据多家媒体报道[1,2],2020年8月中旬,美国组织了为期三天的网络风暴演习(Cyber Storm Exercise)2020。网络风暴演习是美国国土安全部(DHS)定期组织的系列大型网络安全演习活动,至今已举办七届。作为网络空间安全演习、攻防对抗的标杆之一,该活动的举办对于提高参演方应急响应能力有着非常重要的作用,对于我国网络安全从业者及安全管理部门都有着重要的借鉴学习作用。
作为企业的内设研究机构,中测安华必达实验室在整理历届网络风暴演习情况的基础上,对历届的演习主旨以及演习中发现的问题进行分析总结后发现:第一,协调联动的主旨贯穿始终,对于应急响应尤其重要;第二,信息共享在演习中极为关键,对应急响应效果作用明显;第三,防御协同流程机制一直在优化,针对新威胁、新场景和新技术的趋势需要不断完善。以上表明,美国政府对协同、共享非常重视,在历届演习中所暴露的与之相关的问题和改进措施等经验总结,对于国内网络安全运营工作有者重要的指导意义。中测安华也在实践中借鉴了美国网络风暴演习的经验,不断丰富完善持续风险监测体系中协同机制的内涵和外延,从而有效提高该体系应用单位跨部门、跨机构的协同联动效率。
本文将详细介绍美国历届网络风暴演习的基本情况,以供网络安全同行参考。
一、概述
网络风暴演习是美国国土安全部(DHS)主办的大规模网络安全系列演习活动,从2006年2月开始至今,共举办了7次(两年一次)。网络风暴演习一般会包含为期为3天左右的实战演习,演习结束后会进行战后分析研讨形成总结。网络风暴演习以美国为主导,涉及全球多个合作伙伴(主要是五眼联盟、北约等国家),旨在加强公私领域、跨国间的网络应急协调和情报共享能力。网络风暴系列演习重点演练参演方对网络攻击的准备,防护和应急响应能力,评估信息共享机制和通信途径等。
二、历届网络风暴演习介绍
1. 网络风暴I[3]
首次网络风暴演习于2006年2月6日至10日举行,涉及能源,IT,运输和通信行业,参演方包括五眼联盟(澳大利亚,加拿大,新西兰、英国、美国),多个州政府(密歇根州政府,蒙大拿州政府等),联邦机构(商务部,国防部等)等。演习目的是通过国家网络响应协调小组(NCRCG),进行机构间的协调,确定影响应急响应和应急恢复的策略问题以及在公私领域中重要的信息共享途径和机制,不断完善和促进根据响应流程和程序进行的公私领域之间的合作沟通。
在演习的协调联动方面,美国计算机应急响应小组(US-CERT)和国土安全运营中心(HSOC)发布重大预警警告时,国家网络响应协调小组(NCRCG)和机构间事件管理小组(IIMG)随之启动,国土安全部(DHS)和国家网络响应协调小组(NCRCG)通过获得的信息分析出总体的攻击态势,评估出对国家重要基础设施的影响,对国家安全和经济利益的威胁,美国计算机应急响应小组(US-CERT)不仅被用作响应信息的中转中心,为国土安全部(DHS)和国家网络响应协调小组(NCRCG)提供分析总体攻击态势的信息,而且在信息量过大且国家网络响应协调小组(NCRCG)技术人员不足时,充当分析总体攻击态势的职责。而各行业的信息分享和分析中心(ISAC)则会与该行业的参演人员相互沟通。
演习后的总结中提到,组织机构间的威胁响应需要进一步完善操作和协同程序,同时随着网络事件的不断增加,响应协调的难度也在增加。
2. 网络风暴II[4]
此次演习在2008年3月10日至14日举行,涉及IT、通信,化工,运输业,参演方包括五眼联盟(澳大利亚,加拿大,新西兰、英国、美国),多个州(加利福尼亚州,科罗拉多州等),联邦机构(国防部,能源部等)等。此次演习中,参演方可以评估自己对网络攻击的准备能力,防护能力和响应能力以及决策和协调能力,评估信息共享机制及通信途径。
在演习的协调联动方面,参演人员在模拟的场景中(包括网络中断,通信中断和控制系统出错),通过标准化操作流程(SOP)及伙伴关系协同应对网络风险。在演习过程中,国家网络响应协调小组(NCRCG)作为威胁行动小组(CAT)的战略顾问,为该小组提供相关的信息,帮助评估事件的影响并制定响应要求,而威胁行动小组(CAT)则负责指挥应急响应。各个行业的信息共享和分析中心(ISAC)和美国计算机应急响应小组(US-CERT)作为协同的重要部分,帮助参与者进行沟通。
