R-EACTR：一個(gè)設(shè)計(jì)現(xiàn)實(shí)網(wǎng)絡(luò)戰(zhàn)演習(xí)的框架

本材料來(lái)源于國(guó)防部資助并由卡內(nèi)基梅隆大學(xué)軟件工程研究所的運(yùn)營(yíng)的項(xiàng)目，合同編號(hào)為FA8721-05-C-0003，該項(xiàng)目是一家聯(lián)邦資助的研究與開(kāi)發(fā)中心。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)鞏留,10年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):13518219792

本材料中所表達(dá)的任何意見(jiàn)、調(diào)查結(jié)果和結(jié)論或建議均為委托人的意見(jiàn)，調(diào)查結(jié)果和結(jié)論或建議，并不一定反映美國(guó)國(guó)防部的觀點(diǎn)。

無(wú)擔(dān)保?？▋?nèi)基梅隆大學(xué)和軟件工程學(xué)院的材料是“按原樣”提供的?？▋?nèi)基梅隆大學(xué)不作任何明示或暗示的保證，包括但不限于對(duì)適用性或適銷性、專有性或使用本材料所產(chǎn)生的結(jié)果的擔(dān)保?？▋?nèi)基梅隆大學(xué)也不會(huì)對(duì)任何由此所產(chǎn)生的關(guān)于專利、商標(biāo)或版侵犯的自由作出任何保證。

[發(fā)行聲明]

本材料已經(jīng)核準(zhǔn)公開(kāi)發(fā)布和無(wú)限制發(fā)行。請(qǐng)參閱非美國(guó)政府使用和分發(fā)版權(quán)聲明。

內(nèi)部使用：*允許復(fù)制本材料，并準(zhǔn)備從本材料制作衍生作品，以便在內(nèi)部使用，只要所有復(fù)制品和衍生作品包含版權(quán)和“無(wú)擔(dān)?！甭暶骷纯伞?/p>

外部使用：*本材料可在不經(jīng)修改的情況下完整復(fù)制，并無(wú)需正式許可，以書(shū)面或電子形式免費(fèi)分發(fā)。任何其他外部/或商業(yè)用途都需要正式許可。申請(qǐng)?jiān)S可應(yīng)通過(guò)permission@sei.cmu.edu聯(lián)系軟件工程學(xué)院。

*這些限制不適用于美國(guó)政府實(shí)體。

I 執(zhí)行概要...2

II 摘要...2

III 現(xiàn)實(shí)主義是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)演習(xí)的關(guān)鍵...3

IV R-EACTR框架...4

4.1. 環(huán)境...5

4.2. 對(duì)手...5

4.3. 通信...6

4.4. 戰(zhàn)術(shù)...6

4.5. 角色...7

V 案例研究 - Cyber Forge 11.7

5.1. 環(huán)境...7

5.2. 對(duì)手...9

5.3. 通信...11

5.4. 戰(zhàn)術(shù)...11

5.5. 角色...12

VI 結(jié)論...13

I 執(zhí)行概要

要使一個(gè)網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠保持對(duì)網(wǎng)絡(luò)***和網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)能力，就必須通過(guò)實(shí)踐來(lái)進(jìn)行鍛煉。在一個(gè)考慮參加網(wǎng)絡(luò)安全比賽的團(tuán)隊(duì)來(lái)說(shuō)，團(tuán)隊(duì)的預(yù)備參賽隊(duì)員都有獨(dú)特的個(gè)人技能，每個(gè)人都通過(guò)重復(fù)的練習(xí)來(lái)精煉和完善個(gè)人的技能。在這種過(guò)程中，實(shí)踐的頂峰是“混戰(zhàn)”——團(tuán)隊(duì)的所有成員共同努力實(shí)現(xiàn)一個(gè)單一的目標(biāo)：比另一個(gè)團(tuán)隊(duì)獲得更多的分?jǐn)?shù)。在網(wǎng)絡(luò)安全比賽領(lǐng)域，比賽的組織方會(huì)竭盡全力使比賽的體驗(yàn)盡可能的真實(shí)。其設(shè)計(jì)和組織方式，和真正的游戲領(lǐng)域是完全一樣的，并且比賽所使用的設(shè)備與真正的游戲設(shè)備幾乎相同，游戲規(guī)則也是等價(jià)的。為了確保每個(gè)人都遵守規(guī)則，還需要增加裁判員以加強(qiáng)監(jiān)督。在真正的比賽前，最重要的彩排就是混戰(zhàn)。沒(méi)有一個(gè)混戰(zhàn)比拼，教練很難評(píng)估網(wǎng)絡(luò)安全隊(duì)伍的優(yōu)勢(shì)和劣勢(shì)。同樣的，如果沒(méi)有團(tuán)隊(duì)成員的混戰(zhàn)，就很難理解他們的角色是如何融入整體的以及相互之間的優(yōu)勢(shì)和配合。

這正是軍事策劃人員在為美國(guó)軍事網(wǎng)絡(luò)團(tuán)隊(duì)策劃網(wǎng)絡(luò)演習(xí)時(shí)必須采取的思維模式。軍事演習(xí)有很多目的。比如安全***團(tuán)隊(duì)的戰(zhàn)術(shù)、技巧和程序演習(xí)和評(píng)估。更重要的是，團(tuán)隊(duì)成員構(gòu)建并完善信任關(guān)系。為了從這些參與中獲得最大的收益，演習(xí)必須以現(xiàn)實(shí)主義為主要關(guān)注點(diǎn)。

