)測�,2017年將是“網(wǎng)絡(luò)戰(zhàn)之年”——原因是物聯(lián)網(wǎng)的脆弱性增加,基礎(chǔ)設(shè)施的***預(yù)演以及全球強(qiáng)權(quán)政治的不斷變化[Laudicina�,2016]��。民族國家已經(jīng)做好了網(wǎng)絡(luò)戰(zhàn)的準(zhǔn)備��。2016年12月��,針對韓國網(wǎng)絡(luò)司令部的襲擊事件被歸咎于朝鮮[BBC 2016]��。這些事件也證實了那些認(rèn)為網(wǎng)絡(luò)***會停止的人想法是天真的��。事實上��,許多專家認(rèn)為��,全面的網(wǎng)絡(luò)戰(zhàn)幾乎是不可避免的��。為了應(yīng)對這一現(xiàn)實��,軍方領(lǐng)導(dǎo)人正在積極為網(wǎng)絡(luò)戰(zhàn)準(zhǔn)備網(wǎng)絡(luò)戰(zhàn)部隊��。
我們的軍隊?wèi)?yīng)該如何準(zhǔn)備?軟件工程研究所(SEI)的CERT網(wǎng)絡(luò)安全人才培養(yǎng)(CWD)董事會已經(jīng)培訓(xùn)了大量的美國政府網(wǎng)絡(luò)專業(yè)人員����。2010年,CWD研究人員發(fā)表了一份SEI技術(shù)報告����,詳細(xì)介紹了我們的網(wǎng)絡(luò)安全人才培養(yǎng)方法[Hammerstein 2010]。報告描述了三個主要的發(fā)展階段:知識建設(shè)��、技能建設(shè)和經(jīng)驗建設(shè)��。最初�,CWD花費(fèi)了大部分時間來改進(jìn)前兩個階段:知識建設(shè)和技能建設(shè)。這兩個階段主要是通過一個虛擬的培訓(xùn)環(huán)境來實現(xiàn)的——提供個人定制的網(wǎng)絡(luò)安全課程材料和動手實操的實驗室�。自從2010年的技術(shù)報告發(fā)布以來,CERT的研究人員已經(jīng)越來越多地參與到這一教學(xué)法的“經(jīng)驗建設(shè)”階段�。經(jīng)驗建設(shè)是通過基于團(tuán)隊的網(wǎng)絡(luò)演習(xí)來實現(xiàn)的。自2011年以來�,CERT的研究人員已經(jīng)向8000多個國防部(DoD)參與者交付了超過125個網(wǎng)絡(luò)演習(xí),代表著包括預(yù)備役和警衛(wèi)隊在內(nèi)的所有軍事部門�。
根據(jù)聯(lián)合出版物1-02,演習(xí)的定義是“軍事演習(xí)是模擬戰(zhàn)時行動的�,涉及計劃�、準(zhǔn)備和執(zhí)行的軍事行為,主要目的是為了培訓(xùn)和評估網(wǎng)絡(luò)戰(zhàn)的能力”[DTIC 2017]�。幾乎所有的軍事單位每年都至少參加一次以團(tuán)隊為基礎(chǔ)的演習(xí)�,以確保成員能夠執(zhí)行他們所指定的任務(wù)清單(METL)�。我們支持的網(wǎng)絡(luò)部門正在進(jìn)行各種各樣的網(wǎng)絡(luò)演習(xí),從大規(guī)模的演習(xí)(例如Cyber Flag�,Cyber Guard和Cyber Knight)需要跨越數(shù)個星期的時間,到小規(guī)模的演習(xí)(例如�,Cyber Forge和Mercury Challenge)需要跨越幾個小時的時間。在所有這些演習(xí)中�,我們要么領(lǐng)導(dǎo)要么直接協(xié)助軍方進(jìn)行規(guī)劃、建設(shè)�、交付和報告工作。