演习后的总结中提到,应急通信的工具和相关方法需要进一步完善和加强,行业协调委员会(SCCs)、美国计算机应急响应小组(US-CERT)、国家网络响应协调小组(NCRCG)及威胁行动小组(CAT)的职责需要进一步明确。
3. 网络风暴III[5]
此次演习在2010年9月27日至10月1日举行,涉及化工,能源(电力)及运输(铁路)业 。参演方包括联邦机构(中情局,商务部等),多个州(加利福尼亚州,特拉华州等),12个国际伙伴(来自澳大利亚,加拿大[6],新西兰、英国及国际观测和预警网络(IWWN)成员国)等。此次演习是为了明确并演练处理流程、程序、合作及响应机制,评估国土安全部(DHS)所承担的角色以及国家网络事件响应计划(NCIRP),评测协调和决策机制,找出信息共享中的问题等。
在演习的协调联动方面,参演人员按照国家网络事件响应计划(NCIRP)来应对影响重要基础设施的网络安全威胁以及网络攻击活动。在演习中,参与者通过协调机构来应对风险,其中协调机构包括:国家网络安全与通信集成中心(NCCIC)和网络统一协调小组(UCG),在化工、电力、IT和运输行业,公司还可借助信息共享和分析中心(ISAC)、贸易协会、行业代理以及直接对接来进行跨行业分享信息。例如在运输领域,私有企业通过信息分享和分析中心(ISAC)来与国家网络安全与通信集成中心(NCCIC)进行协同响应。
演习后的总结中提到,参演方发现国家网络事件响应计划(NCIRP)中涉及的处理过程、程序、角色和职责还需进一步完善。
4. 网络风暴IV[7]
此次演习从2011年11月延续到2014年1月,参演方包括国际观测和预警网络(IWWN)成员国(澳大利亚,加拿大,法国等),多个州(缅因州,俄勒冈州等)及其他企业和部门。此次演习是为了提高国家网络事件响应计划(NCIRP)中的处理流程、程序、合作机制和信息分享机制,评估国土安全部(DHS)及其相关部门在全球网络事件中的作用,演练协调机制,评估信息共享的能力以及决策程序。本次演习的具体形式较之前有所变化,由小型研讨会、纸上推演、实战演练等15个演练活动组成。
演习后的总结中提到,参演方发现信息共享和沟通中依旧存在问题,并且一些参演方不了解有哪些资源可用,以及如何获取到资源。
5. 网络风暴V[8]
此次演习在2016年3月7日至11日举行,包括3天的实战演习,主要涉及IT、通信、医疗保障和公共健康、商业设施(零售子领域)领域。参演方包括联邦机构(国土安全部(DHS),国防部等),多个州(阿拉巴马州,科罗拉多州等),12个国际合作伙伴(新西兰国家网络安全中心,日本国家信息安全中心等),约70家私营企业(亚马逊,沃尔玛等)和协调机构(统一协调小组(UCG)等)。此次演习是为了演练协调机制、决策的程序、评估信息共享能力以及对态势的认知能力,评估国土安全部(DHS)及其他政府部门在网络事件中的角色和职能等。
参演人员根据内部的策略和程序、外部的报告要求和协调机制(例如,向信息共享和分析组织(ISAO)或信息共享和分析中心(ISAC)发送报告)进行响应。当演习规模达到国家级别(National Level),国家网络安全与通信集成中心(NCCIC)所指挥的统一协调小组(UCG)便会启动。而统一协调小组(UCG)作为一种实时的应急响应机制,帮助公私部门进行沟通协调,增加对应急事件的认识。
演习后的总结中提到,参演方发现在信息共享方面,还是面临着一些问题,例如共享的途径或信息的及时性,以及国土安全部(DHS)和国家网络安全与通信集成中心(NCCIC)应该进一步完善他们处理流程、程序和综合能力。
6. 网络风暴VI[9]
此次演习在2018年4月举行,历时7天,其中包含3天的实战演习,主要涉及IT、交通、通信以及重要的制造业。参演方包括联邦机构、州、国际合作伙伴、执法部门、情报机构和国防部。
此次演习是为了演练协调机制,评估国家网络事件响应计划(NCIRP)的效果及信息共享机制,评估国土安全部(DHS)的角色和职能,帮助参演方提高处理流程、程序、协作能力及信息共享机制。
截至目前,尚没有本次演习活动相关的官方总结资料。
7. 网络风暴2020[10]
此次演习在2020年8月举行,包括3天的实战演习,主要涉及化工、通信、金融服务、医疗保健和公共卫生、IT、运输业及关键的制造业等。包括联邦机构,州政府和地方政府以及一些重要基础设施领域的合作伙伴等200余家的超过2万名人员参与其中,达到历届演习活动之最[11]。