在這份報(bào)告中，我們介紹了一個(gè)名為現(xiàn)實(shí)--環(huán)境，對(duì)手，通信，戰(zhàn)術(shù)和角色（R-EACTR）的網(wǎng)絡(luò)戰(zhàn)演習(xí)的設(shè)計(jì)框架。這個(gè)框架確保在設(shè)計(jì)基于團(tuán)隊(duì)的演習(xí)時(shí)，將現(xiàn)實(shí)因素考慮到參與者體驗(yàn)的各個(gè)方面。作者在大約30場(chǎng)實(shí)彈的網(wǎng)絡(luò)戰(zhàn)演習(xí)中使用了這個(gè)框架——反復(fù)改進(jìn)并記錄展現(xiàn)最佳現(xiàn)實(shí)主義的細(xì)節(jié)。該框架在演習(xí)構(gòu)建過(guò)程的規(guī)劃和設(shè)計(jì)階段非常有用。它迫使規(guī)劃者、工程師、培訓(xùn)主管和參與者之間進(jìn)行對(duì)話。并鼓勵(lì)充分理解演習(xí)要完成的內(nèi)容以及將如何進(jìn)行的具體細(xì)節(jié)。這些對(duì)話收集了即將到來(lái)的比賽參與的詳細(xì)信息，這對(duì)于為鍛煉參與者創(chuàng)造有益的體驗(yàn)至關(guān)重要。

I 摘要

隨著網(wǎng)絡(luò)空間領(lǐng)域擴(kuò)展到軍事行動(dòng)的各個(gè)方面，軍事領(lǐng)導(dǎo)人都面臨著向越來(lái)越多的網(wǎng)絡(luò)單位提供寶貴的培訓(xùn)和演習(xí)的挑戰(zhàn)。為了使得訓(xùn)練有價(jià)值，訓(xùn)練的經(jīng)驗(yàn)必須是真實(shí)的。本報(bào)告介紹了一個(gè)名為現(xiàn)實(shí)--環(huán)境，對(duì)手，通信，戰(zhàn)術(shù)和角色（R-EACTR）的網(wǎng)絡(luò)戰(zhàn)演習(xí)的設(shè)計(jì)框架。 R-EACTR框架將現(xiàn)實(shí)主義置于每個(gè)網(wǎng)戰(zhàn)作戰(zhàn)設(shè)計(jì)決策的最前沿。本報(bào)告還介紹了創(chuàng)建軍事網(wǎng)絡(luò)演習(xí)所涉及的挑戰(zhàn)，為演習(xí)的各個(gè)方面構(gòu)建了現(xiàn)實(shí)主義的框架，以及框架成功運(yùn)用的一項(xiàng)演習(xí)的案例研究。

II 現(xiàn)實(shí)主義是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)演習(xí)的關(guān)鍵

“福布斯”雜志撰稿人約翰·勞迪西娜（John Laudicina）預(yù)測(cè)，2017年將是“網(wǎng)絡(luò)戰(zhàn)之年”——原因是物聯(lián)網(wǎng)的脆弱性增加，基礎(chǔ)設(shè)施的***預(yù)演以及全球強(qiáng)權(quán)政治的不斷變化[Laudicina，2016]。民族國(guó)家已經(jīng)做好了網(wǎng)絡(luò)戰(zhàn)的準(zhǔn)備。2016年12月，針對(duì)韓國(guó)網(wǎng)絡(luò)司令部的襲擊事件被歸咎于朝鮮[BBC 2016]。這些事件也證實(shí)了那些認(rèn)為網(wǎng)絡(luò)***會(huì)停止的人想法是天真的。事實(shí)上，許多專家認(rèn)為，全面的網(wǎng)絡(luò)戰(zhàn)幾乎是不可避免的。為了應(yīng)對(duì)這一現(xiàn)實(shí)，軍方領(lǐng)導(dǎo)人正在積極為網(wǎng)絡(luò)戰(zhàn)準(zhǔn)備網(wǎng)絡(luò)戰(zhàn)部隊(duì)。

我們的軍隊(duì)?wèi)?yīng)該如何準(zhǔn)備？軟件工程研究所（SEI）的CERT網(wǎng)絡(luò)安全人才培養(yǎng)（CWD）董事會(huì)已經(jīng)培訓(xùn)了大量的美國(guó)政府網(wǎng)絡(luò)專業(yè)人員。2010年，CWD研究人員發(fā)表了一份SEI技術(shù)報(bào)告，詳細(xì)介紹了我們的網(wǎng)絡(luò)安全人才培養(yǎng)方法[Hammerstein 2010]。報(bào)告描述了三個(gè)主要的發(fā)展階段：知識(shí)建設(shè)、技能建設(shè)和經(jīng)驗(yàn)建設(shè)。最初，CWD花費(fèi)了大部分時(shí)間來(lái)改進(jìn)前兩個(gè)階段：知識(shí)建設(shè)和技能建設(shè)。這兩個(gè)階段主要是通過(guò)一個(gè)虛擬的培訓(xùn)環(huán)境來(lái)實(shí)現(xiàn)的——提供個(gè)人定制的網(wǎng)絡(luò)安全課程材料和動(dòng)手實(shí)操的實(shí)驗(yàn)室。自從2010年的技術(shù)報(bào)告發(fā)布以來(lái)，CERT的研究人員已經(jīng)越來(lái)越多地參與到這一教學(xué)法的“經(jīng)驗(yàn)建設(shè)”階段。經(jīng)驗(yàn)建設(shè)是通過(guò)基于團(tuán)隊(duì)的網(wǎng)絡(luò)演習(xí)來(lái)實(shí)現(xiàn)的。自2011年以來(lái)，CERT的研究人員已經(jīng)向8000多個(gè)國(guó)防部(DoD)參與者交付了超過(guò)125個(gè)網(wǎng)絡(luò)演習(xí)，代表著包括預(yù)備役和警衛(wèi)隊(duì)在內(nèi)的所有軍事部門(mén)。

根據(jù)聯(lián)合出版物1-02，演習(xí)的定義是“軍事演習(xí)是模擬戰(zhàn)時(shí)行動(dòng)的，涉及計(jì)劃、準(zhǔn)備和執(zhí)行的軍事行為，主要目的是為了培訓(xùn)和評(píng)估網(wǎng)絡(luò)戰(zhàn)的能力”[DTIC 2017]。幾乎所有的軍事單位每年都至少參加一次以團(tuán)隊(duì)為基礎(chǔ)的演習(xí)，以確保成員能夠執(zhí)行他們所指定的任務(wù)清單（METL）。我們支持的網(wǎng)絡(luò)部門(mén)正在進(jìn)行各種各樣的網(wǎng)絡(luò)演習(xí)，從大規(guī)模的演習(xí)（例如Cyber Flag，Cyber Guard和Cyber Knight）需要跨越數(shù)個(gè)星期的時(shí)間，到小規(guī)模的演習(xí)（例如，Cyber Forge和Mercury Challenge）需要跨越幾個(gè)小時(shí)的時(shí)間。在所有這些演習(xí)中，我們要么領(lǐng)導(dǎo)要么直接協(xié)助軍方進(jìn)行規(guī)劃、建設(shè)、交付和報(bào)告工作。