在過去的五年中�,我們密切關(guān)注從演習(xí)中產(chǎn)生的反饋。最頻繁的反饋是對“現(xiàn)實主義”的渴望�。“團(tuán)隊希望在所有可以想象到的方面最大化現(xiàn)實主義?!痹谶M(jìn)行了一項大規(guī)模的演習(xí)后,《行動報告》指出�,在演習(xí)環(huán)境中可用的一些工具與實際操作中使用的工具不一樣。在一個小規(guī)模的演習(xí)中�,一個網(wǎng)絡(luò)保護(hù)小組(CPT)的成員告訴我們,團(tuán)隊和外部組織之間的交互并沒有被真實地模擬�。在2016年,我們的網(wǎng)絡(luò)演習(xí)設(shè)計團(tuán)隊被分配到美國陸軍網(wǎng)絡(luò)企業(yè)技術(shù)司令部(NETCOM)培訓(xùn)和演習(xí)部門�,以便進(jìn)行每次演習(xí)后收集調(diào)查數(shù)據(jù)。在每一項調(diào)查的回應(yīng)中,我們學(xué)到了可以在演習(xí)中設(shè)計的更具體的現(xiàn)實主義細(xì)節(jié)�。當(dāng)我們對每一課的學(xué)習(xí)和提高演習(xí)中的真實水平做出反應(yīng)時,出現(xiàn)了很多好處�。團(tuán)隊的領(lǐng)導(dǎo)報告說,這樣的演習(xí)的價值增加了�,并且參與者變得更加投入。
當(dāng)我們將現(xiàn)實主義設(shè)計到演習(xí)中時�,必須考慮到一個簡單的事實:隨著現(xiàn)實主義的增加,演習(xí)的成本也會增加�。因此,我們對各種現(xiàn)實細(xì)節(jié)進(jìn)行成本/效益分析�,以確定投資應(yīng)該最大化還是最小化。關(guān)鍵是要找到我們做出讓步以保持最低成本的那一點(diǎn)�,但要使這個演習(xí)足夠真實,以達(dá)到預(yù)期的訓(xùn)練效果�。
斯坦利·麥克里斯特爾(Stanley McChrystal)將軍在他的著作《團(tuán)隊團(tuán)隊》(Team of Teams)中,談到了×××(SEAL)的訓(xùn)練:“...一個信任和目標(biāo)相融合的團(tuán)隊將變得更加強(qiáng)大�。這樣的團(tuán)隊可以即興發(fā)揮對動態(tài)、實時發(fā)展的作戰(zhàn)反應(yīng)“(McChrystal�,2015)。現(xiàn)實主義的增加也會導(dǎo)致更加復(fù)雜和動態(tài)的環(huán)境�。我們觀察到,為了在這個日益增長的現(xiàn)實網(wǎng)絡(luò)戰(zhàn)演習(xí)環(huán)境中占上風(fēng)�,團(tuán)隊學(xué)會了作為一個整體來運(yùn)作,并在彼此之間建立信任——而不是依賴于個人的技能集合�。我們將我們的觀察和筆記編纂成一個名為現(xiàn)實--環(huán)境�,對手�,通信�,戰(zhàn)術(shù)和角色(R-EACTR)的設(shè)計框架。我們現(xiàn)在將R-EACTR應(yīng)用于我們設(shè)計�、開發(fā)和交付的每個網(wǎng)絡(luò)戰(zhàn)爭演習(xí)中。
III R-EACTR框架
在我們的經(jīng)驗中�,所有的設(shè)計決策都符合以下五個方面的訓(xùn)練經(jīng)驗:環(huán)境、對手�、通信、戰(zhàn)術(shù)和角色�。從參與者的角度來看,每個方面都必須足夠真實�,以提供令人滿意的(和有價值的)訓(xùn)練經(jīng)驗。遺漏任何一個方面都可能破壞整個演習(xí)的真實性�。例如,可能會有一個真實的對手�。但是,如果沒有真實的戰(zhàn)術(shù)�,在對抗真實對手的行動時,價值也是有限的�。在另一個例子中,環(huán)境可能是真實的�,但是如果沒有一個實際的通信機(jī)制,現(xiàn)實主義的感覺就會在報告威脅減輕建議的時候失去意義�。我們認(rèn)為�,一個不包括上述五個方面的內(nèi)容都會使練習(xí)變得不切實際�。接下來的五個部分定義了上述每個部分的詳情,并確定了整體覆蓋特定部分的要素和子要素�。
圖1:R-EACTR框架
1.1. 環(huán)境
“環(huán)境”部分指的是參與者經(jīng)歷的條件、觀察和獲取信息的總和�。第一個要素是團(tuán)隊將要進(jìn)行訓(xùn)練的物理空間,其中包括環(huán)境和辦公室空間方面的問題�。第二個要素是虛擬空間,它由網(wǎng)絡(luò)�、訪問和系統(tǒng)的配置組成,團(tuán)隊將與之交互�。最后一點(diǎn)是心理上的。這通常是最難模擬的�,但是應(yīng)該嘗試。我們通過將團(tuán)隊放入熟悉的時間表�、報告協(xié)議和精神壓力之下來模擬真實的心理反應(yīng)。表1中定義了環(huán)境段的要素和子要素�。
