据多家媒体报道[1,2],2020年8月中旬,美国组织了为期三天的网络风暴演习2020年风暴演习(网络风暴演习)。网络风暴演习是美国国土安全部(DHS)定期组织的一系列大型网络安全演习,迄今已举行七届。作为网络空间安全演练和攻防对抗的标杆之一,本次活动的举办对于提高参演各方的应急处置能力具有十分重要的作用,对我国网络安全从业人员和人员具有重要的借鉴和学习作用。安全管理部门。作为企业内部研究所,实验室在梳理历次网络风暴演练情况,分析总结历次演练主题和演练中发现的问题后发现:一是协同联动主旋律贯穿始终,这对应急响应尤为重要;二是信息共享在演练中极为关键,对应急响应作用明显。三是优化防务协同流程机制,针对新威胁、新场景、新技术趋势需要不断完善。上述情况表明,美国政府非常重视协调和共享。历次演练暴露出的相关问题经验总结和改进措施,对国内网络安全作战具有重要指导意义。中测安华还在实践中借鉴美国网络风暴演习的经验,不断丰富和完善协同机制在持续风险监控体系中的内涵和外延,有效提高跨部门、跨部门的演练效率。-系统应用单元的代理协作。本文将详细介绍美国历次网络风暴演练的基本情况,供网络安全同行参考。一、概述网络风暴演习是美国国土安全部(DHS)发起的一系列大型网络安全演习。自2006年2月起,已举办7届(两年一届)。网络风暴演习一般包括为期三天的实战演练。演练结束后进行战后分析讨论,形成总结。此次网络风暴演习由美国牵头,涉及全球多个伙伴(主要是五眼联盟、北约等国家),旨在加强公私和跨国网络应急协调和情报共享能力。网络风暴系列演练重点考察参演人员应对网络攻击的准备、防护和应急能力,评估信息共享机制和沟通渠道。二、历次网络风暴演习介绍1、网络风暴I[3]第一次网络风暴演习于2006年2月6日至10日举行,涉及能源、IT、交通和通信等行业。参与方包括五眼联盟(澳大利亚、加拿大、新西兰、英国、美国)、多个州政府(密歇根州政府、蒙大拿州政府等)、联邦机构(商务部、商务部防御等)等。演习的目的是通过国家网络响应协调小组(NCRCG)进行机构间协调,确定影响应急响应和应急恢复的战略问题,以及公共和私营部门的重要信息共享渠道和机制,以及不断改进和促进公共和私人领域之间协作沟通的响应过程和计划。在演练的协调联动方面,在美国计算机应急响应小组(US-CERT)和国土安全行动中心(HSOC)发布重大警告时,国家网络响应协调小组(NCRCG)和跨部门事件管理集团(IIMG)紧随其后。开始,国土安全部(DHS)和国家网络响应协调小组(NCRCG)通过获得的信息分析整体攻击情况,评估对国家关键基础设施的影响,威胁国家安全和经济利益。响应小组(US-CERT)不仅作为响应信息的中转中心,为国土安全部(DHS)和国家网络响应协调组(NCRCG)分析整体攻击提供信息如果响应协调小组(NCRCG)人手不足,则承担分析整体攻击情况的角色。各行业信息共享与分析中心(ISAC)将与行业参与者进行交流。演练后总结提到,组织间的威胁应对需要进一步完善操作和协调程序。同时,随着网络事件的不断增多,响应协调的难度也越来越大。2.Cyber??stormII[4]本次演习于2008年3月10日至14日举行,涉及IT、通信、化工、交通等行业。参与方包括五眼联盟(澳大利亚、加拿大、新西兰、英国、美国)、多个州(加利福尼亚、科罗拉多等)、联邦机构(DOD、DOE等)等。通过此次演练,参演人员可以评估自身应对网络攻击的准备能力、防御能力和应对能力,以及决策和协调能力,并评估信息共享机制和沟通渠道。在演练的协调联动方面,参演人员在模拟场景(包括网络中断、通信中断和控制系统故障)中,通过标准化操作程序(SOP)和伙伴关系,共同应对网络风险。演习期间,国家网络响应协调小组(NCRCG)担任威胁行动小组(CAT)的战略顾问,为小组提供相关信息,帮助评估事件的影响并制定响应要求,同时威胁行动小组(CAT)负责指挥应急响应。