在過(guò)去的五年中，我們密切關(guān)注從演習(xí)中產(chǎn)生的反饋。最頻繁的反饋是對(duì)“現(xiàn)實(shí)主義”的渴望。“團(tuán)隊(duì)希望在所有可以想象到的方面最大化現(xiàn)實(shí)主義?！痹谶M(jìn)行了一項(xiàng)大規(guī)模的演習(xí)后，《行動(dòng)報(bào)告》指出，在演習(xí)環(huán)境中可用的一些工具與實(shí)際操作中使用的工具不一樣。在一個(gè)小規(guī)模的演習(xí)中，一個(gè)網(wǎng)絡(luò)保護(hù)小組（CPT）的成員告訴我們，團(tuán)隊(duì)和外部組織之間的交互并沒(méi)有被真實(shí)地模擬。在2016年，我們的網(wǎng)絡(luò)演習(xí)設(shè)計(jì)團(tuán)隊(duì)被分配到美國(guó)陸軍網(wǎng)絡(luò)企業(yè)技術(shù)司令部（NETCOM）培訓(xùn)和演習(xí)部門(mén)，以便進(jìn)行每次演習(xí)后收集調(diào)查數(shù)據(jù)。在每一項(xiàng)調(diào)查的回應(yīng)中，我們學(xué)到了可以在演習(xí)中設(shè)計(jì)的更具體的現(xiàn)實(shí)主義細(xì)節(jié)。當(dāng)我們對(duì)每一課的學(xué)習(xí)和提高演習(xí)中的真實(shí)水平做出反應(yīng)時(shí)，出現(xiàn)了很多好處。團(tuán)隊(duì)的領(lǐng)導(dǎo)報(bào)告說(shuō)，這樣的演習(xí)的價(jià)值增加了，并且參與者變得更加投入。

當(dāng)我們將現(xiàn)實(shí)主義設(shè)計(jì)到演習(xí)中時(shí)，必須考慮到一個(gè)簡(jiǎn)單的事實(shí)：隨著現(xiàn)實(shí)主義的增加，演習(xí)的成本也會(huì)增加。因此，我們對(duì)各種現(xiàn)實(shí)細(xì)節(jié)進(jìn)行成本/效益分析，以確定投資應(yīng)該最大化還是最小化。關(guān)鍵是要找到我們做出讓步以保持最低成本的那一點(diǎn)，但要使這個(gè)演習(xí)足夠真實(shí)，以達(dá)到預(yù)期的訓(xùn)練效果。

斯坦利·麥克里斯特爾(Stanley McChrystal)將軍在他的著作《團(tuán)隊(duì)團(tuán)隊(duì)》(Team of Teams)中，談到了×××（SEAL）的訓(xùn)練：“...一個(gè)信任和目標(biāo)相融合的團(tuán)隊(duì)將變得更加強(qiáng)大。這樣的團(tuán)隊(duì)可以即興發(fā)揮對(duì)動(dòng)態(tài)、實(shí)時(shí)發(fā)展的作戰(zhàn)反應(yīng)“（McChrystal，2015）。現(xiàn)實(shí)主義的增加也會(huì)導(dǎo)致更加復(fù)雜和動(dòng)態(tài)的環(huán)境。我們觀察到，為了在這個(gè)日益增長(zhǎng)的現(xiàn)實(shí)網(wǎng)絡(luò)戰(zhàn)演習(xí)環(huán)境中占上風(fēng)，團(tuán)隊(duì)學(xué)會(huì)了作為一個(gè)整體來(lái)運(yùn)作，并在彼此之間建立信任——而不是依賴于個(gè)人的技能集合。我們將我們的觀察和筆記編纂成一個(gè)名為現(xiàn)實(shí)--環(huán)境，對(duì)手，通信，戰(zhàn)術(shù)和角色（R-EACTR）的設(shè)計(jì)框架。我們現(xiàn)在將R-EACTR應(yīng)用于我們?cè)O(shè)計(jì)、開(kāi)發(fā)和交付的每個(gè)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)演習(xí)中。

III R-EACTR框架

在我們的經(jīng)驗(yàn)中，所有的設(shè)計(jì)決策都符合以下五個(gè)方面的訓(xùn)練經(jīng)驗(yàn)：環(huán)境、對(duì)手、通信、戰(zhàn)術(shù)和角色。從參與者的角度來(lái)看，每個(gè)方面都必須足夠真實(shí)，以提供令人滿意的(和有價(jià)值的)訓(xùn)練經(jīng)驗(yàn)。遺漏任何一個(gè)方面都可能破壞整個(gè)演習(xí)的真實(shí)性。例如，可能會(huì)有一個(gè)真實(shí)的對(duì)手。但是，如果沒(méi)有真實(shí)的戰(zhàn)術(shù)，在對(duì)抗真實(shí)對(duì)手的行動(dòng)時(shí)，價(jià)值也是有限的。在另一個(gè)例子中，環(huán)境可能是真實(shí)的，但是如果沒(méi)有一個(gè)實(shí)際的通信機(jī)制，現(xiàn)實(shí)主義的感覺(jué)就會(huì)在報(bào)告威脅減輕建議的時(shí)候失去意義。我們認(rèn)為，一個(gè)不包括上述五個(gè)方面的內(nèi)容都會(huì)使練習(xí)變得不切實(shí)際。接下來(lái)的五個(gè)部分定義了上述每個(gè)部分的詳情，并確定了整體覆蓋特定部分的要素和子要素。