表1:環(huán)境部分
要素 | 子要素 |
物理空間 | 辦公空間:桌椅擺放,白板�,打印機(jī),電話等 |
環(huán)境:靠近熟悉的設(shè)施�,制服,就餐點(diǎn)等 |
虛擬空間 | 網(wǎng)絡(luò):體系結(jié)構(gòu)�,基礎(chǔ)設(shè)施設(shè)備,安全應(yīng)用 |
訪問:控制臺�,遠(yuǎn)程桌面協(xié)議(RDP)�,登錄 |
配置:版本控制�,補(bǔ)丁,安全技術(shù)實施指南(STIG)級別 |
心里活動 | 戰(zhàn)斗節(jié)奏:排程表�,戰(zhàn)斗高峰值,換班周期�,結(jié)束日報 |
精神壓力:訓(xùn)練的速度�,復(fù)雜性,評估�,來自領(lǐng)導(dǎo)反饋等 |
1.2. 對手
“對手”部分是指在整個演習(xí)中模擬的敵對力量的總和。第一個要素是威脅�,我們通過對已知對手的特定類型的***進(jìn)行建模,從而對其進(jìn)行真實的模擬�。威脅必須具有復(fù)雜性,當(dāng)加上威脅類型時�,它是真實的。對手部分的第二個要素是資源�。如果把金融、人力和技術(shù)的子要素設(shè)計成總體的情景敘述�,那么對手就是真實的。表2中定義了對手段的要素和子要素�。
表2:對手部分
要素 | 子要素 |
威脅 | 類型:民族國家,***主義�,犯罪家庭,未知�,混合 |
復(fù)雜度:***的難度等級�,干擾�,欺騙 |
資源 | 金融:購買力,賄賂�,雇傭雇傭兵 |
社群:內(nèi)部威脅,情報來源�,社會工程 |
技術(shù):工具,系統(tǒng)�,技能 |
1.3. 通信
“通信”部分是指團(tuán)隊在整個演習(xí)過程中將用來溝通的機(jī)制和方法的總和。我們通常把這個部分分成兩個部分:內(nèi)部的和外部的�。在設(shè)計通信段時,我們關(guān)心的是復(fù)制團(tuán)隊在實際操作中盡可能緊密地使用的通信�。這部分還包括建模任何將在團(tuán)隊邊界之外移動到外部組織的通信。我們已經(jīng)發(fā)現(xiàn)�,應(yīng)該對團(tuán)隊在外部進(jìn)行溝通的方式給予足夠的關(guān)注,因為這將使訓(xùn)練人員能夠?qū)嶋H地注入信息(訂單�、報告、任務(wù)等)�,從而驅(qū)動團(tuán)隊的行為�。通信部分的要素和子要素見表3�。
表3:通信部分
要素 | 子要素 |
內(nèi)部 | 語音:互聯(lián)網(wǎng)協(xié)議語音(VoIP),電話會議�,手機(jī)�,面對面�。 |
電子:電子郵件�,即時消息�,文件共享 |
外部 | 指令:操作命令,臨時命令�,指揮官關(guān)鍵信息要求(CCIRs) |
協(xié)作:事件�,威脅,授權(quán)�,信息請求(RFIs) |
1.4. 戰(zhàn)術(shù)
“戰(zhàn)術(shù)”部分是指團(tuán)隊內(nèi)部戰(zhàn)術(shù)�,技術(shù)和程序的總和�。在設(shè)計戰(zhàn)術(shù)部分時�,網(wǎng)絡(luò)作戰(zhàn)團(tuán)隊和演習(xí)開發(fā)者在設(shè)計階段將進(jìn)行大量的對話�。盡管所有團(tuán)隊都使用相同的METL操作�,但他們執(zhí)行任務(wù)的方式各不相同。這一事實使得這段代碼很難正確建模�。戰(zhàn)術(shù)部分的第一個要素是個人�,在其中我們考慮特定的技能�、工具和責(zé)任。 戰(zhàn)術(shù)部分的第二個要素是集體�,我們將更多的注意力集中在能夠成功完成任務(wù)目標(biāo)的過程。表4中定義了戰(zhàn)術(shù)部分的要素和子要素�。
表4:戰(zhàn)術(shù)部分
要素 | 子要素 |
個人 | 專業(yè):軍事職業(yè)特長(MOS)�,認(rèn)證�,經(jīng)驗 |
領(lǐng)導(dǎo):資源分配�,簡報,優(yōu)先排序 |
