有幸多次参与过网络攻防对抗,有国家级、省市级的演习,有客户组织的模拟攻防、也有公司内部的红蓝对抗,打过攻击也参与过防守,现在回顾一下,其实有很多经验值得好好总结,因此萌生了站在防守视角把“红蓝/演练”写成系列文章的想法,来聊聊防守方那些事。
本章为该系列的第1篇,也是事前准备阶段的第1篇,这个系列是我十一期间在云南休假的时候构思的,这个假期除了休息,还有一项任务就是做个阶段性总结,忙碌了3个季度,该停下来好好调整一下了。
先放一张抚仙湖的照片,无滤镜,真的美。
![【红蓝/演练】-事前准备(1)之演练组织]( "【红蓝/演练】-事前准备(1)之演练组织")
言归正传,让我们先从演练相关的组织工作聊起。
想要演练能井然有序地组织起来,一个合理的组织架构是必不可少的,建立指挥体系是防守单位首要做的事情。
下面介绍一下最精简的演练组织架构,至少要包含以下小组:
成员:由公司管理层组成,级别越高越好,有利于整个演练工作自上而下推动。
职责:负责对重大事项进行决策,整体统筹资源,压实演练责任。
职责:负责对安全告警进行处置,及时闭环安全事件或疑似安全事件。
职责:负责处理监控组提交的安全事件工单,对攻击事件进行深入分析,为事件做最终定性,针对成功攻击的事件制定防御方案。
成员:本着谁主管谁负责的原则,处置组成员为包括安全部门、项目组、运维等资产管理方。
职责:负责对安全风险进行收敛,包括漏洞修复、策略调优等。
组织架构可结合本单位实际情况灵活设置,可以采用上述介绍的最小配置,在人力资源充足的情况下,还可以设置联络组、后勤组、安保组、客服组等等,无论是采用哪种组织架构,坚持一个“够用”原则就好,有时候设计复杂的体系并不能体现规划者牛逼,反而会造成职责不清、联动效率低下等问题。
在设置组织架构的时候要注意一点,涉及到跨部门的协作的,一定要把相关部门纳入到组织架构中,相关方一定要明白自己在演练当中的职责,哪怕真正演练的时候并不需要他们高强度工作。
基于演练组织架构,需要编写详细的工作方案,明确各方在演练中的职责,强调演练准备工作的重要性,并对后续要开展的工作进行说明。
(2)介绍战前工作安排,介绍前期具体工作计划,并细化工作要求
关注公众号,后台回复“演练工作方案”可获取方案模板,具体内容可以根据各单位的实际情况进行编写,【红蓝/演练】系列的后续文章也会展开介绍具体的工作。
编制好工作方案后,想要各相关方重视演练工作,实际做好各类协作配合,还需要通过单位正式渠道对工作方案进行下发,并通知到全员。
为了保证方案能顺利通过发文流程,发文前首先要提前知会相关方,并线下征询意见,各方达成一致后,再提请正式流程,这样能确保流程顺利通过。
发文通过后,我们就相当于获得了上级批准的“尚方宝剑”,出师有名,后面有谁不配合,就可以拿着这个发文说事了。不过还是希望各位的安全工作都能顺利推动。
方案定好了,发文也通过了,不代表要求都传达到位了,私下沟通过一些部门和团队,好多人都不知道攻防演练、红蓝对抗是什么,更别说让人家重视了。(其实很多事情都是这样,安全圈闹翻天了,圈外人一点也不知道,也不关心)
为了更好地为演练工作造势,还需要组织启动会进行宣贯,这个会一定要正式,并且邀请领导在会上发言传达工作要求,发言的这个领导职位越高越好,所以前期安全团队一定要做好向上沟通的工作。
请领导发言,那么就要为领导准备好发言稿,建议准备两份发言稿,一份的内容站位要高,多讲宏观层面的东西,另一份的内容要贴合实际的具体工作,多讲我们如何落地的内容,包括工作方案和工作要求。这两份文件最好由两位不同的领导来讲,分别站在不同的角度进行宣贯,这样比一位领导把两部分全讲了效果要好。
依托于有大领导的讲话,可以名正言顺地要求各部门、团队负责人参会,自顶向下传递演练相关工作要求。
启动会结束后,带着会议精神再通过邮件或者其他正式渠道通知到每一位参与演练的人员,保证每个人都能真正地了解即将参与的演练活动的详情以及各自的角色。
邮件发完最好再与参与演习的关键人当面沟通一次,注意尽量不要居高临下,态度诚恳地请求对方的协助。
心细的你是不是已经发现了,上面介绍的工作实际上是环环相扣的,首先要制定好组织架构,然后基于组织架构编写演练方案,通过正式渠道面向全单位发布后,再面向全单位组织演练启动会,并邀请指挥部中的高层领导发表讲话,进一步压实责任,会后再通过邮件等渠道通知到所有演练参与人员,强调会议精神,细化工作要求,这样就可以自上而下压实责任,层层去推动演练整体工作,让各参与方将演练工作重视起来。
原文始发于微信公众号(十九线菜鸟学安全):【红蓝/演练】-事前准备(1)之演练组织
评论