本材料來源于國防部資助并由卡內(nèi)基梅隆大學(xué)軟件工程研究所的運營的項目，合同編號為FA8721-05-C-0003，該項目是一家聯(lián)邦資助的研究與開發(fā)中心。

創(chuàng)新互聯(lián)建站10多年企業(yè)網(wǎng)站設(shè)計服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計及高端網(wǎng)站定制服務(wù),企業(yè)網(wǎng)站設(shè)計及推廣,對茶藝設(shè)計等多個方面擁有多年的網(wǎng)站設(shè)計經(jīng)驗的網(wǎng)站建設(shè)公司。

本材料中所表達的任何意見、調(diào)查結(jié)果和結(jié)論或建議均為委托人的意見，調(diào)查結(jié)果和結(jié)論或建議，并不一定反映美國國防部的觀點。

無擔(dān)保?？▋?nèi)基梅隆大學(xué)和軟件工程學(xué)院的材料是“按原樣”提供的?？▋?nèi)基梅隆大學(xué)不作任何明示或暗示的保證，包括但不限于對適用性或適銷性、專有性或使用本材料所產(chǎn)生的結(jié)果的擔(dān)保?？▋?nèi)基梅隆大學(xué)也不會對任何由此所產(chǎn)生的關(guān)于專利、商標或版侵犯的自由作出任何保證。

[發(fā)行聲明]

本材料已經(jīng)核準公開發(fā)布和無限制發(fā)行。請參閱非美國政府使用和分發(fā)版權(quán)聲明。

內(nèi)部使用：*允許復(fù)制本材料，并準備從本材料制作衍生作品，以便在內(nèi)部使用，只要所有復(fù)制品和衍生作品包含版權(quán)和“無擔(dān)保”聲明即可。

外部使用：*本材料可在不經(jīng)修改的情況下完整復(fù)制，并無需正式許可，以書面或電子形式免費分發(fā)。任何其他外部/或商業(yè)用途都需要正式許可。申請許可應(yīng)通過permission@sei.cmu.edu聯(lián)系軟件工程學(xué)院。

*這些限制不適用于美國政府實體。

目錄

I       執(zhí)行概要... 2

II     摘要... 2

III        現(xiàn)實主義是網(wǎng)絡(luò)戰(zhàn)爭演習(xí)的關(guān)鍵... 3

IV        R-EACTR框架... 4

4.1.       環(huán)境... 5

4.2.       對手... 5

4.3.       通信... 6

4.4.       戰(zhàn)術(shù)... 6

4.5.       角色... 7

V     案例研究 - Cyber Forge 11. 7

5.1.       環(huán)境... 7

5.2.       對手... 9

5.3.       通信... 11

5.4.       戰(zhàn)術(shù)... 11

5.5.       角色... 12

VI        結(jié)論... 13

                                              I       執(zhí)行概要

要使一個網(wǎng)絡(luò)安全團隊能夠保持對網(wǎng)絡(luò)***和網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)能力，就必須通過實踐來進行鍛煉。在一個考慮參加網(wǎng)絡(luò)安全比賽的團隊來說，團隊的預(yù)備參賽隊員都有獨特的個人技能，每個人都通過重復(fù)的練習(xí)來精煉和完善個人的技能。在這種過程中，實踐的頂峰是“混戰(zhàn)”——團隊的所有成員共同努力實現(xiàn)一個單一的目標：比另一個團隊獲得更多的分數(shù)。在網(wǎng)絡(luò)安全比賽領(lǐng)域，比賽的組織方會竭盡全力使比賽的體驗盡可能的真實。其設(shè)計和組織方式，和真正的游戲領(lǐng)域是完全一樣的，并且比賽所使用的設(shè)備與真正的游戲設(shè)備幾乎相同，游戲規(guī)則也是等價的。為了確保每個人都遵守規(guī)則，還需要增加裁判員以加強監(jiān)督。在真正的比賽前，最重要的彩排就是混戰(zhàn)。沒有一個混戰(zhàn)比拼，教練很難評估網(wǎng)絡(luò)安全隊伍的優(yōu)勢和劣勢。同樣的，如果沒有團隊成員的混戰(zhàn)，就很難理解他們的角色是如何融入整體的以及相互之間的優(yōu)勢和配合。

這正是軍事策劃人員在為美國軍事網(wǎng)絡(luò)團隊策劃網(wǎng)絡(luò)演習(xí)時必須采取的思維模式。軍事演習(xí)有很多目的。比如安全***團隊的戰(zhàn)術(shù)、技巧和程序演習(xí)和評估。更重要的是，團隊成員構(gòu)建并完善信任關(guān)系。為了從這些參與中獲得大的收益，演習(xí)必須以現(xiàn)實主義為主要關(guān)注點。

