模拟类型
模拟主要分为三种类型:
-
桌面演练:桌面演练模拟方法严格来说是一种基于讨论的研讨会,让各个事件响应利益相关者参与进来,练习角色和职责,以及练习使用既定的沟通工具和行动手册。通常是用一整天的时间在虚拟场地和/或实地中协调完成演练。由于桌面演练以讨论为基础的特性,因而其侧重于流程、人员和协作。在讨论中,技术是必不可少的一部分,但事件响应工具或脚本的实际使用通常不包括在桌面演练中。
-
紫队演练:紫队演练可提高事件响应人员(蓝队)和模拟威胁行为者(红队)之间的协作能力。蓝队通常由安全运营中心(SOC)的成员组成,但也可以包括在实际网络事件中会参与进来的其他利益相关者。红队通常由渗透测试团队或接受过攻击安全培训的关键利益相关者组成。在设计场景时,红队会与演练协调员相互协作,以确保场景的准确性与可行性。在紫队演练中,主要的关注点是支持事件响应工作的检测机制、工具和标准操作程序(SOP)。
-
红队演练:在红队演练中,进攻方(红队)模拟进行攻击,以在预定范围内实现特定目标或一系列目标。防御方(蓝队)不一定知道演练的范围和持续时间,如此,可以更真实地评估他们应对真实事件的能力。由于红队的演练可能是侵入性测试,因此务必谨慎行事,并实施控制措施,以确保该演练不会对环境造成实际破坏。
注意
AWS 要求客户在进行紫队或红队演练之前,先查看渗透测试网站
表 1 总结了这几类模拟的一些主要差异。值得注意的是,这些定义通常视为宽泛定义,可根据组织需求进行自定义。
表 1 – 模拟类型
| 桌面演练 | 紫队演练 | 红队演练 | |
|---|---|---|---|
| 总结 | 此类演练基于文档,专注于一个特定的安全事件场景。可以是高级别的,也可以是技术性的,并通过一系列书面预设场景推动演练进程。 | 相较于桌面演练,此类演练更贴近现实。紫队演练期间,协调员需要与参与者协作,以提升演练参与度,并在必要时提供培训。 | 此类演练通常提供更高级别的模拟形式。具有高度的隐蔽性,参与者可能并不知晓演练的所有细节。 |
| 所需资源 | 所需技术资源较少 | 需要多方利益相关者参与,且需要高水平的技术资源 | 需要多方利益相关者参与,且需要高水平的技术资源 |
| 复杂性 | 低 | 中 | 高 |
请考虑定期协调开展网络模拟。对于参与者和整个组织而言,每种演练类型都可以带来独特的好处,因此您可以选择从不太复杂的模拟类型(例如桌面演练)入手,然后再慢慢过渡到较为复杂的模拟类型(红队演练)。您应根据自身的安全成熟度、资源和期望结果选择模拟类型。由于红队演练的复杂性和成本,一些客户可能不会选择进行红队演练。