集體 | 任務(wù):METL�,目標(biāo)�,報告 |
流程:團(tuán)隊特定程序�,軍事指令�,法規(guī)�、軍事決策過程(MDMP) |
1.5. 角色
“角色”部分指的是演習(xí)中必須扮演的角色的總和�,以提供一個真實的使命任務(wù)�。在設(shè)計角色部分時�,我們將編寫所有可能發(fā)生的交互�,并確保每個個體都在演習(xí)中可用。在設(shè)計這一段時�,我們使用幾乎所有網(wǎng)絡(luò)演習(xí)中常見的紅、白�、藍(lán)要素�。表5中定義了角色段的要素和子要素�。
表5:角色部分
要素 | 子要素 |
藍(lán)隊 | 團(tuán)隊:戰(zhàn)斗隊長,主機(jī)�,網(wǎng)絡(luò)�,模擬/仿真�,日志記錄,報告 |
支持:計算機(jī)網(wǎng)絡(luò)防御服務(wù)提供商(CNDSP)�,情報�,及總部 |
白隊 | 控制:注入流量,計時�,主場景事件列表(MSEL)控制器 |
評估:嵌入式觀察員,評估員�,檢查員 |
紅隊 | 反對力量(OPFOR):軍事類別,罪犯類別�,政治類別�,平民類別 |
OPFOR支持:技術(shù)�,財務(wù)�,后勤 |
II 案例研究 - Cyber Forge 11
CWD董事會自2012年起與美國陸軍網(wǎng)絡(luò)企業(yè)技術(shù)司令部的訓(xùn)練和演習(xí)部門合作�,為各種網(wǎng)絡(luò)單位提供團(tuán)隊級演習(xí)�。一系列演習(xí)被稱為“Cyber Forge”。Cyber Forge演習(xí)系列由未分類�,虛構(gòu)的集體訓(xùn)練活動�,旨在讓網(wǎng)絡(luò)保護(hù)旅評估網(wǎng)絡(luò)保護(hù)團(tuán)隊的表現(xiàn)�。這一練習(xí)由幾位作為任務(wù)所有者�、計算機(jī)網(wǎng)絡(luò)防御服務(wù)提供商(CNDSP)、敵對部隊(“Red Team”)、游戲外引導(dǎo)者和其他必要角色的訓(xùn)練開發(fā)人員推動�。這個演習(xí)是通過CERT私人網(wǎng)絡(luò)培訓(xùn)云(PCTC) - 一個模擬、培訓(xùn)和訓(xùn)練平臺(STEP)的實例遠(yuǎn)程提供的�。在這個案例研究中�,我們描述了一個在2016年9月設(shè)計并交付給網(wǎng)絡(luò)保護(hù)團(tuán)隊的Cyber Forge演習(xí)。在接下來的五個部分中�,通過一張表格總結(jié)了Cyber Forge 11每個網(wǎng)段的設(shè)計細(xì)節(jié)。
2.1. 環(huán)境
關(guān)于環(huán)境部分的實體因素�,CPT能夠在團(tuán)隊熟悉的崗位上進(jìn)行訓(xùn)練�。由于CPT在熟悉的設(shè)施和正常的環(huán)境中,這大大增加了物理要素的真實性�。關(guān)于環(huán)境部分的虛擬要素�,Cyber Forge 11的虛擬網(wǎng)絡(luò)是一個復(fù)雜的基礎(chǔ)設(shè)施�,準(zhǔn)確地將CPT部署到聯(lián)合基地 - 連接到網(wǎng)絡(luò)企業(yè)中心(NEC)和區(qū)域網(wǎng)絡(luò)中心(RCC)�。向團(tuán)隊成員提供了與近期CPT操作中使用的相似的真實工具和企業(yè)系統(tǒng)�。對于環(huán)境部分的心理因素,通過對模擬任務(wù)所有者的強(qiáng)制情況介紹來設(shè)計逼真的精神壓力注入�,從而產(chǎn)生了預(yù)期的心理反應(yīng)。這是由于急于提供盡可能多的防御網(wǎng)絡(luò)地形方面的深入技術(shù)信息而產(chǎn)生的�。表6詳細(xì)列出了Cyber Forge 11環(huán)境部分設(shè)計的最重要的子要素細(xì)節(jié)。
表6:Cyber Forge 11環(huán)境部分設(shè)計細(xì)節(jié)
要素 | 子要素 | Cyber Forge詳情 |