在這份報告中，我們介紹了一個名為現(xiàn)實--環(huán)境，對手，通信，戰(zhàn)術(shù)和角色（R-EACTR）的網(wǎng)絡(luò)戰(zhàn)演習(xí)的設(shè)計框架。這個框架確保在設(shè)計基于團隊的演習(xí)時，將現(xiàn)實因素考慮到參與者體驗的各個方面。作者在大約30場實彈的網(wǎng)絡(luò)戰(zhàn)演習(xí)中使用了這個框架——反復(fù)改進并記錄展現(xiàn)最佳現(xiàn)實主義的細節(jié)。該框架在演習(xí)構(gòu)建過程的規(guī)劃和設(shè)計階段非常有用。它迫使規(guī)劃者、工程師、培訓(xùn)主管和參與者之間進行對話。并鼓勵充分理解演習(xí)要完成的內(nèi)容以及將如何進行的具體細節(jié)。這些對話收集了即將到來的比賽參與的詳細信息，這對于為鍛煉參與者創(chuàng)造有益的體驗至關(guān)重要。

                                                    I       摘要

隨著網(wǎng)絡(luò)空間領(lǐng)域擴展到軍事行動的各個方面，軍事領(lǐng)導(dǎo)人都面臨著向越來越多的網(wǎng)絡(luò)單位提供寶貴的培訓(xùn)和演習(xí)的挑戰(zhàn)。為了使得訓(xùn)練有價值，訓(xùn)練的經(jīng)驗必須是真實的。本報告介紹了一個名為現(xiàn)實--環(huán)境，對手，通信，戰(zhàn)術(shù)和角色（R-EACTR）的網(wǎng)絡(luò)戰(zhàn)演習(xí)的設(shè)計框架。 R-EACTR框架將現(xiàn)實主義置于每個網(wǎng)戰(zhàn)作戰(zhàn)設(shè)計決策的最前沿。本報告還介紹了創(chuàng)建軍事網(wǎng)絡(luò)演習(xí)所涉及的挑戰(zhàn)，為演習(xí)的各個方面構(gòu)建了現(xiàn)實主義的框架，以及框架成功運用的一項演習(xí)的案例研究。

                      II       現(xiàn)實主義是網(wǎng)絡(luò)戰(zhàn)爭演習(xí)的關(guān)鍵

“福布斯”雜志撰稿人約翰·勞迪西娜（John Laudicina）預(yù)測，2017年將是“網(wǎng)絡(luò)戰(zhàn)之年”——原因是物聯(lián)網(wǎng)的脆弱性增加，基礎(chǔ)設(shè)施的***預(yù)演以及全球強權(quán)政治的不斷變化[Laudicina，2016]。民族國家已經(jīng)做好了網(wǎng)絡(luò)戰(zhàn)的準備。2016年12月，針對韓國網(wǎng)絡(luò)司令部的襲擊事件被歸咎于朝鮮[BBC 2016]。這些事件也證實了那些認為網(wǎng)絡(luò)***會停止的人想法是天真的。事實上，許多專家認為，全面的網(wǎng)絡(luò)戰(zhàn)幾乎是不可避免的。為了應(yīng)對這一現(xiàn)實，軍方領(lǐng)導(dǎo)人正在積極為網(wǎng)絡(luò)戰(zhàn)準備網(wǎng)絡(luò)戰(zhàn)部隊。

我們的軍隊應(yīng)該如何準備？軟件工程研究所（SEI）的CERT網(wǎng)絡(luò)安全人才培養(yǎng)（CWD）董事會已經(jīng)培訓(xùn)了大量的美國政府網(wǎng)絡(luò)專業(yè)人員。2010年，CWD研究人員發(fā)表了一份SEI技術(shù)報告，詳細介紹了我們的網(wǎng)絡(luò)安全人才培養(yǎng)方法[Hammerstein 2010]。報告描述了三個主要的發(fā)展階段：知識建設(shè)、技能建設(shè)和經(jīng)驗建設(shè)。最初，CWD花費了大部分時間來改進前兩個階段：知識建設(shè)和技能建設(shè)。這兩個階段主要是通過一個虛擬的培訓(xùn)環(huán)境來實現(xiàn)的——提供個人定制的網(wǎng)絡(luò)安全課程材料和動手實操的實驗室。自從2010年的技術(shù)報告發(fā)布以來，CERT的研究人員已經(jīng)越來越多地參與到這一教學(xué)法的“經(jīng)驗建設(shè)”階段。經(jīng)驗建設(shè)是通過基于團隊的網(wǎng)絡(luò)演習(xí)來實現(xiàn)的。自2011年以來，CERT的研究人員已經(jīng)向8000多個國防部(DoD)參與者交付了超過125個網(wǎng)絡(luò)演習(xí)，代表著包括預(yù)備役和警衛(wèi)隊在內(nèi)的所有軍事部門。

