在大規(guī)模、高影響數(shù)據(jù)泄露事件出現(xiàn)之后，其結(jié)果往往令受害方難以承受。企業(yè)高管傾向于將網(wǎng)絡(luò)安全工作交由IT部門負(fù)責(zé)打理。這是一種常見的錯(cuò)誤，而網(wǎng)絡(luò)事件會(huì)對整個(gè)企業(yè)造成影響。與定期進(jìn)行消防安全演習(xí)一樣，企業(yè)應(yīng)當(dāng)定期進(jìn)行網(wǎng)絡(luò)安全演習(xí)，且桌面推演（TTX）值得被廣泛關(guān)注。

桌面推演（TTX）

桌面推演（TTX），又稱桌面演習(xí)或桌上練習(xí)，是指結(jié)合假設(shè)的想定，由關(guān)鍵人員參加的非正式場合討論式的推演，可以說是屬于兵棋推演的一種衍生形式。 這種類型的推演可用于評估指導(dǎo)預(yù)防、應(yīng)對和恢復(fù)確定事件的計(jì)劃、政策、程序和培訓(xùn)，資源和關(guān)系或協(xié)議的適當(dāng)性等。

目前TTX已拓展到公共安全、商業(yè)、科技、反恐、應(yīng)急行動(dòng)等諸多領(lǐng)域，成為研究、訓(xùn)練和培訓(xùn)的重要方式。

在上個(gè)月的2017年日本東京Cyber3大會(huì)上，來自學(xué)術(shù)界、產(chǎn)業(yè)界、政府以及各民間組織的國際相關(guān)方齊聚日本慶應(yīng)大學(xué)，共同參加由其舉辦的第三屆網(wǎng)絡(luò)安全年會(huì)。這次會(huì)議組織了一場桌面推演（TTX）以模擬針對日本即將召開的2019年世界杯橄欖球賽的網(wǎng)絡(luò)攻擊狀況。這個(gè)名為“橄欖球守護(hù)（Rugby Daemon）行動(dòng)”的模擬演習(xí)由美國Sasakawa和平基金會(huì)提供贊助，旨在幫助日本各政府機(jī)構(gòu)、企業(yè)以及其它相關(guān)方理解、協(xié)調(diào)并更好地應(yīng)對信息流與關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的潛在網(wǎng)絡(luò)威脅。

此次模擬演習(xí)不僅能夠?yàn)?020年東京奧運(yùn)會(huì)與殘奧會(huì)等大型體育賽事提供指導(dǎo)，同時(shí)亦可為日本等國的國家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)帶來啟發(fā)。

“橄欖球守護(hù)行動(dòng)”演練內(nèi)容

此輪演習(xí)模擬三種網(wǎng)絡(luò)攻擊類型：

（1）通過網(wǎng)絡(luò)釣魚郵件入侵關(guān)鍵工業(yè)控制系統(tǒng);

（2）利用由上述郵件獲取的網(wǎng)絡(luò)訪問權(quán)破壞電網(wǎng)傳輸體系;

（3）發(fā)動(dòng)分布式拒絕服務(wù)（簡稱DDoS）攻擊以破壞世界杯橄欖球大賽網(wǎng)站及其它相關(guān)互聯(lián)網(wǎng)地址。

在本次TTX當(dāng)中，參與的四支隊(duì)伍皆擁有8到10名來自政府及行業(yè)的小組成員，負(fù)責(zé)扮演安全保障工作中的公共與私營部門角色。他們將在“比賽期間”獲得一系國內(nèi)外列相關(guān)線索。電網(wǎng)滲透與DDoS攻擊同時(shí)發(fā)生，從而模擬實(shí)際網(wǎng)絡(luò)攻擊當(dāng)中的“煙幕彈”手段。這些小組面臨著多項(xiàng)挑戰(zhàn)，短時(shí)間內(nèi)需要查明攻擊來源、防止其造成嚴(yán)重后果，并需要向充當(dāng)觀察員的控制小組提交一份時(shí)長在5分鐘的應(yīng)對措施總結(jié)報(bào)告。