圖1：R-EACTR框架

1.1. 環(huán)境

“環(huán)境”部分指的是參與者經(jīng)歷的條件、觀察和獲取信息的總和。第一個(gè)要素是團(tuán)隊(duì)將要進(jìn)行訓(xùn)練的物理空間，其中包括環(huán)境和辦公室空間方面的問(wèn)題。第二個(gè)要素是虛擬空間，它由網(wǎng)絡(luò)、訪問(wèn)和系統(tǒng)的配置組成，團(tuán)隊(duì)將與之交互。最后一點(diǎn)是心理上的。這通常是最難模擬的，但是應(yīng)該嘗試。我們通過(guò)將團(tuán)隊(duì)放入熟悉的時(shí)間表、報(bào)告協(xié)議和精神壓力之下來(lái)模擬真實(shí)的心理反應(yīng)。表1中定義了環(huán)境段的要素和子要素。

表1：環(huán)境部分

要素	子要素
物理空間	辦公空間：桌椅擺放，白板，打印機(jī)，電話等
物理空間	環(huán)境：靠近熟悉的設(shè)施，制服，就餐點(diǎn)等
虛擬空間	網(wǎng)絡(luò)：體系結(jié)構(gòu)，基礎(chǔ)設(shè)施設(shè)備，安全應(yīng)用
	訪問(wèn)：控制臺(tái)，遠(yuǎn)程桌面協(xié)議（RDP），登錄
	配置：版本控制，補(bǔ)丁，安全技術(shù)實(shí)施指南(STIG)級(jí)別
心里活動(dòng)	戰(zhàn)斗節(jié)奏：排程表，戰(zhàn)斗高峰值，換班周期，結(jié)束日?qǐng)?bào)
心里活動(dòng)	精神壓力：訓(xùn)練的速度，復(fù)雜性，評(píng)估，來(lái)自領(lǐng)導(dǎo)反饋等

1.2. 對(duì)手

“對(duì)手”部分是指在整個(gè)演習(xí)中模擬的敵對(duì)力量的總和。第一個(gè)要素是威脅，我們通過(guò)對(duì)已知對(duì)手的特定類型的***進(jìn)行建模，從而對(duì)其進(jìn)行真實(shí)的模擬。威脅必須具有復(fù)雜性，當(dāng)加上威脅類型時(shí)，它是真實(shí)的。對(duì)手部分的第二個(gè)要素是資源。如果把金融、人力和技術(shù)的子要素設(shè)計(jì)成總體的情景敘述，那么對(duì)手就是真實(shí)的。表2中定義了對(duì)手段的要素和子要素。

表2：對(duì)手部分

要素	子要素
威脅	類型：民族國(guó)家，***主義，犯罪家庭，未知，混合
威脅	復(fù)雜度：***的難度等級(jí)，干擾，欺騙
資源	金融：購(gòu)買力，賄賂，雇傭雇傭兵
	社群：內(nèi)部威脅，情報(bào)來(lái)源，社會(huì)工程
	技術(shù)：工具，系統(tǒng)，技能

1.3. 通信

“通信”部分是指團(tuán)隊(duì)在整個(gè)演習(xí)過(guò)程中將用來(lái)溝通的機(jī)制和方法的總和。我們通常把這個(gè)部分分成兩個(gè)部分：內(nèi)部的和外部的。在設(shè)計(jì)通信段時(shí)，我們關(guān)心的是復(fù)制團(tuán)隊(duì)在實(shí)際操作中盡可能緊密地使用的通信。這部分還包括建模任何將在團(tuán)隊(duì)邊界之外移動(dòng)到外部組織的通信。我們已經(jīng)發(fā)現(xiàn)，應(yīng)該對(duì)團(tuán)隊(duì)在外部進(jìn)行溝通的方式給予足夠的關(guān)注，因?yàn)檫@將使訓(xùn)練人員能夠?qū)嶋H地注入信息(訂單、報(bào)告、任務(wù)等)，從而驅(qū)動(dòng)團(tuán)隊(duì)的行為。通信部分的要素和子要素見(jiàn)表3。

表3：通信部分

要素	子要素
內(nèi)部	語(yǔ)音：互聯(lián)網(wǎng)協(xié)議語(yǔ)音（VoIP），電話會(huì)議，手機(jī)，面對(duì)面。
內(nèi)部	電子：電子郵件，即時(shí)消息，文件共享
外部	指令：操作命令，臨時(shí)命令，指揮官關(guān)鍵信息要求（CCIRs）
外部	協(xié)作：事件，威脅，授權(quán)，信息請(qǐng)求（RFIs）

1.4. 戰(zhàn)術(shù)

“戰(zhàn)術(shù)”部分是指團(tuán)隊(duì)內(nèi)部戰(zhàn)術(shù)，技術(shù)和程序的總和。在設(shè)計(jì)戰(zhàn)術(shù)部分時(shí)，網(wǎng)絡(luò)作戰(zhàn)團(tuán)隊(duì)和演習(xí)開(kāi)發(fā)者在設(shè)計(jì)階段將進(jìn)行大量的對(duì)話。盡管所有團(tuán)隊(duì)都使用相同的METL操作，但他們執(zhí)行任務(wù)的方式各不相同。這一事實(shí)使得這段代碼很難正確建模。戰(zhàn)術(shù)部分的第一個(gè)要素是個(gè)人，在其中我們考慮特定的技能、工具和責(zé)任。戰(zhàn)術(shù)部分的第二個(gè)要素是集體，我們將更多的注意力集中在能夠成功完成任務(wù)目標(biāo)的過(guò)程。表4中定義了戰(zhàn)術(shù)部分的要素和子要素。

表4：戰(zhàn)術(shù)部分

要素	子要素
個(gè)人	專業(yè)：軍事職業(yè)特長(zhǎng)（MOS），認(rèn)證，經(jīng)驗(yàn)
個(gè)人	領(lǐng)導(dǎo)：資源分配，簡(jiǎn)報(bào)，優(yōu)先排序
集體	任務(wù)：METL，目標(biāo)，報(bào)告
集體	流程：團(tuán)隊(duì)特定程序，軍事指令，法規(guī)、軍事決策過(guò)程(MDMP)