根據(jù)聯(lián)合出版物1-02，演習(xí)的定義是“軍事演習(xí)是模擬戰(zhàn)時行動的，涉及計劃、準備和執(zhí)行的軍事行為，主要目的是為了培訓(xùn)和評估網(wǎng)絡(luò)戰(zhàn)的能力”[DTIC 2017]。幾乎所有的軍事單位每年都至少參加一次以團隊為基礎(chǔ)的演習(xí)，以確保成員能夠執(zhí)行他們所指定的任務(wù)清單（METL）。我們支持的網(wǎng)絡(luò)部門正在進行各種各樣的網(wǎng)絡(luò)演習(xí)，從大規(guī)模的演習(xí)（例如Cyber Flag，Cyber Guard和Cyber Knight）需要跨越數(shù)個星期的時間，到小規(guī)模的演習(xí)（例如，Cyber Forge和Mercury Challenge）需要跨越幾個小時的時間。在所有這些演習(xí)中，我們要么領(lǐng)導(dǎo)要么直接協(xié)助軍方進行規(guī)劃、建設(shè)、交付和報告工作。

在過去的五年中，我們密切關(guān)注從演習(xí)中產(chǎn)生的反饋。最頻繁的反饋是對“現(xiàn)實主義”的渴望?！皥F隊希望在所有可以想象到的方面大化現(xiàn)實主義?！痹谶M行了一項大規(guī)模的演習(xí)后，《行動報告》指出，在演習(xí)環(huán)境中可用的一些工具與實際操作中使用的工具不一樣。在一個小規(guī)模的演習(xí)中，一個網(wǎng)絡(luò)保護小組（CPT）的成員告訴我們，團隊和外部組織之間的交互并沒有被真實地模擬。在2016年，我們的網(wǎng)絡(luò)演習(xí)設(shè)計團隊被分配到美國陸軍網(wǎng)絡(luò)企業(yè)技術(shù)司令部（NETCOM）培訓(xùn)和演習(xí)部門，以便進行每次演習(xí)后收集調(diào)查數(shù)據(jù)。在每一項調(diào)查的回應(yīng)中，我們學(xué)到了可以在演習(xí)中設(shè)計的更具體的現(xiàn)實主義細節(jié)。當(dāng)我們對每一課的學(xué)習(xí)和提高演習(xí)中的真實水平做出反應(yīng)時，出現(xiàn)了很多好處。團隊的領(lǐng)導(dǎo)報告說，這樣的演習(xí)的價值增加了，并且參與者變得更加投入。

當(dāng)我們將現(xiàn)實主義設(shè)計到演習(xí)中時，必須考慮到一個簡單的事實：隨著現(xiàn)實主義的增加，演習(xí)的成本也會增加。因此，我們對各種現(xiàn)實細節(jié)進行成本/效益分析，以確定投資應(yīng)該大化還是最小化。關(guān)鍵是要找到我們做出讓步以保持最低成本的那一點，但要使這個演習(xí)足夠真實，以達到預(yù)期的訓(xùn)練效果。

斯坦利·麥克里斯特爾(Stanley McChrystal)將軍在他的著作《團隊團隊》(Team of Teams)中，談到了×××（SEAL）的訓(xùn)練：“...一個信任和目標相融合的團隊將變得更加強大。這樣的團隊可以即興發(fā)揮對動態(tài)、實時發(fā)展的作戰(zhàn)反應(yīng)“（McChrystal，2015）?，F(xiàn)實主義的增加也會導(dǎo)致更加復(fù)雜和動態(tài)的環(huán)境。我們觀察到，為了在這個日益增長的現(xiàn)實網(wǎng)絡(luò)戰(zhàn)演習(xí)環(huán)境中占上風(fēng)，團隊學(xué)會了作為一個整體來運作，并在彼此之間建立信任——而不是依賴于個人的技能集合。我們將我們的觀察和筆記編纂成一個名為現(xiàn)實--環(huán)境，對手，通信，戰(zhàn)術(shù)和角色（R-EACTR）的設(shè)計框架。我們現(xiàn)在將R-EACTR應(yīng)用于我們設(shè)計、開發(fā)和交付的每個網(wǎng)絡(luò)戰(zhàn)爭演習(xí)中。

                                                                 III       R-EACTR框架

在我們的經(jīng)驗中，所有的設(shè)計決策都符合以下五個方面的訓(xùn)練經(jīng)驗：環(huán)境、對手、通信、戰(zhàn)術(shù)和角色。從參與者的角度來看，每個方面都必須足夠真實，以提供令人滿意的(和有價值的)訓(xùn)練經(jīng)驗。遺漏任何一個方面都可能破壞整個演習(xí)的真實性。例如，可能會有一個真實的對手。但是，如果沒有真實的戰(zhàn)術(shù)，在對抗真實對手的行動時，價值也是有限的。在另一個例子中，環(huán)境可能是真實的，但是如果沒有一個實際的通信機制，現(xiàn)實主義的感覺就會在報告威脅減輕建議的時候失去意義。我們認為，一個不包括上述五個方面的內(nèi)容都會使練習(xí)變得不切實際。接下來的五個部分定義了上述每個部分的詳情，并確定了整體覆蓋特定部分的要素和子要素。