各个行业的信息共享和分析中心(ISAC)和美国计算机应急响应小组(US-CERT)是协作的重要组成部分,以帮助参与者进行交流。演练后总结提到,应急通信工具和相关方法有待进一步完善和加强。行业协调委员会(SCCs)、美国计算机应急响应小组(US-CERT)、国家网络响应协调小组(NCRCG)和威胁行动小组(CAT)的任务需要进一步明确。3.Cyber??stormIII[5]本次演习于2010年9月27日至10月1日举行,涉及化工、能源(电力)、交通(铁路)等行业。与会者包括联邦机构(中央情报局、商务部等)、多个州(加利福尼亚州、特拉华州等)、12个国际合作伙伴(来自澳大利亚、加拿大[6]、新西兰、英国和国际观察与组织)警告网络(IWWN)成员国)等。本次演习的目的是澄清和演练处理过程、程序、合作和响应机制,评估国土安全部(DHS)和国家网络安全部的作用事件响应计划(NCIRP),评估协调和决策机制,找出信息共享方面的差距。问题等。在演习的协调和联动方面,与会者按照国家网络事件响应计划(NCIRP)应对影响关键基础设施的网络安全威胁和网络攻击。演习期间,参与者通过协调机构应对风险,包括:国家网络安全与通信集成中心(NCCIC)和网络统一协调组(UCG)。在化工、电力、IT和交通运输行业,公司还可以借助信息共享和分析中心(ISAC)、行业协会、行业代表和直接联系来跨行业共享信息。例如,在交通运输领域,私营企业通过信息共享与分析中心(ISAC)与国家网络安全与通信集成中心(NCCIC)协调应对。正如演习后总结中提到的,与会者发现国家网络事件响应计划(NCIRP)中涉及的流程、程序、角色和职责需要进一步完善。4.Cyber??stormIV[7]本次演习从2011年11月持续到2014年1月,参加者包括国际观测和预警网络(IWWN)成员国(澳大利亚、加拿大、法国等)、几个州(缅因州、俄勒冈州、等)和其他企业和部门。此次演习的目的是完善国家网络事件响应计划(NCIRP)中的处理程序、程序、合作机制和信息共享机制,评估国土安全部(DHS)及其相关部门在全球网络事件,并演练协调机制,以评估共享信息和决策过程的能力。本次演练的具体形式与以往相比有所变化。由小研讨、纸推演、实战演练等15个练习组成。正如演后总结中提到的,与会人员发现在信息共享和沟通方面还存在问题,部分与会人员不了解有哪些资源以及如何获取资源。5.Cyber??stormV[8]本次演练于2016年3月7日至11日举行,包括3天的实战演练,主要涉及IT、通信、医疗保障和公共卫生、商业设施(零售子领域)。参与者包括联邦机构(国土安全部(DHS)、国防部等)、多个州(阿拉巴马州、科罗拉多州等)、12个国际合作伙伴(新西兰国家网络安全中心、日本国家信息安全中心)等),约70家私营公司(亚马逊、沃尔玛等)和协调机构(统一协调小组(UCG)等)。本次演习的目的是演练协调机制、决策程序、评估信息共享能力和情况意识,并评估国土安全部(DHS)和其他政府部门在网络事件中的作用和职能。参与者根据内部政策和程序、外部报告要求和协调机制(例如,向信息共享和分析组织(ISAO)或信息共享和分析中心(ISAC)报告)作出回应。当演习规模达到国家级时,由国家网络安全与通信集成中心(NCCIC)指挥的统一协调组(UCG)将启动。统一协调组(UCG)作为一种实时的应急响应机制,帮助公共和私营部门进行沟通和协调,并提高对紧急事件的认识。在演练后的总结中提到,与会者发现他们在信息共享方面仍然面临一些问题,例如共享方式或信息的及时性,国土安全部(DHS)和国家网络安全局安全和通信集成中心(NCCIC)。)要进一步提高自身的处理流程、程序和综合能力。