物理 | 辦公空間 | · 利用本地站�,接入非機(jī)密互聯(lián)網(wǎng)協(xié)議路由器(NIPR)和商業(yè)互聯(lián)網(wǎng)�, |
| · 單獨(dú)的紅/白/藍(lán)團(tuán)隊房間 |
| · 團(tuán)隊筆記本電腦�,打印機(jī)�,白板,電話可用 |
| · 隨時獲得的溝通機(jī)制 |
環(huán)境 | · 正常餐飲選擇�,統(tǒng)一的(UOD)一天需求 |
| · 正常運(yùn)輸,每周PT要求 |
虛擬 | 虛擬網(wǎng)絡(luò) | · 模擬互聯(lián)轉(zhuǎn)發(fā)運(yùn)營基地(FOB)�,網(wǎng)絡(luò)企業(yè)中心(NEC),區(qū)域網(wǎng)絡(luò)中心(RCC)和國防信息系統(tǒng)機(jī)構(gòu)(DISA) |
|
| · 模擬互聯(lián)網(wǎng)與多跳邊界網(wǎng)關(guān)協(xié)議(BGP)路由�,互聯(lián)網(wǎng)站點(diǎn)�,用于域名服務(wù)(DNS)的根服務(wù)器, |
|
| · 實際的基于互聯(lián)網(wǎng)的HTTP和DNS網(wǎng)絡(luò)流量生成對抗保護(hù)資產(chǎn) · 定義和動態(tài)分配的對手/紅隊IP地址和范圍 |
| 虛擬訪問 | · 對所有服務(wù)器�,設(shè)備和網(wǎng)絡(luò)設(shè)備進(jìn)行RDP或Secure Shell(SSH)訪問 · 控制臺訪問所有最終用戶工作站�,服務(wù)器,設(shè)備和網(wǎng)絡(luò)設(shè)備 |
配置 | · Windows Server 2008 · Windows Sever 2008 Active Directory (AD)域級別 · Active Directory中有數(shù)百個真實的用戶帳戶 · Active Directory 限制性組策略 · 更新Windows工作站和服務(wù)器操作系統(tǒng)和應(yīng)用補(bǔ)丁 · Windows 7 and Ubuntu 桌面用戶工作站 · Microsoft Office 2011 與 Microsoft Outlook客戶端郵件 · 模擬Windows 7用戶登錄、電子郵件、MS Office活動 · Windows 2008 IIS and Apache Linux web servers · Microsoft AD and Linux BIND DNS · HBSS/McAfee ePolicy Orchestrator · 思科路由器 · Blue Coat Proxy Servers · Palo Alto 防火墻以及真實的防火墻規(guī)則 · Cisco SourceFire and Security Onion · Arcsight SIEM · SiLK NetFlow 網(wǎng)絡(luò)流量的收集和分析 · 取證工具: SIFT, REMnux, and ADHD · ACAS/Nessus security scanner · ELK stack · Kali Linux |
心里活動 | 戰(zhàn)斗節(jié)奏 | · 每天STARTEX 0800, PAUSEX 1600, hotwash · 戰(zhàn)斗隊長的日常操作 |
精神壓力 | · 向模擬任務(wù)所有者第2天(1500)進(jìn)行調(diào)查簡報 · 任務(wù)負(fù)責(zé)人指導(dǎo)任務(wù)�,意在引起壓力 · 戰(zhàn)斗指揮官指示并期望迅速行動 · 模擬CNDSP技術(shù)和具體的交互 · 在第4天�,OPFOR快速*** · |
2.2. 對手
對于對手部分的威脅要素,我們決定在Cyber Forge 11期間向CPT引入兩個潛在的對立勢力。一個是地區(qū)犯罪家族�,另一個是地區(qū)性的好戰(zhàn)民族國家�。對立的勢力代表了不同類型的威脅�,具有不同程度的復(fù)雜性�、意圖和利益�。對于對手部分的資源要素,我們考慮了OPFOR和支持角色之間的真實交互�。這包括洗錢�、陰謀和地緣政治姿態(tài)�。CPT通過接收情報報告和與模擬的外部機(jī)構(gòu)的接口來了解各種基于場景的注入。表7提供了用于Cyber Forge 11的對手細(xì)分子要素設(shè)計細(xì)節(jié)。