圖1：R-EACTR框架

1.1.     環(huán)境

“環(huán)境”部分指的是參與者經(jīng)歷的條件、觀察和獲取信息的總和。第一個要素是團隊將要進行訓(xùn)練的物理空間，其中包括環(huán)境和辦公室空間方面的問題。第二個要素是虛擬空間，它由網(wǎng)絡(luò)、訪問和系統(tǒng)的配置組成，團隊將與之交互。最后一點是心理上的。這通常是最難模擬的，但是應(yīng)該嘗試。我們通過將團隊放入熟悉的時間表、報告協(xié)議和精神壓力之下來模擬真實的心理反應(yīng)。表1中定義了環(huán)境段的要素和子要素。

表1：環(huán)境部分

要素	子要素
物理空間	辦公空間：桌椅擺放，白板，打印機，電話等
	環(huán)境：靠近熟悉的設(shè)施，制服，就餐點等
虛擬空間	網(wǎng)絡(luò)：體系結(jié)構(gòu)，基礎(chǔ)設(shè)施設(shè)備，安全應(yīng)用
	訪問：控制臺，遠程桌面協(xié)議（RDP），登錄
	配置：版本控制，補丁，安全技術(shù)實施指南(STIG)級別
心里活動	戰(zhàn)斗節(jié)奏：排程表，戰(zhàn)斗高峰值，換班周期，結(jié)束日報
	精神壓力：訓(xùn)練的速度，復(fù)雜性，評估，來自領(lǐng)導(dǎo)反饋等

1.2.     對手

“對手”部分是指在整個演習(xí)中模擬的敵對力量的總和。第一個要素是威脅，我們通過對已知對手的特定類型的***進行建模，從而對其進行真實的模擬。威脅必須具有復(fù)雜性，當(dāng)加上威脅類型時，它是真實的。對手部分的第二個要素是資源。如果把金融、人力和技術(shù)的子要素設(shè)計成總體的情景敘述，那么對手就是真實的。表2中定義了對手段的要素和子要素。

表2：對手部分

要素	子要素
威脅	類型：民族國家，***主義，犯罪家庭，未知，混合
	復(fù)雜度：***的難度等級，干擾，欺騙
資源	金融：購買力，賄賂，雇傭雇傭兵
	社群：內(nèi)部威脅，情報來源，社會工程
	技術(shù)：工具，系統(tǒng)，技能

1.3.     通信

“通信”部分是指團隊在整個演習(xí)過程中將用來溝通的機制和方法的總和。我們通常把這個部分分成兩個部分：內(nèi)部的和外部的。在設(shè)計通信段時，我們關(guān)心的是復(fù)制團隊在實際操作中盡可能緊密地使用的通信。這部分還包括建模任何將在團隊邊界之外移動到外部組織的通信。我們已經(jīng)發(fā)現(xiàn)，應(yīng)該對團隊在外部進行溝通的方式給予足夠的關(guān)注，因為這將使訓(xùn)練人員能夠?qū)嶋H地注入信息(訂單、報告、任務(wù)等)，從而驅(qū)動團隊的行為。通信部分的要素和子要素見表3。

表3：通信部分

要素	子要素
內(nèi)部	語音：互聯(lián)網(wǎng)協(xié)議語音（VoIP），電話會議，手機，面對面。
	電子：電子郵件，即時消息，文件共享
外部	指令：操作命令，臨時命令，指揮官關(guān)鍵信息要求（CCIRs）
	協(xié)作：事件，威脅，授權(quán)，信息請求（RFIs）

1.4.     戰(zhàn)術(shù)

“戰(zhàn)術(shù)”部分是指團隊內(nèi)部戰(zhàn)術(shù)，技術(shù)和程序的總和。在設(shè)計戰(zhàn)術(shù)部分時，網(wǎng)絡(luò)作戰(zhàn)團隊和演習(xí)開發(fā)者在設(shè)計階段將進行大量的對話。盡管所有團隊都使用相同的METL操作，但他們執(zhí)行任務(wù)的方式各不相同。這一事實使得這段代碼很難正確建模。戰(zhàn)術(shù)部分的第一個要素是個人，在其中我們考慮特定的技能、工具和責(zé)任。 戰(zhàn)術(shù)部分的第二個要素是集體，我們將更多的注意力集中在能夠成功完成任務(wù)目標的過程。表4中定義了戰(zhàn)術(shù)部分的要素和子要素。

表4：戰(zhàn)術(shù)部分

要素	子要素
個人	專業(yè)：軍事職業(yè)特長（MOS），認證，經(jīng)驗
	領(lǐng)導(dǎo)：資源分配，簡報，優(yōu)先排序
集體	任務(wù)：METL，目標，報告
	流程：團隊特定程序，軍事指令，法規(guī)、軍事決策過程(MDMP)

