本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
模拟的类型
模拟主要分为三种类型:
-
桌面练习 — 桌面模拟方法严格来说是一个基于讨论的会议,让不同的事件响应利益相关者练习角色和职责,并使用既定的沟通工具和剧本。在虚拟场地、实体场地或两者兼而有之,通常可以在一整天的时间内完成锻炼。由于其基于讨论的性质,桌面练习侧重于流程、人员和协作。技术是讨论中不可或缺的一部分;但是,事件响应工具或脚本的实际使用通常不是桌面练习的一部分。
-
紫队演习 — 紫队演习提高了事件响应者(蓝队)和模拟威胁行为者(红队)之间的协作水平。蓝队通常由安全运营中心 (SOC) 的成员组成,但也可以包括在实际网络事件中参与的其他利益相关者。红队通常由接受过进攻安全培训的渗透测试小组或主要利益相关者组成。在设计场景时,红队与演习主持人合作,使场景准确可行。在 Purple Team 演习中,主要重点是支持事件响应工作的检测机制、工具和标准操作程序 (SOPs)。
-
红队练习 — 在红队演习中,进攻(红队)进行模拟,以实现预先确定的范围内的特定目标或一组目标。防守者(蓝队)不一定知道演习的范围和持续时间,这可以更现实地评估他们将如何应对实际事件。由于红队演习可能是侵入性测试,因此您应该谨慎行事,并实施控制措施,以验证该练习不会对您的环境造成实际损害。
注意
AWS 要求客户在进行 Purple Team 或 Red Team 演习之前,先查看渗透测试网站上
表 1 总结了这些类型的仿真的一些主要区别。值得注意的是,这些定义通常被视为宽松的定义,可以根据组织的需求进行自定义。
表 1 — 模拟类型
| 桌上练习 | 紫队练习 | 红队练习 | |
|---|---|---|---|
| 摘要 | 以纸张为导向的练习,侧重于一种特定的安全事件场景。它们可以是高级的,也可以是技术性的,由一系列 paper 注入驱动。 | 与桌面练习相比,这是一种更逼真的产品。在 Purple Team 练习中,主持人与参与者合作,提高锻炼参与度,并在必要时提供培训。 | 通常是更高级的仿真产品。通常存在高度的隐蔽性,参与者可能不知道练习的所有细节。 |
| 所需资源 | 所需的技术资源有限 | 需要各种利益相关者,需要高水平的技术资源 | 需要各种利益相关者,需要高水平的技术资源 |
| 复杂性 | 低 | 中 | 高 |
请考虑定期协调开展网络模拟。每种练习类型都可以为参与者和整个组织带来独特的好处,因此您可以选择从不太复杂的模拟类型(例如桌面练习)开始,然后选择更复杂的模拟类型(红队练习)。您应根据自身的安全成熟度、资源和期望结果选择模拟类型。由于复杂性和成本,一些客户可能不选择进行红队练习。