1.5. 角色

“角色”部分指的是演習(xí)中必須扮演的角色的總和，以提供一個(gè)真實(shí)的使命任務(wù)。在設(shè)計(jì)角色部分時(shí)，我們將編寫(xiě)所有可能發(fā)生的交互，并確保每個(gè)個(gè)體都在演習(xí)中可用。在設(shè)計(jì)這一段時(shí)，我們使用幾乎所有網(wǎng)絡(luò)演習(xí)中常見(jiàn)的紅、白、藍(lán)要素。表5中定義了角色段的要素和子要素。

表5：角色部分

要素	子要素
藍(lán)隊(duì)	團(tuán)隊(duì)：戰(zhàn)斗隊(duì)長(zhǎng)，主機(jī)，網(wǎng)絡(luò)，模擬/仿真，日志記錄，報(bào)告
藍(lán)隊(duì)	支持：計(jì)算機(jī)網(wǎng)絡(luò)防御服務(wù)提供商（CNDSP），情報(bào)，及總部
白隊(duì)	控制：注入流量，計(jì)時(shí)，主場(chǎng)景事件列表（MSEL）控制器
白隊(duì)	評(píng)估：嵌入式觀察員，評(píng)估員，檢查員
紅隊(duì)	反對(duì)力量（OPFOR）：軍事類別，罪犯類別，政治類別，平民類別
紅隊(duì)	OPFOR支持：技術(shù)，財(cái)務(wù)，后勤

II 案例研究 - Cyber Forge 11

CWD董事會(huì)自2012年起與美國(guó)陸軍網(wǎng)絡(luò)企業(yè)技術(shù)司令部的訓(xùn)練和演習(xí)部門(mén)合作，為各種網(wǎng)絡(luò)單位提供團(tuán)隊(duì)級(jí)演習(xí)。一系列演習(xí)被稱為“Cyber Forge”。Cyber Forge演習(xí)系列由未分類，虛構(gòu)的集體訓(xùn)練活動(dòng)，旨在讓網(wǎng)絡(luò)保護(hù)旅評(píng)估網(wǎng)絡(luò)保護(hù)團(tuán)隊(duì)的表現(xiàn)。這一練習(xí)由幾位作為任務(wù)所有者、計(jì)算機(jī)網(wǎng)絡(luò)防御服務(wù)提供商(CNDSP)、敵對(duì)部隊(duì)(“Red Team”)、游戲外引導(dǎo)者和其他必要角色的訓(xùn)練開(kāi)發(fā)人員推動(dòng)。這個(gè)演習(xí)是通過(guò)CERT私人網(wǎng)絡(luò)培訓(xùn)云（PCTC） - 一個(gè)模擬、培訓(xùn)和訓(xùn)練平臺(tái)（STEP）的實(shí)例遠(yuǎn)程提供的。在這個(gè)案例研究中，我們描述了一個(gè)在2016年9月設(shè)計(jì)并交付給網(wǎng)絡(luò)保護(hù)團(tuán)隊(duì)的Cyber Forge演習(xí)。在接下來(lái)的五個(gè)部分中，通過(guò)一張表格總結(jié)了Cyber Forge 11每個(gè)網(wǎng)段的設(shè)計(jì)細(xì)節(jié)。

2.1. 環(huán)境

關(guān)于環(huán)境部分的實(shí)體因素，CPT能夠在團(tuán)隊(duì)熟悉的崗位上進(jìn)行訓(xùn)練。由于CPT在熟悉的設(shè)施和正常的環(huán)境中，這大大增加了物理要素的真實(shí)性。關(guān)于環(huán)境部分的虛擬要素，Cyber Forge 11的虛擬網(wǎng)絡(luò)是一個(gè)復(fù)雜的基礎(chǔ)設(shè)施，準(zhǔn)確地將CPT部署到聯(lián)合基地 - 連接到網(wǎng)絡(luò)企業(yè)中心（NEC）和區(qū)域網(wǎng)絡(luò)中心（RCC）。向團(tuán)隊(duì)成員提供了與近期CPT操作中使用的相似的真實(shí)工具和企業(yè)系統(tǒng)。對(duì)于環(huán)境部分的心理因素，通過(guò)對(duì)模擬任務(wù)所有者的強(qiáng)制情況介紹來(lái)設(shè)計(jì)逼真的精神壓力注入，從而產(chǎn)生了預(yù)期的心理反應(yīng)。這是由于急于提供盡可能多的防御網(wǎng)絡(luò)地形方面的深入技術(shù)信息而產(chǎn)生的。表6詳細(xì)列出了Cyber Forge 11環(huán)境部分設(shè)計(jì)的最重要的子要素細(xì)節(jié)。

表6：Cyber Forge 11環(huán)境部分設(shè)計(jì)細(xì)節(jié)