1.5.     角色

“角色”部分指的是演習(xí)中必須扮演的角色的總和，以提供一個真實的使命任務(wù)。在設(shè)計角色部分時，我們將編寫所有可能發(fā)生的交互，并確保每個個體都在演習(xí)中可用。在設(shè)計這一段時，我們使用幾乎所有網(wǎng)絡(luò)演習(xí)中常見的紅、白、藍要素。表5中定義了角色段的要素和子要素。

表5：角色部分

要素	子要素
藍隊	團隊：戰(zhàn)斗隊長，主機，網(wǎng)絡(luò)，模擬/仿真，日志記錄，報告
	支持：計算機網(wǎng)絡(luò)防御服務(wù)提供商（CNDSP），情報，及總部
白隊	控制：注入流量，計時，主場景事件列表（MSEL）控制器
	評估：嵌入式觀察員，評估員，檢查員
紅隊	反對力量（OPFOR）：軍事類別，罪犯類別，政治類別，平民類別
	OPFOR支持：技術(shù)，財務(wù)，后勤

                                 II       案例研究 - Cyber Forge 11

CWD董事會自2012年起與美國陸軍網(wǎng)絡(luò)企業(yè)技術(shù)司令部的訓(xùn)練和演習(xí)部門合作，為各種網(wǎng)絡(luò)單位提供團隊級演習(xí)。一系列演習(xí)被稱為“Cyber Forge”。Cyber Forge演習(xí)系列由未分類，虛構(gòu)的集體訓(xùn)練活動，旨在讓網(wǎng)絡(luò)保護旅評估網(wǎng)絡(luò)保護團隊的表現(xiàn)。這一練習(xí)由幾位作為任務(wù)所有者、計算機網(wǎng)絡(luò)防御服務(wù)提供商(CNDSP)、敵對部隊(“Red Team”)、游戲外引導(dǎo)者和其他必要角色的訓(xùn)練開發(fā)人員推動。這個演習(xí)是通過CERT私人網(wǎng)絡(luò)培訓(xùn)云（PCTC） - 一個模擬、培訓(xùn)和訓(xùn)練平臺（STEP）的實例遠程提供的。在這個案例研究中，我們描述了一個在2016年9月設(shè)計并交付給網(wǎng)絡(luò)保護團隊的Cyber Forge演習(xí)。在接下來的五個部分中，通過一張表格總結(jié)了Cyber Forge 11每個網(wǎng)段的設(shè)計細節(jié)。

2.1.     環(huán)境

關(guān)于環(huán)境部分的實體因素，CPT能夠在團隊熟悉的崗位上進行訓(xùn)練。由于CPT在熟悉的設(shè)施和正常的環(huán)境中，這大大增加了物理要素的真實性。關(guān)于環(huán)境部分的虛擬要素，Cyber Forge 11的虛擬網(wǎng)絡(luò)是一個復(fù)雜的基礎(chǔ)設(shè)施，準確地將CPT部署到聯(lián)合基地 - 連接到網(wǎng)絡(luò)企業(yè)中心（NEC）和區(qū)域網(wǎng)絡(luò)中心（RCC）。向團隊成員提供了與近期CPT操作中使用的相似的真實工具和企業(yè)系統(tǒng)。對于環(huán)境部分的心理因素，通過對模擬任務(wù)所有者的強制情況介紹來設(shè)計逼真的精神壓力注入，從而產(chǎn)生了預(yù)期的心理反應(yīng)。這是由于急于提供盡可能多的防御網(wǎng)絡(luò)地形方面的深入技術(shù)信息而產(chǎn)生的。表6詳細列出了Cyber Forge 11環(huán)境部分設(shè)計的最重要的子要素細節(jié)。

表6：Cyber Forge 11環(huán)境部分設(shè)計細節(jié)

