• 2019年8月，烏克蘭核電站雇員為了挖幣而將部分內部網絡連到外網，導致國家機密潛在泄露
• 2019年7月，美國國土安全部官員稱，俄羅斯黑客入侵了美國電力公司的隔離網絡
• 2019年6月，阿根廷和烏拉圭因互聯電網發生“大規模故障”，導致全國性停電
• ……

關鍵基礎設施領域硝煙四起，網絡安全成關鍵屏障。此時，各國啟動練兵，演習正當其時。

談攻防演練，避不開中美。而近來美國最大規模攻防演練Cyber Storm VII落下帷幕，更讓筆者對兩國網絡攻防演練對比生出好奇，因而有了這篇文章。

初探中美攻防演練

2016年開始，我國對網絡攻防演練的重視和實戰提上章程，并且在近幾年不斷常態化，民間機構、各大企業也嘗試開展日常化的攻防演練，而網絡靶場產品的涌現和應用則進一步推動了攻擊演練的發展。

目前，我國的攻防演練的主要特點是

• 事先不通知
• 攻擊手段不明確
• 以防攻擊、防破壞、防泄密、防重大網絡安全故障為重點

在攻防設置上和國外相反，即：

• 藍軍為攻擊方：包括網警、測評中心、安全公司等。
• 紅軍為防守方：包括政府機構、國有企業、高校和醫院等。

此外，還設置了“裁判”角色對攻防雙方進行打分。每次演練時長在3周，一般會提前確定參演名單。

主要規則為：攻擊方即獲取權限、獲取數據、遠程控制等;防守方為發現攻擊、消除威脅、應急響應等。通過攻防演練及時發現安全問題，快速整改。

不過，盡管我國在攻防演練上已經積累了一定經驗，但和美國、北約等相比，起步較晚。早在2010年，北約聯盟就啟動為期5天的攻防演練，主要攻擊范圍為模擬的海軍基地、電站等關鍵信息建設設備。而美國在這一領域的經驗則更為豐富。

美國比較成熟的攻防演練類型包括Cyber Guard、Cyber Flag以及Cyber Storm。

• Cyber Guard，傳說中美國國防部警衛隊的磨練場。由美國網絡司令部、美國國土安全部和美國聯邦調查局聯合舉辦的一年一度的網絡演習。

整個演習環境在一個封閉的模擬網絡中，參與者可以真正體驗在時間緊迫的情況下，承受巨大壓力進行攻防對抗。

根據美國網絡司令部司令Michael Rogers的說法，Cyber Guard主要是在磨練網絡戰下，國防部麾下各支力量(現役、預備役與國民警衛隊)間的協作能力。因此，演習期間的訓練成果比起比賽結果贏輸更為重要。

• Cyber Flag，同樣由美國網絡司令部主導，為一年一度的聯合網絡空間訓練演習，主要參演人員是美國的網絡空間部隊。

值得注意的是，在演習中除了紅藍隊，還存在一個白隊。“白隊”主要負責演習評估，人數默認在5人及以上，其中1人派駐在控制室中控制演習進程，1人跟隨“紅隊”，3人或3人以上跟隨“藍隊”，觀察其行動并將結果錄入數據庫。

而在Cyber Flag 2019中，就有來自國防部，其他聯邦機構和合作伙伴國家的650多名網絡專業人員參與演練，圍繞針對工業控制系統和數據采集網絡進行攻防。同時，為了確保演習更具備現實意義和針對性，攻擊方使用的戰術、技術還會模仿特定民族國家和黑客組織。

• 最后是Cyber Storm——網絡風暴，相對來說似乎名氣更為大一些。

該演練由美國國土安全部主導的，約兩年舉辦一次，每次演習5天，迄今已舉行過7次。

透視Cyber Storm VII

每屆“網絡風暴”演習都會以先前發生的真實事件為基礎，通過演練最新的應急響應政策、流程和程序，加強美國在應對影響范圍波及多個行業的網絡攻擊的網絡安全戰備和應急處置能力。至于具體的演習內容和演習方式則會不斷完善。

此前，我們分享過歷屆Cyber Storm的特點：

以剛結束的Cyber Storm VII(此前默認2019年11月，美國首次與臺灣省共同舉行的演練為Cyber Storm VII，但“官方”并沒有承認)為例，今年的規模再次擴大，人數達到2000+，針對行業覆蓋醫療保健、制造業和其他關鍵領域。

盡管此次演練并沒有攻擊特定的系統，但互聯網的一些關鍵流程和基礎設施依舊是主角，尤其是DNS(域名系統)證書頒發機構、BGP(邊界網關協議)等。

此外，值得注意的是，Cyber Storm VII的幾個要點：

• 建立在以往演習成果和網絡安全格局變化的基礎上;
• 評估和提高網絡響應機構的能力;
• 促進公私伙伴關系并加強聯系;
• 整合新的關鍵基礎設施合作伙伴，同時為退伍軍人提供回來的機會。

基于美國Cyber Storm的發展，可以發現，從參演方來看，Cyber Storm的參與人數不斷增加，且由最開始的聯邦政府發展到全球多國參與其中，從攻擊側重點來看，越來越多的行業參與演習(醫療、制造、運輸等)，但核心依然是關鍵基礎設施。

此外，在網絡安全體系建設中就奉行軍民融合的美國，將這一理念同樣貫徹到了攻防演練之中，美國充分借助民間優勢，強化軍政民多向合作，持續增強網絡攻防和支援能力。

而在Cyber Storm的成功背后，政府的2個作為同樣不能忽視：

• 協調多方參演：美國一向試圖掌握全球網絡空間話語權，這一點從美國的安全體系建設、分層網絡威脅戰略、頻繁的APT歸因等操作中可見，事實證明也有所成效。在多次Cyber Storm中，美國能夠協調多方參演，包括五眼聯盟和其他國家，一定程度上提升了攻防演練的有效性(得以發現更多安全問題)。
• 前期立法鋪墊：美國先后頒布了大量保障關鍵基礎設施的法律文件，如《國家基礎設施保護計劃》、《提高關鍵基礎設施的網絡安全》、《提高關鍵基礎設施的安全性和恢復力》等，此外還推出了網絡威脅情報共享協議(STIX、Cybox、TAXII)，成立網絡威脅情報共享國際標準化組織OASIS……為攻防演練的開展提供了支撐。

攻防演練發展趨勢

如今，美國已然把網絡空間納入其國防體系中，進行統一規劃，而在網絡空間并不平靜的當下乃至未來，各國都在為提升國家網絡安全做準備，我國也在重新審視網絡安全問題，將視角轉移到更高級別的“攻防對抗”上，攻防演練的重要性不言而喻。

可以預見的是：

• 關鍵信息基礎設施至少會在很長一段時間是攻防演練重頭戲
• 攻防演練對企業/機構的安全能力提出更高的要求，即從被動防御和基本合規走向主動防御、實戰驅動
• 政府牽頭，多方協作是攻防演練規模體系化成長的必要因素
• 關鍵機構和重要企事業單位之間的協同、信息共享是攻防演練效益提升的重要推動

此外，構建第三方專業攻擊隊伍/平臺，設定更具針對性和全面性的攻擊場景是檢驗安全能力的重要工作，目前仍需不斷提升。

最后，建議強化、深化關鍵信息基礎設施保護領域的網絡安全信息共享標準，為攻防演練提供法律法規的指導，也要重視演練實戰中人員的表現，開展考核獎勵機制，并將網絡攻防演練作為各企事業單位，乃至國家層面培養網絡安全人才的創新型培養模式。