关于蓝队的一些思考和感悟--写在博客访问量破万之际

      今天一早起来,看见博客访问量马上破万了,遂写一篇,以留纪念。

      今年疫情期间,在家里憋的无聊,又不舍得浪费大把的时间,于是捡起来博客写写。过去也曾有写博客的想法,并不是没有坚持,而是觉得不好把握哪些技术可以分享,哪些不便分享,于是干脆把自己的技术笔记记录在了私人笔记本上。虽然这么一直坚持就是几年,用起来也还算方便,每次翻笔记时候,框架性的东西很容易回忆起来,但年龄不饶人,很多技术细枝末节经常还会遗忘。另一方面,自己一直信奉网络安全技术是一项以实验、实战结合的动手性工作,如果只停留在技术点的层面,那就是纸上谈兵了。于是有了写博客的想法。那么这次怎么区分写什么内容呢,想来想去就写自己的技术弱项《攻击相关技术知识》,因为这方面毕竟和自己的工作内容远一些,也就没有太多的顾虑。

      今天想借着破一万浏览的时间点,写点我对蓝队的思考和看法。近几年,网络安全产业越来越热,很多年轻人都投入到这项工作之中,技术的升级迭代也非常迅速,尤其红队技术的发展,多年以前,可能一个waf就把很多小黑挡在了门外,但如今,红队大佬比比皆是,红队打法、思路也是遍地开花。在我认识的网络安全行业的朋友中,几乎百分之九十都是投身于红队工作,那么蓝队的前途在哪里,蓝队又有什么可做的,蓝队真的落寞了吗?个人觉得不一定。在红队如此强大的今天,蓝队其实还有好多事情可以做,魔高一尺,道高一丈嘛,红蓝对抗永远是人与人之间的对抗,技术只是工具辅助作用。那么人和人之间的对抗,讲究技术、讲究工具、还更要讲究谋略。

      我们知道,如今红队选手都非常注重信息收集,甚至有人提出渗透的本质就是信息收集,我不否认信息收集的重要,但信息收集回来,对信息处理的算法一样非常重要,算法有问题,整个渗透过程势必受影响。那么,我们作为蓝队,能在红队这么强大的信息收集攻势下做些什么?这个问题一直在我脑海里翻滚。最近,生活中几种感兴趣的事对我有很大启发。

      先讲个历史小故事,本人很喜欢三国,里面曾经有一段故事印象深刻。故事讲述的是曹丕和曹植争夺继承权的发生的事情,曹操是个极度爱猜忌、多疑的人,他内心偏爱曹植才华,立储之事迟迟未定。这个时期的曹操对立储犹豫不决,在暗中派心腹观察两位候选人一举一动,以做到心中有数。一日,曹植听到耳目回报,有一队人马挑着框进了曹丕府中。得到消息,曹植立马到曹操那告了一状,说不清楚曹丕在搞什么鬼,半夜让人抬箩筐进府。本就多疑的曹操顿时疑心大起,于是下令对曹丕严密监视,再有类似人马一律当场搜查。果然,第二天又有人马挑着箩筐进了府中,在掌握证据后,曹操令人将运送箩筐人马全部拿下搜查,结果居然什么也没搜到。从此以后,曹操不但打消了对曹丕的怀疑,反而开始怀疑曹植,怀疑曹植为了争夺王位、处心积虑研究自己的同胞兄弟。

      那么,这件事实际是什么情况呢,曹丕找人运箩筐进府到底是在做什么。事实上,曹丕早就感受到了曹操和曹植对让他的双方面监视,但又无计可施,他急着想找一位高人给他出出点子,但有不方便出门与人接触,以至让敏感的曹操察觉到他的心思。于是他给吴质写信求助,吴质和司马懿等四人号称“四友”,都是有大才智之人,后来成为了曹丕的心腹大臣。但当时吴质因为与曹丕走的太近,一次聚会上当面直视曹丕的甄夫人,被曹操听说后直接发落边疆。此时的曹丕急需吴质前来出点子,又不能把此时泄漏出去,于是就写了一封信给吴质,吴质收信后当夜藏身箩筐中进曹丕府。为了防止事情泄漏,吴质专门安排人连续三日送同样箩筐进曹丕府中,目的就是让曹操查空,打消疑心,当然,吴质肯定也算到了曹植肯定会对曹丕的一举一动严密监视。最终,吴质与曹丕那一夜长谈,给曹丕提出了“以德抗才”的战略方针,最终也让曹丕在争储大战中后来居上。

      从这个小故事中,我们完全可以把曹植、曹操看成是信息收集能力强大的红队选手,对于如此强大的红队选手,我们一味正面防御,肯定是会忙于奔命,处理起来很棘手,但如果我们加入一些人与人之间对抗的谋略,针对红队选手的信息收集敏感,信息收集欲望强的特点,刻意给多疑的对方释放一些虚假信息,可能会达到事半功倍的效果。

      另一件事,虽然原理相近,但我还是觉得值得一写。最近在抖音上,还特别喜欢看盗墓系列知识,发现古代的盗墓贼,其实干的活远远不比今天的黑客来的简单,要发现一个古代墓地,要精通风水星象,盗墓时候打洞技巧还要十分娴熟,这种高技术活动让我深感兴趣。其中,有一个墓室的设计印象深刻。历代王侯将相为防止自己的墓葬被盗墓贼侵扰,绞尽脑汁的设置了各种各样的防盗墓措施,像铁锁吊石、机弩毒气,甚至还有在自己墓碑上向盗墓贼哭穷的,但是随着时间的验证,这都不是最有效的。公元2005年,考古专家在对上蔡县郭庄一座古墓进行考古发掘,发掘的过程中,有18个盗洞已经深入到了墓室的核心区域,本来不抱任何希望的,但是峰回路转柳暗花明,盗洞戛然而止,最后出土了千余件楚国青铜器,经历了2000多年,主墓室仍完好无损,这多亏了防盗门设计流沙,这座墓深达十七米,其中10多米埋的都是沙子,其次造假棺材迷惑盗墓贼,在主棺的正上方和侧方,加修了两个假棺材,里面甚至还放置了一些小件的陪葬品,来迷惑盗墓贼。据说里面回填的沙子是经过烘炒或者暴晒的,这样做可以保持地下的干燥,防止尸体过早腐坏,增加防盗门效果。干燥的细沙如流水,流动性极好,盗墓贼无法在这种土层上挖掘盗洞,这边挖好了那边又填满了。不仅如此,考古人员还在积沙层中发现了一千余块积石,最小的仅三公斤,最大的165公斤,这些石块放置的位置也是经过精心考虑的,可以放置盗墓贼从不同的部位进入,所以说流沙墓是盗墓贼的克星,目前中国发现了好几座这样的墓葬,都是有效的防止了盗墓贼的破坏。

      看完这些古人的高超智慧,我相信网络安全蓝队从业者一定会有很多启发,不论是蜜罐技术,还是攻击欺骗,其实很多技术思路来源还是人与人之间智慧的碰撞,我们完全可以学习古人的谋略,运用在当前的技术开发实战中,作出更好的更强的蓝队作品,这也是我下一步的追求和目标。

你可能感兴趣的:(蓝队)