要素	子要素	Cyber  Forge詳情
物理	辦公空間	·    利用本地站，接入非機密互聯(lián)網(wǎng)協(xié)議路由器（NIPR）和商業(yè)互聯(lián)網(wǎng)，
		·    單獨的紅/白/藍團隊房間
		·    團隊筆記本電腦，打印機，白板，電話可用
		·    隨時獲得的溝通機制
	環(huán)境	·    正常餐飲選擇，統(tǒng)一的（UOD）一天需求
		·    正常運輸，每周PT要求
虛擬	虛擬網(wǎng)絡(luò)	·    模擬互聯(lián)轉(zhuǎn)發(fā)運營基地（FOB），網(wǎng)絡(luò)企業(yè)中心（NEC），區(qū)域網(wǎng)絡(luò)中心（RCC）和國防信息系統(tǒng)機構(gòu)（DISA）
		·    模擬互聯(lián)網(wǎng)與多跳邊界網(wǎng)關(guān)協(xié)議（BGP）路由，互聯(lián)網(wǎng)站點，用于域名服務(wù)（DNS）的根服務(wù)器，
		·    實際的基于互聯(lián)網(wǎng)的HTTP和DNS網(wǎng)絡(luò)流量生成對抗保護資產(chǎn) ·    定義和動態(tài)分配的對手/紅隊IP地址和范圍
	虛擬訪問	·    對所有服務(wù)器，設(shè)備和網(wǎng)絡(luò)設(shè)備進行RDP或Secure Shell（SSH）訪問 ·    控制臺訪問所有最終用戶工作站，服務(wù)器，設(shè)備和網(wǎng)絡(luò)設(shè)備
	配置	·   Windows Server 2008 ·   Windows Sever 2008 Active  Directory (AD)域級別 ·   Active Directory中有數(shù)百個真實的用戶帳戶 ·   Active Directory 限制性組策略 ·    更新Windows工作站和服務(wù)器操作系統(tǒng)和應(yīng)用補丁 ·   Windows 7 and Ubuntu 桌面用戶工作站 ·   Microsoft Office 2011 與 Microsoft Outlook客戶端郵件 ·   模擬Windows 7用戶登錄、電子郵件、MS Office活動 ·   Windows 2008 IIS and Apache  Linux web servers ·   Microsoft AD and Linux BIND DNS ·   HBSS/McAfee ePolicy Orchestrator ·   思科路由器 ·   Blue Coat Proxy Servers ·   Palo Alto 防火墻以及真實的防火墻規(guī)則 ·   Cisco SourceFire and  Security Onion ·   Arcsight SIEM ·   SiLK NetFlow 網(wǎng)絡(luò)流量的收集和分析 ·   取證工具: SIFT, REMnux, and ADHD ·   ACAS/Nessus security scanner ·   ELK stack ·   Kali Linux
心里活動	戰(zhàn)斗節(jié)奏	·   每天STARTEX 0800, PAUSEX 1600, hotwash ·   戰(zhàn)斗隊長的日常操作
	精神壓力	·    向模擬任務(wù)所有者第2天(1500)進行調(diào)查簡報 ·    任務(wù)負責(zé)人指導(dǎo)任務(wù)，意在引起壓力 ·    戰(zhàn)斗指揮官指示并期望迅速行動 ·    模擬CNDSP技術(shù)和具體的交互 ·    在第4天，OPFOR快速*** ·

2.2.     對手

對于對手部分的威脅要素，我們決定在Cyber Forge 11期間向CPT引入兩個潛在的對立勢力。一個是地區(qū)犯罪家族，另一個是地區(qū)性的好戰(zhàn)民族國家。對立的勢力代表了不同類型的威脅，具有不同程度的復(fù)雜性、意圖和利益。對于對手部分的資源要素，我們考慮了OPFOR和支持角色之間的真實交互。這包括洗錢、陰謀和地緣政治姿態(tài)。CPT通過接收情報報告和與模擬的外部機構(gòu)的接口來了解各種基于場景的注入。表7提供了用于Cyber Forge 11的對手細分子要素設(shè)計細節(jié)。

表7：Cyber Forge 11對手細分設(shè)計細節(jié)

要素	子要素	Cyber  Forge詳情
威脅	類型	·    分離主義軍隊尋求獨立，得到鄰國敵對國家的協(xié)調(diào)幫助。 ·    跨國犯罪組織試圖影響地緣政治事件以取得自身的財務(wù)收益，并增加對該地區(qū)的控制。 ·    兩個團體都能夠相互協(xié)調(diào)，同時也是敵對的民族國家。
	復(fù)雜性	·    敵對的民族國家中存在的分裂主義分子提高了網(wǎng)絡(luò)***能力，并以此進行***聲明其活動。 ·    犯罪家族的能力最強，最近還收購了雇傭軍***。 ·    犯罪家庭也因綁架和勒索等額外罪行而聞名。 ·    所有人都能夠同時進行多個網(wǎng)絡(luò)***。 ·    ?所有人都有能力收集網(wǎng)絡(luò)***的行動情報。
資源	金融	·    跨國犯罪組織由于最近成功的針對地區(qū)銀行資產(chǎn)的網(wǎng)絡(luò)***而獲得了充足的資金。
	社群	·    培訓(xùn)：所有成員都精通技術(shù)，會講英語并作為第二語言。 ·    主要人員在西方大學(xué)接受教育。 ·    有幾家公司在網(wǎng)絡(luò)戰(zhàn)爭活動中有多個已建立的網(wǎng)絡(luò)呼叫標志和眾所周知的聲譽。 ·    所有人都受過高級的社會工程技術(shù)培訓(xùn)。
	技術(shù)	·    偵察：端口和服務(wù)枚舉 ·    魚叉式網(wǎng)站釣魚：多種技術(shù) ·   瀏覽器開發(fā)利用*** ·    能夠進行遠程管理、權(quán)限升級和橫向移動的惡意軟件注入 ·    一旦獲得立足點即可建立隱蔽的持久性連接 ·   數(shù)據(jù)過濾和信息收集 ·   系統(tǒng)完整性下降 ·    拒絕服務(wù)/分布式拒絕服務(wù)（DoS / DDoS）*** ·    高級持續(xù)威脅（APT）級別***

