模擬的類型 - AWS 安全事件應變 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

模擬的類型

主要的模擬類型有三種:

  • 桌上練習 – 模擬的桌上方法嚴格是一種以討論為基礎的工作階段,涉及各種事件回應利益相關者來練習角色和責任,並使用已建立的通訊工具和程序手冊。練習促進通常可以在虛擬場地、實體場地或組合的全天內完成。由於以討論為基礎的本質,桌面練習著重於程序、人員和協同合作。技術是討論不可或缺的一部分;不過,實際使用事件回應工具或指令碼通常不是資料表式練習的一部分。

  • 紫色團隊練習 – 紫色團隊練習可提高事件回應者 (藍隊) 與模擬威脅執行者 (紅隊) 之間的協同合作程度。藍色團隊通常由安全營運中心 (SOC) 的成員組成,但也可以包括在實際網路事件期間涉及的其他利益相關者。紅隊通常由滲透測試團隊或關鍵利益相關者組成,他們受過攻擊性安全訓練。紅隊演練在設計案例時與練習主持人合作,讓案例準確且可行。在紫色團隊練習期間,主要重點是偵測機制、工具和支援事件回應工作的標準操作程序 (SOPs)。

  • 紅隊演練 – 在紅隊演練期間,違規 (紅隊) 會執行模擬,以從預先確定的範圍實現特定目標或一組目標。防禦者 (藍隊) 不一定知道練習的範圍和持續時間,這可提供更逼真的評估,評估他們會如何回應實際的事件。由於紅隊演練可能是侵入性測試,因此您應該謹慎並實作控制,以確認演練不會對您的環境造成實際傷害。

注意

AWS 要求客戶在進行紫色團隊或紅隊演練之前,檢閱滲透測試網站上提供的滲透測試政策。

表 1 摘要說明這些模擬類型的一些主要差異。請務必注意,定義通常被視為鬆散定義,並且可以自訂以符合組織的需求。

表 1 – 模擬的類型

桌上練習 紫色團隊練習 紅隊演練
摘要 專注於一個特定安全事件案例的紙張驅動練習。這些可以是高階或技術,並由一系列的紙質注入驅動。 與桌面練習相比,更逼真的產品。在紫色團隊練習期間,主持人與參與者協作,以提高練習參與度,並在必要時提供培訓。 一般而言是更進階的模擬產品。通常隱蔽程度很高,參與者可能不知道練習的所有詳細資訊。
所需的資源 所需的技術資源有限 需要各種利益相關者和所需的高階技術資源 需要各種利益相關者和所需的高階技術資源
複雜性

考慮定期推行網路模擬。每個練習類型都可以為參與者和整個組織提供獨特的好處,因此您可以選擇從較不複雜的模擬類型 (例如桌面練習) 開始,並進入較複雜的模擬類型 (紅隊演練)。您應根據自身的安全成熟度、資源和所需的結果來選取模擬類型。由於複雜性和成本,某些客戶可能不會選擇執行紅隊演練。