表7:Cyber Forge 11對手細(xì)分設(shè)計細(xì)節(jié)
要素 | 子要素 | Cyber Forge詳情 |
威脅 | 類型 | · 分離主義軍隊尋求獨(dú)立�,得到鄰國敵對國家的協(xié)調(diào)幫助。 · 跨國犯罪組織試圖影響地緣政治事件以取得自身的財務(wù)收益�,并增加對該地區(qū)的控制。 · 兩個團(tuán)體都能夠相互協(xié)調(diào)�,同時也是敵對的民族國家。 |
復(fù)雜性 | · 敵對的民族國家中存在的分裂主義分子提高了網(wǎng)絡(luò)***能力�,并以此進(jìn)行***聲明其活動�。 · 犯罪家族的能力最強(qiáng)�,最近還收購了雇傭軍***。 · 犯罪家庭也因綁架和勒索等額外罪行而聞名�。 · 所有人都能夠同時進(jìn)行多個網(wǎng)絡(luò)***。 · ?所有人都有能力收集網(wǎng)絡(luò)***的行動情報�。 |
資源 | 金融 | · 跨國犯罪組織由于最近成功的針對地區(qū)銀行資產(chǎn)的網(wǎng)絡(luò)***而獲得了充足的資金。 |
社群 | · 培訓(xùn):所有成員都精通技術(shù)�,會講英語并作為第二語言。 · 主要人員在西方大學(xué)接受教育�。 · 有幾家公司在網(wǎng)絡(luò)戰(zhàn)爭活動中有多個已建立的網(wǎng)絡(luò)呼叫標(biāo)志和眾所周知的聲譽(yù)。 · 所有人都受過高級的社會工程技術(shù)培訓(xùn)�。 |
技術(shù) | · 偵察:端口和服務(wù)枚舉 · 魚叉式網(wǎng)站釣魚:多種技術(shù) · 瀏覽器開發(fā)利用*** · 能夠進(jìn)行遠(yuǎn)程管理�、權(quán)限升級和橫向移動的惡意軟件注入 · 一旦獲得立足點(diǎn)即可建立隱蔽的持久性連接 · 數(shù)據(jù)過濾和信息收集 · 系統(tǒng)完整性下降 · 拒絕服務(wù)/分布式拒絕服務(wù)(DoS / DDoS)*** · 高級持續(xù)威脅(APT)級別*** |
2.3. 通信
對于通信部分的內(nèi)部要素,我們確保CPT成員能夠利用他們所有的正常機(jī)制:電子郵件�、語音和聊天。由于CPT是搭配在一起的�,成員可以面對面交流。對于通信部分的外部因素�,所有外部機(jī)構(gòu)都實際上與CPT演習(xí)系統(tǒng)相連。表8提供了用于Cyber Forge 11的通信段子要素設(shè)計細(xì)節(jié)�。
表8:Cyber Forge 11通信部分設(shè)計細(xì)節(jié)
要素 | 子要素 | Cyber Forge 詳情 |
內(nèi)部 | 語音 | · 在同一個房間內(nèi)利用直接的面對面溝通 |
電子 | · 使用電子郵件和在線聊天與模擬網(wǎng)絡(luò)運(yùn)營中心(NOC) · 團(tuán)隊內(nèi)使用在線聊天:都有專用頻道/聊天室(Spark Chat) · 使用Windows文件共享團(tuán)隊之間的所有文件 · 使用Redmine Web應(yīng)用程序向CNDSP提交RFI和響應(yīng) |
外部 | 指令 | · 在STARTEX和整個演習(xí)期間收到操作指令和碎片指令 |
協(xié)作 | · 使用電子郵件和模擬NOC / CNDSP /任務(wù)負(fù)責(zé)人和Cyber Fusion Center進(jìn)行在線聊天 · 利用在線聊天工具,為英特爾團(tuán)隊�、版主和幫助臺的在線聊天建立專用頻道/房間,以創(chuàng)建溝通通道�。 |
2.4. 戰(zhàn)術(shù)