2.3.     通信

對于通信部分的內(nèi)部要素，我們確保CPT成員能夠利用他們所有的正常機制：電子郵件、語音和聊天。由于CPT是搭配在一起的，成員可以面對面交流。對于通信部分的外部因素，所有外部機構(gòu)都實際上與CPT演習(xí)系統(tǒng)相連。表8提供了用于Cyber Forge 11的通信段子要素設(shè)計細節(jié)。

表8：Cyber Forge 11通信部分設(shè)計細節(jié)

要素	子要素	Cyber  Forge 詳情
內(nèi)部	語音	·    在同一個房間內(nèi)利用直接的面對面溝通
	電子	·    使用電子郵件和在線聊天與模擬網(wǎng)絡(luò)運營中心（NOC） ·    團隊內(nèi)使用在線聊天：都有專用頻道/聊天室（Spark Chat） ·    使用Windows文件共享團隊之間的所有文件 ·    使用Redmine  Web應(yīng)用程序向CNDSP提交RFI和響應(yīng)
外部	指令	·    在STARTEX和整個演習(xí)期間收到操作指令和碎片指令
	協(xié)作	·    使用電子郵件和模擬NOC  / CNDSP /任務(wù)負責(zé)人和Cyber  Fusion Center進行在線聊天 ·    利用在線聊天工具，為英特爾團隊、版主和幫助臺的在線聊天建立專用頻道/房間，以創(chuàng)建溝通通道。

2.4.     戰(zhàn)術(shù)

對于戰(zhàn)術(shù)部分的個人要素，我們檢查了參與者的名單，并確保在設(shè)計這個演習(xí)時，每個技能都會以某種方式被利用，包括領(lǐng)導(dǎo)職位和情報分析師。對于戰(zhàn)術(shù)部分的集體要素，我們從單位的METL中選擇了具體的項目，這些項目將被運用，并確保OPORDER采用這些集體行動。 然后，我們設(shè)計了在演習(xí)中模擬的各個組織之間會發(fā)生的互動，以便每個集體任務(wù)都有一個特定的注入來準備觸發(fā)它。表9提供了Cyber Forge 11的戰(zhàn)術(shù)部分子部件設(shè)計細節(jié)。

表9：Cyber Forge 11戰(zhàn)術(shù)部分設(shè)計細節(jié)

要素	子要素	Cyber  Forge 詳情
個人	專業(yè)	·    根據(jù)特定的技術(shù)技能審查配置和工具設(shè)置 ·    審查惡意活動的安全工具數(shù)據(jù) ·    向團隊報告具體的基礎(chǔ)設(shè)施發(fā)現(xiàn)
	領(lǐng)導(dǎo)	·    ?負責(zé)編寫情況報告的小組負責(zé)人（SITREPS） ·    ?班組領(lǐng)導(dǎo)班子成員優(yōu)先考慮的操作
集體	任務(wù)	·    審查所有提供的信息并確認證書和網(wǎng)絡(luò)連接成功 ·    驗證了關(guān)鍵的地形網(wǎng)絡(luò)資產(chǎn)的防御任務(wù) ·    部署團隊定制安全工具和傳感器 ·    確定網(wǎng)絡(luò)/配置基線 ·    對基礎(chǔ)設(shè)施進行當(dāng)前的安全風(fēng)險評估 ·    監(jiān)控、檢測、響應(yīng)對手的活動 ·    向CNDSP提出了配置緩解建議 ·    誘捕任何對手的活動 ·    直接與積極的對手進行威脅活動 ·    每天制作網(wǎng)絡(luò)活動報告（NAR） ·    生成的每日情況報告(SITREP)
	流程	·    運用內(nèi)部團隊流程來識別威脅并將其輸送給戰(zhàn)斗長官 ·    運用內(nèi)部團隊流程進行威脅發(fā)現(xiàn)和緩解技術(shù)執(zhí)行 ·    通過內(nèi)部團隊流程將RFIs提交給任務(wù)所有者和CNDSP ·    在收到新威脅/報告/訂單時，對MDMP周圍的內(nèi)部團隊流程進行訓(xùn)練

2.5.     角色

對于角色部分的藍隊要素，所有團隊成員都在其正常分配的角色和責(zé)任范圍內(nèi)工作。支援藍軍（即藍色力量。由角色演員模擬了“網(wǎng)絡(luò)融合中心”，“責(zé)任情報部門”，“本地駐軍CNDSP”和“分配任務(wù)的所有者”）。對于角色部分的紅隊要素，角色扮演者也模擬了幾種對抗性力量。對于角色部分的白隊要素，演習(xí)開發(fā)人員將演習(xí)所有方面的控制都考慮在白隊內(nèi)。評估小組由CPT內(nèi)的培訓(xùn)軍士（NCO）負責(zé)。表10提供了Cyber Forge 11的角色段細分子要素設(shè)計細節(jié)。