要素	子要素	Cyber Forge詳情
物理	辦公空間	· 利用本地站，接入非機(jī)密互聯(lián)網(wǎng)協(xié)議路由器（NIPR）和商業(yè)互聯(lián)網(wǎng)，
		· 單獨(dú)的紅/白/藍(lán)團(tuán)隊(duì)房間
		· 團(tuán)隊(duì)筆記本電腦，打印機(jī)，白板，電話可用
		· 隨時(shí)獲得的溝通機(jī)制
	環(huán)境	· 正常餐飲選擇，統(tǒng)一的（UOD）一天需求
		· 正常運(yùn)輸，每周PT要求
虛擬	虛擬網(wǎng)絡(luò)	· 模擬互聯(lián)轉(zhuǎn)發(fā)運(yùn)營(yíng)基地（FOB），網(wǎng)絡(luò)企業(yè)中心（NEC），區(qū)域網(wǎng)絡(luò)中心（RCC）和國(guó)防信息系統(tǒng)機(jī)構(gòu)（DISA）
		· 模擬互聯(lián)網(wǎng)與多跳邊界網(wǎng)關(guān)協(xié)議（BGP）路由，互聯(lián)網(wǎng)站點(diǎn)，用于域名服務(wù)（DNS）的根服務(wù)器，
		· 實(shí)際的基于互聯(lián)網(wǎng)的HTTP和DNS網(wǎng)絡(luò)流量生成對(duì)抗保護(hù)資產(chǎn) · 定義和動(dòng)態(tài)分配的對(duì)手/紅隊(duì)IP地址和范圍
	虛擬訪問(wèn)	· 對(duì)所有服務(wù)器，設(shè)備和網(wǎng)絡(luò)設(shè)備進(jìn)行RDP或Secure Shell（SSH）訪問(wèn) · 控制臺(tái)訪問(wèn)所有最終用戶工作站，服務(wù)器，設(shè)備和網(wǎng)絡(luò)設(shè)備
	配置	· Windows Server 2008 · Windows Sever 2008 Active Directory (AD)域級(jí)別 · Active Directory中有數(shù)百個(gè)真實(shí)的用戶帳戶 · Active Directory限制性組策略 · 更新Windows工作站和服務(wù)器操作系統(tǒng)和應(yīng)用補(bǔ)丁 · Windows 7 and Ubuntu桌面用戶工作站 · Microsoft Office 2011與 Microsoft Outlook客戶端郵件 · 模擬Windows 7用戶登錄、電子郵件、MS Office活動(dòng) · Windows 2008 IIS and Apache Linux web servers · Microsoft AD and Linux BIND DNS · HBSS/McAfee ePolicy Orchestrator · 思科路由器 · Blue Coat Proxy Servers · Palo Alto防火墻以及真實(shí)的防火墻規(guī)則 · Cisco SourceFire and Security Onion · Arcsight SIEM · SiLK NetFlow網(wǎng)絡(luò)流量的收集和分析 · 取證工具: SIFT, REMnux, and ADHD · ACAS/Nessus security scanner · ELK stack · Kali Linux
心里活動(dòng)	戰(zhàn)斗節(jié)奏	· 每天STARTEX 0800, PAUSEX 1600, hotwash · 戰(zhàn)斗隊(duì)長(zhǎng)的日常操作
心里活動(dòng)	精神壓力	· 向模擬任務(wù)所有者第2天(1500)進(jìn)行調(diào)查簡(jiǎn)報(bào) · 任務(wù)負(fù)責(zé)人指導(dǎo)任務(wù)，意在引起壓力 · 戰(zhàn)斗指揮官指示并期望迅速行動(dòng) · 模擬CNDSP技術(shù)和具體的交互 · 在第4天，OPFOR快速*** ·

2.2. 對(duì)手

對(duì)于對(duì)手部分的威脅要素，我們決定在Cyber Forge 11期間向CPT引入兩個(gè)潛在的對(duì)立勢(shì)力。一個(gè)是地區(qū)犯罪家族，另一個(gè)是地區(qū)性的好戰(zhàn)民族國(guó)家。對(duì)立的勢(shì)力代表了不同類型的威脅，具有不同程度的復(fù)雜性、意圖和利益。對(duì)于對(duì)手部分的資源要素，我們考慮了OPFOR和支持角色之間的真實(shí)交互。這包括洗錢(qián)、陰謀和地緣政治姿態(tài)。CPT通過(guò)接收情報(bào)報(bào)告和與模擬的外部機(jī)構(gòu)的接口來(lái)了解各種基于場(chǎng)景的注入。表7提供了用于Cyber Forge 11的對(duì)手細(xì)分子要素設(shè)計(jì)細(xì)節(jié)。

表7：Cyber Forge 11對(duì)手細(xì)分設(shè)計(jì)細(xì)節(jié)

要素	子要素	Cyber Forge詳情
威脅	類型	· 分離主義軍隊(duì)尋求獨(dú)立，得到鄰國(guó)敵對(duì)國(guó)家的協(xié)調(diào)幫助。 · 跨國(guó)犯罪組織試圖影響地緣政治事件以取得自身的財(cái)務(wù)收益，并增加對(duì)該地區(qū)的控制。 · 兩個(gè)團(tuán)體都能夠相互協(xié)調(diào)，同時(shí)也是敵對(duì)的民族國(guó)家。
威脅	復(fù)雜性	· 敵對(duì)的民族國(guó)家中存在的分裂主義分子提高了網(wǎng)絡(luò)*能力，并以此進(jìn)行聲明其活動(dòng)。 · 犯罪家族的能力最強(qiáng)，最近還收購(gòu)了雇傭軍。 · 犯罪家庭也因綁架和勒索等額外罪行而聞名。 · 所有人都能夠同時(shí)進(jìn)行多個(gè)網(wǎng)絡(luò)。 · ?所有人都有能力收集網(wǎng)絡(luò)**的行動(dòng)情報(bào)。
資源	金融	· 跨國(guó)犯罪組織由于最近成功的針對(duì)地區(qū)銀行資產(chǎn)的網(wǎng)絡(luò)***而獲得了充足的資金。
	社群	· 培訓(xùn)：所有成員都精通技術(shù)，會(huì)講英語(yǔ)并作為第二語(yǔ)言。 · 主要人員在西方大學(xué)接受教育。 · 有幾家公司在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)活動(dòng)中有多個(gè)已建立的網(wǎng)絡(luò)呼叫標(biāo)志和眾所周知的聲譽(yù)。 · 所有人都受過(guò)高級(jí)的社會(huì)工程技術(shù)培訓(xùn)。
	技術(shù)	· 偵察：端口和服務(wù)枚舉 · 魚(yú)叉式網(wǎng)站釣魚(yú)：多種技術(shù) · 瀏覽器開(kāi)發(fā)利用* · 能夠進(jìn)行遠(yuǎn)程管理、權(quán)限升級(jí)和橫向移動(dòng)的惡意軟件注入 · 一旦獲得立足點(diǎn)即可建立隱蔽的持久性連接 · 數(shù)據(jù)過(guò)濾和信息收集 · 系統(tǒng)完整性下降 · 拒絕服務(wù)/分布式拒絕服務(wù)（DoS / DDoS）* · 高級(jí)持續(xù)威脅（APT）級(jí)別***