對于戰(zhàn)術(shù)部分的個人要素�,我們檢查了參與者的名單�,并確保在設(shè)計這個演習(xí)時,每個技能都會以某種方式被利用�,包括領(lǐng)導(dǎo)職位和情報分析師。對于戰(zhàn)術(shù)部分的集體要素�,我們從單位的METL中選擇了具體的項目,這些項目將被運(yùn)用�,并確保OPORDER采用這些集體行動。 然后�,我們設(shè)計了在演習(xí)中模擬的各個組織之間會發(fā)生的互動,以便每個集體任務(wù)都有一個特定的注入來準(zhǔn)備觸發(fā)它�。表9提供了Cyber Forge 11的戰(zhàn)術(shù)部分子部件設(shè)計細(xì)節(jié)。
表9:Cyber Forge 11戰(zhàn)術(shù)部分設(shè)計細(xì)節(jié)
要素 | 子要素 | Cyber Forge 詳情 |
個人 | 專業(yè) | · 根據(jù)特定的技術(shù)技能審查配置和工具設(shè)置 · 審查惡意活動的安全工具數(shù)據(jù) · 向團(tuán)隊報告具體的基礎(chǔ)設(shè)施發(fā)現(xiàn) |
領(lǐng)導(dǎo) | · ?負(fù)責(zé)編寫情況報告的小組負(fù)責(zé)人(SITREPS) · ?班組領(lǐng)導(dǎo)班子成員優(yōu)先考慮的操作 |
集體 | 任務(wù) | · 審查所有提供的信息并確認(rèn)證書和網(wǎng)絡(luò)連接成功 · 驗證了關(guān)鍵的地形網(wǎng)絡(luò)資產(chǎn)的防御任務(wù) · 部署團(tuán)隊定制安全工具和傳感器 · 確定網(wǎng)絡(luò)/配置基線 · 對基礎(chǔ)設(shè)施進(jìn)行當(dāng)前的安全風(fēng)險評估 · 監(jiān)控�、檢測、響應(yīng)對手的活動 · 向CNDSP提出了配置緩解建議 · 誘捕任何對手的活動 · 直接與積極的對手進(jìn)行威脅活動 · 每天制作網(wǎng)絡(luò)活動報告(NAR) · 生成的每日情況報告(SITREP) |
流程 | · 運(yùn)用內(nèi)部團(tuán)隊流程來識別威脅并將其輸送給戰(zhàn)斗長官 · 運(yùn)用內(nèi)部團(tuán)隊流程進(jìn)行威脅發(fā)現(xiàn)和緩解技術(shù)執(zhí)行 · 通過內(nèi)部團(tuán)隊流程將RFIs提交給任務(wù)所有者和CNDSP · 在收到新威脅/報告/訂單時�,對MDMP周圍的內(nèi)部團(tuán)隊流程進(jìn)行訓(xùn)練 |
2.5. 角色
對于角色部分的藍(lán)隊要素,所有團(tuán)隊成員都在其正常分配的角色和責(zé)任范圍內(nèi)工作�。支援藍(lán)軍(即藍(lán)色力量。由角色演員模擬了“網(wǎng)絡(luò)融合中心”�,“責(zé)任情報部門”,“本地駐軍CNDSP”和“分配任務(wù)的所有者”)�。對于角色部分的紅隊要素,角色扮演者也模擬了幾種對抗性力量�。對于角色部分的白隊要素,演習(xí)開發(fā)人員將演習(xí)所有方面的控制都考慮在白隊內(nèi)�。評估小組由CPT內(nèi)的培訓(xùn)軍士(NCO)負(fù)責(zé)�。表10提供了Cyber Forge 11的角色段細(xì)分子要素設(shè)計細(xì)節(jié)�。
表10:Cyber Forge 11角色細(xì)分設(shè)計細(xì)節(jié)
要素 | 子要素 | Cyber Forge 詳情 |
藍(lán)隊 | 團(tuán)隊 | · 戰(zhàn)斗隊長出席并提供團(tuán)隊領(lǐng)導(dǎo)。 · 網(wǎng)絡(luò)防護(hù)團(tuán)隊規(guī)模為21名成員�。 |
支持 | · CNDSP / NOC角色已經(jīng)存在,可通過在線聊天和電話解答問題并提供操作支持�。 · 英特爾團(tuán)隊角色的存在是為了幫助英特爾“tippers”來幫助演習(xí)的進(jìn)行。英特爾團(tuán)隊還回答了在英特爾“tippers”提供給團(tuán)隊后現(xiàn)的英特爾相關(guān)問題�。 |
