据多家媒体报道,2020年8月中旬,美国组织了为期三天的网络风暴演习(Cyber Storm Exercise)2020。美国国土安全网络风暴演习(DHS)定期组织的一系列大型网络安全演习活动至今已举办七届。该活动作为网络空间安全演习、攻防对抗的标杆之一,对提高参与者的应急响应能力起着非常重要的作用,对我国网络安全从业者和安全管理部门起着重要的借鉴作用。
安华必达实验室作为企业内部研究机构,在整理以往网络风暴演习的基础上,对以往演习主题和演习中发现的问题进行了分析总结,发现协调联动的主题贯穿始终,对应急响应尤为重要;第二,信息共享在演习中非常重要,对应急响应效果起着明显的作用;第三,防御协调过程机制不断优化,需要不断完善新威胁、新场景、新技术的发展趋势。以上表明,美国政府非常重视协调和共享,总结了以往演习中暴露的相关问题和改进措施,对国内网络安全运行具有重要的指导意义。安华还借鉴了美国网络风暴演习的实践经验,不断丰富和完善可持续风险监测系统中协调机制的内涵和延伸,有效提高了系统应用单位跨部门、跨机构的协调联动效率。
本文将详细介绍历届美国网络风暴演习的基本情况,供网络安全同行参考。
一、概述
美国国土安全网络风暴演习(DHS)自2006年2月以来,举办了7次(两年一次)的大规模网络安全系列演习活动。网络风暴演习一般包括大约3天的实际战斗演习。演习结束后,将进行战后分析和讨论,形成总结。网络风暴演习以美国为主导,涉及世界上许多合作伙伴(主要是五眼联盟、北约等国家),旨在加强公私领域和跨国之间的网络应急协调和情报共享能力。网络风暴系列演习的重点是参与者准备、保护和应急响应能力、评估信息共享机制和通信方式。
二、介绍历届网络风暴演习
1. 网络风暴I[3]
2006年2月6日至10日6年2月6日至10日举行,涉及能源,IT,在交通和通信行业,参与者包括五眼联盟(澳大利亚、加拿大、新西兰、英国、美国)、多个州政府(密歇根州政府、蒙大拿州政府等)、联邦机构(商务部、国防部等)。演习的目的是通过国家网络响应协调小组(NCRCG),协调机构,确定影响应急响应和应急恢复的战略问题,以及公共和私人领域的重要信息共享方式和机制,不断完善和促进公共和私人领域的合作和沟通。
在演习协调联动方面,美国计算机应急响应小组(US-CERT)和国土安全运营中心(HSOC)国家网络响应协调小组发布重大预警警告时,(NCRCG)机构间事件管理小组(IIMG)国土安全部随后启动(DHS)国家网络响应协调小组(NCRCG)美国计算机应急响应小组通过获取的信息分析整体攻击情况,评估对国家重要基础设施、国家安全和经济利益的影响(US-CERT)它不仅被用作响应信息的中转中心,也被用作土地安全部(DHS)国家网络响应协调小组(NCRCG)提供信息分析整体攻击情况,信息量过大,国家网络响应协调小组(NCRCG)当技术人员不足时,他们有责任分析整体攻击情况。各行业信息共享分析中心(ISAC)与行业参与者沟通。
根据演习后的总结,组织之间的威胁响应需要进一步改进操作和协调程序,随着网络事件的增加,响应协调的难度也在增加。
2. 网络风暴II[4]
演习于2008年3月10日至14日举行,涉及IT、通信、化工、运输、参与者包括五眼联盟(澳大利亚、加拿大、新西兰、英国、美国)、多个州(加州、科罗拉多等)、联邦机构(国防部、能源部等)。在本次演习中,参与者可以评估他们的准备能力、保护能力和响应能力、决策和协调能力、信息共享机制和通信方式。
在演习协调联动方面,参与者通过标准化的操作流程(包括网络中断、通信中断和控制系统错误)模拟场景(SOP)配合伙伴关系应对网络风险。国家网络响应协调小组在演习过程中(NCRCG)作为威胁行动小组(CAT)的战略顾问,为该小组提供相关的信息,帮助评估事件的影响并制定响应要求,而威胁行动小组(CAT)负责指挥应急响应。各行业信息共享分析中心(ISAC)和美国计算机应急响应小组(US-CERT)帮助参与者沟通是协作的重要组成部分。