2.3. 通信

對(duì)于通信部分的內(nèi)部要素，我們確保CPT成員能夠利用他們所有的正常機(jī)制：電子郵件、語(yǔ)音和聊天。由于CPT是搭配在一起的，成員可以面對(duì)面交流。對(duì)于通信部分的外部因素，所有外部機(jī)構(gòu)都實(shí)際上與CPT演習(xí)系統(tǒng)相連。表8提供了用于Cyber Forge 11的通信段子要素設(shè)計(jì)細(xì)節(jié)。

表8：Cyber Forge 11通信部分設(shè)計(jì)細(xì)節(jié)

要素	子要素	Cyber Forge詳情
內(nèi)部	語(yǔ)音	· 在同一個(gè)房間內(nèi)利用直接的面對(duì)面溝通
內(nèi)部	電子	· 使用電子郵件和在線聊天與模擬網(wǎng)絡(luò)運(yùn)營(yíng)中心（NOC） · 團(tuán)隊(duì)內(nèi)使用在線聊天：都有專用頻道/聊天室（Spark Chat） · 使用Windows文件共享團(tuán)隊(duì)之間的所有文件 · 使用Redmine Web應(yīng)用程序向CNDSP提交RFI和響應(yīng)
外部	指令	· 在STARTEX和整個(gè)演習(xí)期間收到操作指令和碎片指令
外部	協(xié)作	· 使用電子郵件和模擬NOC / CNDSP /任務(wù)負(fù)責(zé)人和Cyber Fusion Center進(jìn)行在線聊天 · 利用在線聊天工具，為英特爾團(tuán)隊(duì)、版主和幫助臺(tái)的在線聊天建立專用頻道/房間，以創(chuàng)建溝通通道。

2.4. 戰(zhàn)術(shù)

對(duì)于戰(zhàn)術(shù)部分的個(gè)人要素，我們檢查了參與者的名單，并確保在設(shè)計(jì)這個(gè)演習(xí)時(shí)，每個(gè)技能都會(huì)以某種方式被利用，包括領(lǐng)導(dǎo)職位和情報(bào)分析師。對(duì)于戰(zhàn)術(shù)部分的集體要素，我們從單位的METL中選擇了具體的項(xiàng)目，這些項(xiàng)目將被運(yùn)用，并確保OPORDER采用這些集體行動(dòng)。然后，我們?cè)O(shè)計(jì)了在演習(xí)中模擬的各個(gè)組織之間會(huì)發(fā)生的互動(dòng)，以便每個(gè)集體任務(wù)都有一個(gè)特定的注入來(lái)準(zhǔn)備觸發(fā)它。表9提供了Cyber Forge 11的戰(zhàn)術(shù)部分子部件設(shè)計(jì)細(xì)節(jié)。

表9：Cyber Forge 11戰(zhàn)術(shù)部分設(shè)計(jì)細(xì)節(jié)

要素	子要素	Cyber Forge詳情
個(gè)人	專業(yè)	· 根據(jù)特定的技術(shù)技能審查配置和工具設(shè)置 · 審查惡意活動(dòng)的安全工具數(shù)據(jù) · 向團(tuán)隊(duì)報(bào)告具體的基礎(chǔ)設(shè)施發(fā)現(xiàn)
個(gè)人	領(lǐng)導(dǎo)	· ?負(fù)責(zé)編寫(xiě)情況報(bào)告的小組負(fù)責(zé)人（SITREPS） · ?班組領(lǐng)導(dǎo)班子成員優(yōu)先考慮的操作
集體	任務(wù)	· 審查所有提供的信息并確認(rèn)證書(shū)和網(wǎng)絡(luò)連接成功 · 驗(yàn)證了關(guān)鍵的地形網(wǎng)絡(luò)資產(chǎn)的防御任務(wù) · 部署團(tuán)隊(duì)定制安全工具和傳感器 · 確定網(wǎng)絡(luò)/配置基線 · 對(duì)基礎(chǔ)設(shè)施進(jìn)行當(dāng)前的安全風(fēng)險(xiǎn)評(píng)估 · 監(jiān)控、檢測(cè)、響應(yīng)對(duì)手的活動(dòng) · 向CNDSP提出了配置緩解建議 · 誘捕任何對(duì)手的活動(dòng) · 直接與積極的對(duì)手進(jìn)行威脅活動(dòng) · 每天制作網(wǎng)絡(luò)活動(dòng)報(bào)告（NAR） · 生成的每日情況報(bào)告(SITREP)
集體	流程	· 運(yùn)用內(nèi)部團(tuán)隊(duì)流程來(lái)識(shí)別威脅并將其輸送給戰(zhàn)斗長(zhǎng)官 · 運(yùn)用內(nèi)部團(tuán)隊(duì)流程進(jìn)行威脅發(fā)現(xiàn)和緩解技術(shù)執(zhí)行 · 通過(guò)內(nèi)部團(tuán)隊(duì)流程將RFIs提交給任務(wù)所有者和CNDSP · 在收到新威脅/報(bào)告/訂單時(shí)，對(duì)MDMP周圍的內(nèi)部團(tuán)隊(duì)流程進(jìn)行訓(xùn)練

2.5. 角色

對(duì)于角色部分的藍(lán)隊(duì)要素，所有團(tuán)隊(duì)成員都在其正常分配的角色和責(zé)任范圍內(nèi)工作。支援藍(lán)軍（即藍(lán)色力量。由角色演員模擬了“網(wǎng)絡(luò)融合中心”，“責(zé)任情報(bào)部門(mén)”，“本地駐軍CNDSP”和“分配任務(wù)的所有者”）。對(duì)于角色部分的紅隊(duì)要素，角色扮演者也模擬了幾種對(duì)抗性力量。對(duì)于角色部分的白隊(duì)要素，演習(xí)開(kāi)發(fā)人員將演習(xí)所有方面的控制都考慮在白隊(duì)內(nèi)。評(píng)估小組由CPT內(nèi)的培訓(xùn)軍士（NCO）負(fù)責(zé)。表10提供了Cyber Forge 11的角色段細(xì)分子要素設(shè)計(jì)細(xì)節(jié)。