表10：Cyber Forge 11角色細分設(shè)計細節(jié)

要素	子要素	Cyber  Forge 詳情
藍隊	團隊	·    戰(zhàn)斗隊長出席并提供團隊領(lǐng)導(dǎo)。 ·    網(wǎng)絡(luò)防護團隊規(guī)模為21名成員。
	支持	·    CNDSP  / NOC角色已經(jīng)存在，可通過在線聊天和電話解答問題并提供操作支持。 ·    英特爾團隊角色的存在是為了幫助英特爾“tippers”來幫助演習(xí)的進行。英特爾團隊還回答了在英特爾“tippers”提供給團隊后現(xiàn)的英特爾相關(guān)問題。
白隊	控制	·    識別并指派白隊小組成員擔(dān)任花名冊角色 ·    對所有團隊和組件進行STARTEX后勤協(xié)調(diào) ·   管理STARTEX / PAUSEX / ENDEX的“游戲時鐘” ·   控制MSEL的流程 ·   在STARTEX簡要介紹 ·    在ENDEX進行hotwash ·    監(jiān)測團隊的進度和狀態(tài)，并根據(jù)優(yōu)勢和劣勢調(diào)整MSEL ·    利用屏幕“跟蹤”工具來監(jiān)控最終用戶的活動/點擊 ·    管理英特爾信息發(fā)布的時間 ·   管理紅隊的部署時間
	評估	·    嵌入式觀察員與藍隊參加者放置在同一個房間內(nèi)。 ·    嵌入式觀察員提供實時反饋和總結(jié)報告。
紅隊	反對力量（OPFOR）	·    部署自定義RAT（遠程管理工具）APT
		·    創(chuàng)建和使用Slowloris  DDoS僵尸網(wǎng)絡(luò)***防御資產(chǎn) ·    利用基于惡意軟件的信標進行魚叉式網(wǎng)絡(luò)釣魚，并進行數(shù)據(jù)竊取 ·    使用橫向移動來***AD域 ·    使用SQL注入進行數(shù)據(jù)***和過濾 ·    通過流氓CD***惡意軟件
	OPFOR支持	·    提供對區(qū)域互聯(lián)網(wǎng)服務(wù)提供商的模擬敏感信息訪問。 ·    提供關(guān)于部隊調(diào)動的模擬泄漏信息。 ·    提供了來自地區(qū)銀行資產(chǎn)的模擬泄露信息。

                                                                                               III       結(jié)論

在這份報告中，我們介紹了R-EACTR框架作為設(shè)計和構(gòu)建足夠現(xiàn)實主義的軍事網(wǎng)絡(luò)戰(zhàn)演習(xí)的指南。在我們的經(jīng)驗建設(shè)和網(wǎng)絡(luò)作戰(zhàn)演習(xí)中，我們發(fā)現(xiàn)大化價值的關(guān)鍵因素是現(xiàn)實主義。憑借創(chuàng)造出色網(wǎng)絡(luò)安全人才團隊隊伍的堅實框架，團隊可以通過演習(xí)成為網(wǎng)絡(luò)安全精英。

參考：

網(wǎng)址自本文件發(fā)布之日起生效。

[BBC 2016]

英國廣播公司。北韓“抨擊南方的軍事網(wǎng)絡(luò)指揮”，BBC新聞。 2016年12月5日。http://www.bbc.com/news/world-asia-38219009

[DTIC 2017]

國防技術(shù)信息中心。聯(lián)合出版物1-02：軍事和相關(guān)術(shù)語詞典。 DTIC。 March 2017. http://www.dtic.mil/doctrine/new_pubs/dictionary.pdf

[Hammerstein 2010]

哈默斯坦，喬什和梅，克里斯托弗。 CERT網(wǎng)絡(luò)安全工作人員發(fā)展的方法。 CMU / SEI-2010-TR-045?？▋?nèi)基梅隆大學(xué)，賓夕法尼亞州匹茲堡。軟件工程研究所，2010年。http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=9697

[Laudicina 2016]

Laudicina，約翰。 2017年將是網(wǎng)絡(luò)戰(zhàn)爭的一年。福布斯雜志。 2016年12月16日。https://www.forbes.com/sites/paullaudicina/2016/12/16/2017-will-be-the-year-of-cyber- warfare /＃74c6c86a6bad

[McChrystal 2015]

麥克里斯托，斯坦利; Collins，Tantum;西爾弗曼，大衛(wèi); ＆Fussell，Chris。團隊團隊：一個復(fù)雜世界的新規(guī)則。企鵝，2015. https://mcchrystal-group.com/teamofteams/

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享標題：R-EACTR：一個設(shè)計現(xiàn)實網(wǎng)絡(luò)戰(zhàn)演習(xí)的框架-創(chuàng)新互聯(lián)
當(dāng)前網(wǎng)址：http://weahome.cn/article/ejhpj.html