根据演习后的总结,需要进一步完善和加强应急通信工具和相关方法,行业协调委员会(SCCs)、美国计算机应急响应小组(US-CERT)、国家网络响应协调小组(NCRCG)威胁行动小组(CAT)职责需要进一步明确。
3. 网络风暴III[5]
演习于2010年9月27日至10月1日举行,涉及化工、能源(电力)和运输(铁路)行业 。参与者包括联邦机构(中央情报局、商务部等)、多个州(加州、特拉华州等)、12个国际合作伙伴(澳大利亚、加拿大[6]、新西兰、英国和国际观测和预警网络(IWWN)成员国)等。本次演习旨在明确和演练处理流程、程序、合作和响应机制,评估土地安全部(DHS)国家网络事件响应计划的角色和角色(NCIRP),评估协调和决策机制,找出信息共享中的问题。
在演习协调联动方面,参与者按照国家网络事件响应计划(NCIRP)应对影响重要基础设施的网络安全威胁和网络攻击活动。在演习中,参与者通过协调机构应对风险,包括国家网络安全与通信集成中心(NCCIC)与网络统一协调小组(UCG),化学、电力、IT公司还可以使用信息共享和分析中心(ISAC)、贸易协会、行业代理和直接对接跨行业共享信息。例如,在交通领域,私营企业通过信息共享和分析中心(ISAC)国家网络安全与通信集成中心(NCCIC)协同响应。
演习结束后,参与者发现了国家网络事件响应计划(NCIRP)中涉及的处理过程、程序、角色和职责还需进一步完善。
4. 网络风暴IV[7]
此次演习从2011年11月延续到2014年1月,参演方包括国际观测和预警网络(IWWN)成员国(澳大利亚、加拿大、法国等)、多个州(缅因州、俄勒冈州等)以及其他企业和部门。演习旨在改进国家网络事件响应计划(NCIRP)评估国土安全部的处理流程、程序、合作机制和信息共享机制(DHS)及其相关部门在全球网络事件、演练协调机制、评估信息共享能力和决策程序中的作用。演习的具体形式与以前相比发生了变化,包括15个演习活动,如小型研讨会、纸上演习和实践演习。
根据演习后的总结,参与者发现信息共享和沟通仍存在问题,一些参与者不知道可用的资源是什么,以及如何获取资源。
5. 网络风暴V[8]
演习于2016年3月7日至11日举行,包括3天的实战演习,主要涉及IT、通信、医疗保障、公共卫生、商业设施(零售子领域)。参与者包括联邦机构(国土安全部)(DHS),国防部等。),多个州(阿拉巴马州、科罗拉多州等。),12个国际合作伙伴(新西兰国家网络安全中心、日本国家信息安全中心等。),约70家私营企业(亚马逊、沃尔玛等。)和协调机构(统一协调小组)(UCG)等等)。这次演习是为了练习协调机制、决策程序、评估信息共享能力和对形势的认知能力,评估土地安全部(DHS)以及其他政府部门在网络事件中的角色和职能。
参与者根据内部策略和程序、外部报告要求和协调机制息共享和分析组织)(ISAO)或信息共享与分析中心(ISAC)响应发送报告)。当演习规模达到国家级时。(National Level),国家网络安全与通信集成中心(NCCIC)统一协调小组指挥(UCG)会开始的。统一协调小组(UCG)帮助公私部门沟通协调,增加对应急事件的认识,是一种实时的应急响应机制。
根据演习后的总结,参与者发现在信息共享方面仍然存在一些问题,如共享方式或信息的及时性以及土地安全部(DHS)国家网络安全与通信集成中心(NCCIC)他们的处理过程、程序和综合能力应进一步提高。
6. 网络风暴VI[9]
演习于2018年4月举行,持续7天,包括3天的实战演习,主要涉及IT、交通、通信和重要制造业。参与者包括联邦机构、州、国际合作伙伴、执法部门、情报机构和国防部。
本次演习旨在对国家网络事件响应计划进行演练协调机制的评估(NCIRP)评估国土安全部的效果和信息共享机制(DHS)帮助参与者提高处理流程、程序、协作能力和信息共享机制的角色和功能。
到目前为止,还没有与演习活动相关的官方总结。
7. 网络风暴2020[10]
演习于2020年8月举行,包括3天的实战演习,主要涉及化工、通信、金融服务、医疗保健和公共卫生IT、运输业和重点制造业。200多名人员参加了200多人,包括联邦机构、州政府和地方政府以及一些重要基础设施领域的合作伙伴,达到了历届演习活动的最大[11]。
