他山之石|“网络欧洲”演习给我们的启示 – 作者:Petalab

近年来,世界上主要国家和地区陆续开展了各类网络安全演习来加强关键信息基础设施应对网络威胁的能力。此前中测安华必达实验室对美国的“网络风暴”演习进行了调研分析,为进一步了解国外网络安全事件应急响应的发展情况,中测安华必达实验室对“网络欧洲”演习的情况进行调研,分析总结了历次演习活动成果和问题。希望我们的分析对国内的网络安全演练、网络安全应急响应等领域提供借鉴和帮助。

欧盟重视关基保护的背景下“网络欧洲”演习应用而生

近几年,世界上针对卫生、能源、金融和运输等关键部门领域的信息基础设施的网络攻击事件频繁发生,且有愈演愈烈的趋势。此类攻击事件将严重威胁国家安全和社会经济的稳定运行。对于欧盟来说,其对关键信息基础设施的依赖程度很高。与此同时,欧盟内各国人文、经济、科技等存在差异,其在应对大规模的针对关键信息基础设施的网络攻击时存在先天劣势。
在这样的大背景下,欧盟于2004年成立了网络安全职能部门——欧盟网络与信息安全局(European Union Agency for Network and Information Security,简称ENISA)。该机构除了为欧盟及其从成员国提供信息与网络安全相关的策略及建议外,还负责保护能源、交通、金融、银行、医疗及数字资产等欧洲大陆关键信息基础设施的安全。此外,ENISA还有评估和沟通漏洞及网络威胁信息、推行欧盟《GDPR》等重要任务。
此后的2009年,欧盟委员会发布了关键信息基础设施保护(CIIP)的相关声明,在声明中描述了应对关键信息基础设施保护所面临的挑战,并初步给出了未来应对挑战的路线图。为了落实声明中的相关内容,ENISA于2010年组织举办了首届“网络欧洲”演习,此后每两年举办一次。迄今为止,“网络欧洲”演习是ENISA主办的最大规模活动,同时也是欧盟范围内网络安全演习最权威、影响范围最大的活动,欧盟成员国的政府机构和企业、非政府组织、以及来自欧洲自有贸易联盟的成员国参与其中。

常态化的演习有效塑造了欧盟网络安全应急响应能力

“网络欧洲”演习自2010年首次举办以来,至今已成功举办了5次,平均每两年举办一次。其中,第6次演习原定于2020年秋冬举办,但由于新冠疫情的影响,暂推迟到2021年初进行。
“网络欧洲”演习通过模拟大规模的针对关键信息基础设施的网络安全事件,为参与方营造一个虚拟的演习环境,参与方在其中需要应对复杂的业务可持续性挑战和风险管理方面的挑战,以多种协同的方式对具体的高级的网络安全事件进行分析和响应。系列演习活动会选取不同的场景,来验证评估各个行业、国家以及整个欧洲的网络安全应急响应能力。演习活动场地分布在欧洲的几个核心区域,并统一由ENISA的控制中心来协调。
通过多次演练,欧盟得以不断磨合应急流程和协作效率,并推动了欧盟标准操作流程(EU-SOPs)、欧盟计算机安全事件响应团队网络(CSIRTs Network)等的建立和完善。总体来说,常态化的系列演习活动对于欧盟提升其应急响应能力起到了举足轻重的作用。

系列演习活动之我见

鉴于“网络欧洲”演习活动的影响力以及对欧盟网络应急能力的提升效果,中测安华必达实验室查阅了大量关于系列演习相关的官方文档、新闻报道、网络素材等并进行综合分析后,从演习目的、演习规模、演习场景、演习结果四个方面对系列演习活动进行阐述。
从演习目的来看,“网络欧洲”演习的目标是评估改进欧洲范围内网络安全应急响应能力,包括:评估负责应对网络事件的国家机关之间在欧洲范围内相互预警,合作和信息共享的流程;增强成员国之间的信任关系等。演习重点都围绕着协调合作来开展,从多个方面评估并提高成员国之间协同合作应对网络安全威胁的能力。为了进行有效的合作沟通,成员国之间还建立了CSIRTs(Computer Security Incident Response Team)联络网络,该网络包括各成员国所成立的CSIRTs和CERT-EU,为成员国提供一个合作交流、增进信任的平台。各成员国通过该网络在技术层面进行合作,交换技术细节及对事件分析结果,来共同应对网络威胁。
从演习规模来看,“网络欧洲”演习的参与方数量和参与人员数量都在不断增加。2010年的演习活动只有来自公共机构的100人左右参与,到2018年有来自公共机构和私营企业的900人左右参与其中。尤其在2018年,演习参与人员来自欧盟成员国的700个政府机构和企业、300个非政府组织,以及来自欧洲自由贸易联盟(European Free Trade Association,EFTA)的成员国。
从演习场景来看,网络威胁攻击场景不断丰富,2010年的首次演习中主要在拒绝服务攻击场景下开展,后续网络威胁攻击场景主要在APT攻击场景下开展,包括:零日漏洞攻击场景、鱼叉式网络钓鱼攻击场景、数据泄露场景等多种复杂场景。从行业领域来看,历次演习的侧重点又有所不同,如14年侧重能源行业,16年主要侧重为IT、通信和网络安全行业,18年侧重航空业,由于疫情被迫延期的2020年演习则计划侧重医疗行业。
从演习结果来看,历次演习加强了各参与方之间的信任关系,有效地评估了国家应急措施和应急准备的情况,从技术和计划流程层面加强了各参与方的专业知识储备和应急响应能力,整体上提高了欧洲整体的网络安全防御能力。不过,诸如合作机制、共享规范等协调沟通问题都在不断暴露和不断修复。

系列演习活动都暴露出协同和共享方面的问题

在历次“网络欧洲”演习中,相关参与方数量众多且职能角色不同,演习重点紧密围绕合作协同而展开。从历次演习的目标、过程和复盘建议来看,“网络欧洲”演习的核心内容均是建立并完善各成员国、内部机构、私营组织之间应对严重网络安全威胁的协同能力。协同能力的增强会提升各方应急响应的协作效率。当遭遇重大网络威胁时,只有通过协同,才能整合各组织机构的相关资源和信息,实现人员、信息、系统的有效合作,最终更好地应对网络安全威胁。
尽管历次演习重点都在磨合参与方之间的协同效率,也已形成了日趋成熟的标准流程,但历次演习中所暴露的问题也恰恰发生在多方协同的过程中,这些问题集中暴露在合作流程和信息共享两个方面。在合作流程方面,政府职能部门主导的公共机构和私营企业之间的合作机制流程并不十分成熟,缺少更大范围、更高层级的合作框架的支撑。在信息共享方面,信息的交换流转方面还存在欠缺,攻击事件相关的信息通报效率受到影响,进而影响到协同的进行。

我们的应对之策

综上,面对国家级、体系化、多维度、深层次的网络威胁,“网络欧洲”演习给出了一定的破解之法,那就是通过协同、共享的机制来解决网络威胁。那么针对国内政企等单位的网络安全需求,建立分布式、网络化,强调协同机制的网络安全运营体系势在必行。中测安华作为持续风险监测的开拓者,正是凭借持续风险监测体系来为客户构建并交付基于分布式协同的网络安全运营能力。

来源:freebuf.com 2021-01-13 17:24:56 by: Petalab

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论