表10：Cyber Forge 11角色細(xì)分設(shè)計(jì)細(xì)節(jié)

要素	子要素	Cyber Forge詳情
藍(lán)隊(duì)	團(tuán)隊(duì)	· 戰(zhàn)斗隊(duì)長(zhǎng)出席并提供團(tuán)隊(duì)領(lǐng)導(dǎo)。 · 網(wǎng)絡(luò)防護(hù)團(tuán)隊(duì)規(guī)模為21名成員。
藍(lán)隊(duì)	支持	· CNDSP / NOC角色已經(jīng)存在，可通過(guò)在線聊天和電話解答問(wèn)題并提供操作支持。 · 英特爾團(tuán)隊(duì)角色的存在是為了幫助英特爾“tippers”來(lái)幫助演習(xí)的進(jìn)行。英特爾團(tuán)隊(duì)還回答了在英特爾“tippers”提供給團(tuán)隊(duì)后現(xiàn)的英特爾相關(guān)問(wèn)題。
白隊(duì)	控制	· 識(shí)別并指派白隊(duì)小組成員擔(dān)任花名冊(cè)角色 · 對(duì)所有團(tuán)隊(duì)和組件進(jìn)行STARTEX后勤協(xié)調(diào) · 管理STARTEX / PAUSEX / ENDEX的“游戲時(shí)鐘” · 控制MSEL的流程 · 在STARTEX簡(jiǎn)要介紹 · 在ENDEX進(jìn)行hotwash · 監(jiān)測(cè)團(tuán)隊(duì)的進(jìn)度和狀態(tài)，并根據(jù)優(yōu)勢(shì)和劣勢(shì)調(diào)整MSEL · 利用屏幕“跟蹤”工具來(lái)監(jiān)控最終用戶的活動(dòng)/點(diǎn)擊 · 管理英特爾信息發(fā)布的時(shí)間 · 管理紅隊(duì)的部署時(shí)間
白隊(duì)	評(píng)估	· 嵌入式觀察員與藍(lán)隊(duì)參加者放置在同一個(gè)房間內(nèi)。 · 嵌入式觀察員提供實(shí)時(shí)反饋和總結(jié)報(bào)告。
紅隊(duì)	反對(duì)力量（OPFOR）	· 部署自定義RAT（遠(yuǎn)程管理工具）APT
	反對(duì)力量（OPFOR）	· 創(chuàng)建和使用Slowloris DDoS僵尸網(wǎng)絡(luò)*防御資產(chǎn) · 利用基于惡意軟件的信標(biāo)進(jìn)行魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，并進(jìn)行數(shù)據(jù)竊取 · 使用橫向移動(dòng)來(lái)AD域 · 使用SQL注入進(jìn)行數(shù)據(jù)和過(guò)濾 · 通過(guò)流氓CD*惡意軟件
	OPFOR支持	· 提供對(duì)區(qū)域互聯(lián)網(wǎng)服務(wù)提供商的模擬敏感信息訪問(wèn)。 · 提供關(guān)于部隊(duì)調(diào)動(dòng)的模擬泄漏信息。 · 提供了來(lái)自地區(qū)銀行資產(chǎn)的模擬泄露信息。

III 結(jié)論

在這份報(bào)告中，我們介紹了R-EACTR框架作為設(shè)計(jì)和構(gòu)建足夠現(xiàn)實(shí)主義的軍事網(wǎng)絡(luò)戰(zhàn)演習(xí)的指南。在我們的經(jīng)驗(yàn)建設(shè)和網(wǎng)絡(luò)作戰(zhàn)演習(xí)中，我們發(fā)現(xiàn)最大化價(jià)值的關(guān)鍵因素是現(xiàn)實(shí)主義。憑借創(chuàng)造出色網(wǎng)絡(luò)安全人才團(tuán)隊(duì)隊(duì)伍的堅(jiān)實(shí)框架，團(tuán)隊(duì)可以通過(guò)演習(xí)成為網(wǎng)絡(luò)安全精英。

參考：

網(wǎng)址自本文件發(fā)布之日起生效。

[BBC 2016]

英國(guó)廣播公司。北韓“抨擊南方的軍事網(wǎng)絡(luò)指揮”，BBC新聞。 2016年12月5日。http://www.bbc.com/news/world-asia-38219009

[DTIC 2017]

國(guó)防技術(shù)信息中心。聯(lián)合出版物1-02：軍事和相關(guān)術(shù)語(yǔ)詞典。 DTIC。 March 2017. http://www.dtic.mil/doctrine/new_pubs/dictionary.pdf

[Hammerstein 2010]

哈默斯坦，喬什和梅，克里斯托弗。 CERT網(wǎng)絡(luò)安全工作人員發(fā)展的方法。 CMU / SEI-2010-TR-045?？▋?nèi)基梅隆大學(xué)，賓夕法尼亞州匹茲堡。軟件工程研究所，2010年。http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=9697

[Laudicina 2016]

Laudicina，約翰。 2017年將是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的一年。福布斯雜志。 2016年12月16日。https://www.forbes.com/sites/paullaudicina/2016/12/16/2017-will-be-the-year-of-cyber- warfare /＃74c6c86a6bad

[McChrystal 2015]

麥克里斯托，斯坦利; Collins，Tantum;西爾弗曼，大衛(wèi); ＆Fussell，Chris。團(tuán)隊(duì)團(tuán)隊(duì)：一個(gè)復(fù)雜世界的新規(guī)則。企鵝，2015. https://mcchrystal-group.com/teamofteams/

網(wǎng)站名稱：R-EACTR：一個(gè)設(shè)計(jì)現(xiàn)實(shí)網(wǎng)絡(luò)戰(zhàn)演習(xí)的框架
文章來(lái)源：http://bm7419.com/article20/jcseco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、App開(kāi)發(fā)、域名注冊(cè)、網(wǎng)站設(shè)計(jì)公司、全網(wǎng)營(yíng)銷推廣、靜態(tài)網(wǎng)站

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容