本次演习旨在加强信息共享与合作机制,加强公私合作,完善相关通信网络应急响应的通信策略,以测试国家网络安全计划和策略,评估其实际效果。
到目前为止,还没有这次演习的官方总结。
三、总结分析历届网络风暴演习
基于以上关于以往演习活动的信息,必达实验室对7次网络风暴演习进行了分析总结:
1. 协调联动在应急响应中起着重要作用
无论是在早期网络风暴演习目标的制定还是演习结束后的研讨会上,协调联动一直受到关注和讨论,协调联动往往是以往演习中最容易暴露问题的地方。在应急处理过程中,(来自不同国家或组织)与不同单位之间的有效协调联动非常重要。只有密切合作,才能充分发挥各方的职能。
2. 信息共享非常关键,对应急响应有明显的影响
信息共享问题将严重限制应急响应的效果。从以往的网络风暴演习中,我们可以发现信息共享既是应急响应的重点也是难点。信息共享过程中涉及的及时性、信息敏感性、对通信工具的熟悉程度、信息质量等都会影响相互的联通合作,最终影响应急响应的效果。
3. 工艺机制的改进和迭代是协同防御改进的重点
在演习总结中,提到了以往演习活动所涉及的新威胁、新场景、新技术的不断变化。显然,随着每次演习活动的目标、关注领域和参与者的不同,体应急响应的机制流程也面临着实际工作挑战,这给了国土安全部等主要网络安全部门(DHS)国家网络安全与通信集成中心(NCCIC),它带来了新的协的不断发展和攻击手段的不断更新,也要求相关部门不断适应和优化国家网络事件响应计划(NCIRP)。
四、带给我们思考
根据对美国历次“网络风暴”演习分析发现,美国政府在处理严重的网络安全威胁时,非常重视机构间网络安全防御的协调联动,这也反映了美国政府在信息共享和组织协调方面的协调联动问题。有鉴于此,在应对未来严重的网络威胁时,需要重视各级组织之间的协调、各种设备系统和各种安全数据的协调,并通过持续的应急演练完善相应的过程和机制。
▲持续的风险监测系统
通过对美国等发达国家网络安全政策和行动的跟踪研究,必达实验室也深刻认识到协同联动在网络安全防御中的重要作用,并根据长期的网络安全实践建立了协同联动“持续的风险监测”理念为指导的安全运营框架,将人员、设备和数据三者的协同机制作为持续的风险监测的核心之一引入到网络安全运营工作中,构建系统化网络安全防御能力。
中英文缩写对照表
标准化操作流程(Standard Operating Procedure-SOP)
国际观测和预警网络(International Watch and Warning Network-IWWN)
国家网络安全与通信集成中心(National Cybersecurity and Communications Integration Center-NCCIC)
国家网络响应协调小组(National Cyber Response Coordination Group -NCRCG)
国家网络事件响应计划(National Cyber Incident Response Plan-NCIRP)
国土安全运营中心(Homeland Security Operations Center-HSOC)
国土安全部(Department of Homeland Security-DHS)
行业协调委员会(Sector Coordinating Councils-SCCs)
组织间事件管理小组(Interagency Incident Management Group-IIMG)
美国计算机应急响应小组(United States Computer Emergency Readiness Team-US-CERT)
威胁行动小组(Crisis Action Team-CAT)
信息共享与分析中心(Information Sharing and Analysis Center-ISAC)
信息共享和分析组织(Information Sharing and Analysis Organizations-ISAO)