6.Cyber??stormVI[9]本次演练于2018年4月举行,历时7天,其中实战演练3天,主要涉及IT、交通、通信和重要制造业。参与者包括联邦机构、州、国际合作伙伴、执法部门、情报机构和国防部。本次演习的目的是演练协调机制,评估国家网络事件响应计划(NCIRP)和信息共享机制的有效性,评估国土安全部(DHS)的作用和职能,并帮助参与方完善办事流程、程序、协作能力和信息共享机制。截至目前,还没有与此次演习相关的官方总结信息。7.Cyber??storm2020[10]本次演练于2020年8月举行,包括3天的实战演练,主要涉及化工、通信、金融服务、医疗卫生、IT、交通运输和重点制造行业等。包括联邦机构、州和地方政府以及一些重要基础设施领域的合作伙伴在内的200多家公司的20,000多名人员参加了演习,达到了历届演习的最高人数[11]。演习旨在检验国家网络安全规划和战略,并评估其实际效果。它旨在加强信息共享和协作机制,加强公私伙伴关系,并改进通信网络应急响应的通信策略。截至目前,还没有关于此次演习的官方概要信息。三、历次网络风暴演练总结分析根据上述历次演练信息,必达实验室对7次网络风暴演练情况进行了分析总结:1、协调联动在应急响应中发挥重要作用,是否在网络风暴演习的目标制定或演习后的研讨会上,协调和联动一直是人们关注和讨论的话题。同时,协调联动方面往往是以往演练中最容易暴露问题的地方。在应急处理过程中,不同单位(来自不同国家或组织)之间的有效协调和联动非常重要。只有密切配合,才能充分发挥各方的作用。2.信息共享极为关键,对应急响应效果影响显着。信息共享问题将严重制约应急处置效果。从以往的网络风暴演练中,我们可以发现,信息共享既是应急处置的重点,也是难点。其中,信息共享过程中涉及的时效性、信息的敏感性、对通讯工具的熟悉程度、信息质量等都会影响到相互间的沟通与合作,最终影响应急响应的效果。3、流程机制的完善和迭代是协同防御改进的重点。以往演练涉及的新威胁、新场景、新技术不断变化。在演练总结中,一直提到流程机制的完善。显然,由于每次演练的目标、重点领域和参与者不同,具体的应急响应机制和流程也面临实际工作挑战,这对国土安全部(DHS)和国家安全部等主要网络安全部门提出了挑战。网络安全与通信集成中心(NCCIC)对协同防御工作提出了新的要求。同时,网络威胁的不断发展和攻击手段的不断更新也要求相关部门不断调整和优化国家网络事件响应计划(NCIRP)。四、给我们带来的思考根据以往美国“网络风暴”演习的分析可以发现,美国政府在演练过程中非常重视跨部门网络安全防御的协同联动。应对严重的网络安全威胁,这也体现了美国政府的协调性。联动中的信息共享、组织协调等问题。有鉴于此,未来我们在应对严峻的网络威胁时,需要注重各级组织之间的协同、各装备系统之间的联动、各安全数据的协同,同时还要提高通过持续的应急演练和机制,形成相应的流程。▲持续风险监测体系必达实验室通过对美国等发达国家网络安全政策和行动的跟踪研究,也深刻认识到协同联动在网络安全防御中的重要作用,并建立了以下基于长期网络安全实践以“持续风险监控”理念为指导的安全运营框架,将人员、设备、数据的协同机制作为持续风险监控的核心之一引入网络安全运营工作中,构建系统化的网络安全防御能力。中英文缩写对照表标准操作程序(SOP)国际监视与预警网络(IWWN)国家网络安全与通信集成中心(NCCIC)国家网络响应协调国家网络事件响应小组(NCRCG)国家网络事件响应计划(NCIRP)国土安全行动中心(HSOC)国土安全部(DHS)行业协调委员会(部门协调委员会-SCC)、机构间事件管理小组-IIMG、美国计算机应急准备小组-US-CERT、危机行动Team-CAT,informationsharingandInformationSharingandAnalysisCenter(ISAC)信息共享与分析组织(ISAO)