此次演习是为了测试国家网络安全计划和策略并评估其实际效果,旨在加强信息共享和协作机制,加强公私领域的合作关系,完善有关通信网络应急响应的通信策略。
截至目前,尚没有本次演习活动的相关官方总结资料。
三、历届网络风暴演习总结与分析
综合上述关于历届演习活动的资料,必达实验室对7次网络风暴演习情况进行了分析总结:
1. 协调联动在应急响应中发挥着重要作用
无论是在前期网络风暴演习目标的制定还是演习后的研讨会中,协调联动一直被关注和讨论,同时协调联动方面在历次演习中也往往是最容易暴露问题的地方。在应急事件处置过程中,(来自不同国家或者组织的)不同单位之间的进行有效的协调联动是非常重要的。只有相互紧密合作,才能充分发挥各方的职能。
2. 信息共享极为关键,对应急响应效果作用明显
信息共享出现问题会严重制约应急响应效果。从历次的网络风暴演习中,我们可以发现信息共享在应急响应中既是重点也是难点。其中在信息共享过程中所涉及的时效性,信息的敏感度,对通信工具的熟悉度,信息的质量等都会影响彼此的联通协作,最终影响应急响应的效果。
3. 流程机制的完善与迭代是协同防御改进的重点
历次演习活动所涉及的新威胁、新场景和新技术不断变化,在演习总结中,流程机制的改善一直都被提及。显而易见,伴随着每次演习活动的目标、关注领域和参演方的不同,具体应急响应的机制流程也面临实际工作挑战,这就给主要的网络安全部门如,国土安全部(DHS)和国家网络安全与通信集成中心(NCCIC),带来了新的协同防御工作要求,同时网络威胁的不断发展,攻击手段的不断更新,也要求相关部门不断的去适应和优化国家网络事件响应计划(NCIRP)。
四、带给我们的思考
根据对美国历次“网络风暴”演习的分析可以发现,美国政府在应对严重网络安全威胁过程中十分注重机构间网络安全防御的协同联动,侧面也反映出美国政府在协同联动中在信息共享、组织协调等方面的问题。鉴于此,我们在应对未来严峻的网络威胁时,需要重视各级组织机构间的协调,各种设备系统之间的联动以及各类安全数据的协同,也要通过不断应急演练来完善相应的流程和机制。
▲持续风险监测体系
必达实验室通过对美国等发达国家网络安全政策和行动的跟踪研究过程中也深刻认识到协同联动在网络安全防御中的重要作用,并根据长期的网络安全实践建立了以“持续风险监测”理念为指导的安全运营框架,将人员、设备和数据三者的协同机制作为持续风险监测的核心之一引入到网络安全运营工作中,构建系统化网络安全防御能力。
中英文缩写对照表
标准化操作流程(Standard Operating Procedure-SOP)
国际观测和预警网络(International Watch and Warning Network-IWWN)
国家网络安全与通信集成中心(National Cybersecurity and Communications Integration Center-NCCIC)
国家网络响应协调小组(National Cyber Response Coordination Group -NCRCG)
国家网络事件响应计划(National Cyber Incident Response Plan-NCIRP)
国土安全运营中心(Homeland Security Operations Center-HSOC)
国土安全部(Department of Homeland Security-DHS)
行业协调委员会(Sector Coordinating Councils-SCCs)
机构间事件管理小组(Interagency Incident Management Group-IIMG)
美国计算机应急响应小组(United States Computer Emergency Readiness Team-US-CERT)
威胁行动小组(Crisis Action Team-CAT)
信息分享和分析中心(Information Sharing and Analysis Center-ISAC)
信息共享和分析组织(Information Sharing and Analysis Organizations-ISAO)