模擬釣魚攻擊

在釣魚攻擊當(dāng)中，假想攻擊者將向某日本大型電力公司、工業(yè)集團(tuán)以及日本經(jīng)濟(jì)產(chǎn)業(yè)省（簡稱METI）的員工發(fā)送惡意郵件。這些網(wǎng)絡(luò)釣魚郵件中包含隱藏的惡意代碼，一旦公共事業(yè)工作者點(diǎn)擊附件，攻擊者即可在公共事業(yè)局域網(wǎng)（簡稱LAN）當(dāng)中獲得立足點(diǎn)。

如果各小組成員未能采取有效措施，則世界杯決賽所在地橫濱體育館將遭遇停電。而如果他們能夠采取理想的補(bǔ)救措施，則電網(wǎng)僅有小部分遭到破壞，意味著電力公司方面能夠迅速反應(yīng)并解決問題。

模擬重要網(wǎng)站遭遇DDoS攻擊

在DDoS攻擊方面，與日本首相、世界杯橄欖球賽等公共與私營實(shí)體相關(guān)的網(wǎng)站受到超過700 Gbps的高強(qiáng)度輸入流量沖擊，并因此快速崩潰。某反捕鯨團(tuán)體隨后將贖金協(xié)議交付至公共事業(yè)部門長官處。這些攻擊似乎是由國外僵尸網(wǎng)絡(luò)操作者通過海外地址所發(fā)動(dòng)。具體情況包括戰(zhàn)術(shù)信息將被發(fā)送給包括日本國家警察局處。如果采取有效措施，各小組能夠顯著降低DDoS攻擊所造成的破壞程度。

經(jīng)驗(yàn)與教訓(xùn)

演習(xí)測試了現(xiàn)實(shí)部門在危機(jī)狀況下作出反應(yīng)的能力。除了需要橫向協(xié)調(diào)之外，政府官員還必須了解自己能夠做什么、不能做什么。政府官員或因向上級遞交許可申請而浪費(fèi)寶貴的時(shí)間，包括因指揮體系的延誤而拉低響應(yīng)速度、失去最理想的處理機(jī)會(huì)。另外，這些小組中的技術(shù)人員的角色、責(zé)任與能力值得肯定，有關(guān)方面有必要為他們提供完成工作所需要的自由空間。

最高效的參與者還決定與國內(nèi)外合作伙伴迅速溝通、共享信息，從而形成有助于緩解DDoS攻擊與電網(wǎng)中斷問題的結(jié)論性意見。其它團(tuán)隊(duì)則出于對合法性的質(zhì)疑而決定不向上級提出重要建議。一部分參與者嘗試直接將信息發(fā)送至領(lǐng)導(dǎo)機(jī)構(gòu)處，而非進(jìn)行橫向分享。

教訓(xùn)

除了不同監(jiān)管轄區(qū)之間信息共享與交流的重要性之外，從TTX當(dāng)中得出的另一項(xiàng)重要教訓(xùn)，在于參與者需要在事件發(fā)生時(shí)建立態(tài)勢感知機(jī)制，了解各個(gè)具體區(qū)域如何適應(yīng)總體局勢，掌握由網(wǎng)絡(luò)釣魚攻擊過渡至電網(wǎng)中斷的時(shí)間表。這個(gè)處理思路或許對任何一個(gè)大型網(wǎng)絡(luò)安全事件來說都適用。

“橄欖球守護(hù)行動(dòng)”表明，日本需要更多地開展TTX，從而提高對即將到來的體育賽事網(wǎng)絡(luò)的安全保護(hù)意識；需要培養(yǎng)經(jīng)驗(yàn)豐富的安全工作老手，確保他們能夠立足現(xiàn)實(shí)情況提供有用的建議；需要有能力根據(jù)不完全信息作出決策的專家。

目前已經(jīng)有多家安全行業(yè)領(lǐng)先供應(yīng)商與學(xué)習(xí)機(jī)構(gòu)開始提供網(wǎng)絡(luò)范圍中心方案，通過模擬網(wǎng)絡(luò)攻擊準(zhǔn)備與響應(yīng)方式實(shí)現(xiàn)測試與培訓(xùn)。在培訓(xùn)資源方面，任何技術(shù)廠商都應(yīng)當(dāng)具備一套完善的解決方案。保持網(wǎng)絡(luò)技能的強(qiáng)大性足以在危機(jī)期間發(fā)揮重要作用與關(guān)鍵性效果，這也意味著其應(yīng)當(dāng)與人才、流程或者技術(shù)一道成為重要的投資方向。