白隊 | 控制 | · 識別并指派白隊小組成員擔(dān)任花名冊角色 · 對所有團(tuán)隊和組件進(jìn)行STARTEX后勤協(xié)調(diào) · 管理STARTEX / PAUSEX / ENDEX的“游戲時鐘” · 控制MSEL的流程 · 在STARTEX簡要介紹 · 在ENDEX進(jìn)行hotwash · 監(jiān)測團(tuán)隊的進(jìn)度和狀態(tài),并根據(jù)優(yōu)勢和劣勢調(diào)整MSEL · 利用屏幕“跟蹤”工具來監(jiān)控最終用戶的活動/點(diǎn)擊 · 管理英特爾信息發(fā)布的時間 · 管理紅隊的部署時間 |
評估 | · 嵌入式觀察員與藍(lán)隊參加者放置在同一個房間內(nèi)�。 · 嵌入式觀察員提供實時反饋和總結(jié)報告。 |
紅隊 | 反對力量(OPFOR) | · 部署自定義RAT(遠(yuǎn)程管理工具)APT |
· 創(chuàng)建和使用Slowloris DDoS僵尸網(wǎng)絡(luò)***防御資產(chǎn) · 利用基于惡意軟件的信標(biāo)進(jìn)行魚叉式網(wǎng)絡(luò)釣魚�,并進(jìn)行數(shù)據(jù)竊取 · 使用橫向移動來***AD域 · 使用SQL注入進(jìn)行數(shù)據(jù)***和過濾 · 通過流氓CD***惡意軟件 |
OPFOR支持 | · 提供對區(qū)域互聯(lián)網(wǎng)服務(wù)提供商的模擬敏感信息訪問。 · 提供關(guān)于部隊調(diào)動的模擬泄漏信息�。 · 提供了來自地區(qū)銀行資產(chǎn)的模擬泄露信息。 |
III 結(jié)論
在這份報告中�,我們介紹了R-EACTR框架作為設(shè)計和構(gòu)建足夠現(xiàn)實主義的軍事網(wǎng)絡(luò)戰(zhàn)演習(xí)的指南。在我們的經(jīng)驗建設(shè)和網(wǎng)絡(luò)作戰(zhàn)演習(xí)中�,我們發(fā)現(xiàn)最大化價值的關(guān)鍵因素是現(xiàn)實主義���。憑借創(chuàng)造出色網(wǎng)絡(luò)安全人才團(tuán)隊隊伍的堅實框架���,團(tuán)隊可以通過演習(xí)成為網(wǎng)絡(luò)安全精英。
參考:
網(wǎng)址自本文件發(fā)布之日起生效���。
[BBC 2016]
英國廣播公司���。北韓“抨擊南方的軍事網(wǎng)絡(luò)指揮”���,BBC新聞。 2016年12月5日���。http://www.bbc.com/news/world-asia-38219009
[DTIC 2017]
國防技術(shù)信息中心���。聯(lián)合出版物1-02:軍事和相關(guān)術(shù)語詞典。 DTIC���。 March 2017. http://www.dtic.mil/doctrine/new_pubs/dictionary.pdf
[Hammerstein 2010]
哈默斯坦���,喬什和梅,克里斯托弗���。 CERT網(wǎng)絡(luò)安全工作人員發(fā)展的方法���。 CMU / SEI-2010-TR-045?��?▋?nèi)基梅隆大學(xué)���,賓夕法尼亞州匹茲堡���。軟件工程研究所,2010年���。http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=9697
[Laudicina 2016]
Laudicina���,約翰。 2017年將是網(wǎng)絡(luò)戰(zhàn)爭的一年���。福布斯雜志���。 2016年12月16日。https://www.forbes.com/sites/paullaudicina/2016/12/16/2017-will-be-the-year-of-cyber- warfare /#74c6c86a6bad
[McChrystal 2015]
麥克里斯托���,斯坦利; Collins,Tantum;西爾弗曼���,大衛(wèi); &Fussell���,Chris���。團(tuán)隊團(tuán)隊:一個復(fù)雜世界的新規(guī)則。企鵝���,2015. https://mcchrystal-group.com/teamofteams/
