从网络安全热门岗位看红蓝对抗发展趋势
目前网络安全行业哪些岗位最热门?以下为SANS发布的2021年网络安全领域最酷的20个岗位:
SANS:网络安全领域最酷的20个岗位
从岗位名称及职责描述中我们可以看到,除了安全技术总监、渗透测试、漏洞研究、应急响应等传统热门岗位之外,与红蓝对抗相关的岗位受到了广泛重视:
-
02 红队(Red Teamer)
-
04 紫队(Purple Teamer)
-
07 蓝队(Blue Teamer)
-
11 OSINT调查员/分析员(OSINTInvestigator / Analyst)
网络人才一将难求
红蓝对抗的相关岗位为什么很酷?近年来实战化的网络安全攻防演习在国家有关部门的推动下逐渐呈现出常态化趋势,“实战是检验网络安全防护能力的唯一标准”、“网络安全说千遍不如打一遍”等实战化理念已逐步形成共识。在此背景下,各行业开始加速推进实战与合规并重的安全建设模式,如何通过实战化的手段评价网络安全防御体系的防御水平,如何及时发现防御体系中的薄弱环节,“红蓝对抗”应运而生,它不仅需要渗透测试的人才,也需要逆向工程师,甚至是区块链安全工程师、数据安全方向的工程师等,红蓝对抗相关岗位便也水涨船高。
为什么要进行红蓝对抗
红蓝对抗是网络安全运营工作发展的必然趋势。早期,网络安全工作人员被形容为“救火队员”,头痛医头、脚痛医脚,疲于奔命。随着等级保护工作的推进落实,网络安全工作进入了一个漫长的合规驱动期,造就了网络安全行业的高速发展,各类安全产品及系列解决方案如雨后春笋般浮现。但近年来,国家有关部门组织开展实战背景下的攻防演习,这些看似固若金汤的安全防护体系往往不堪一击,这些安全防护体系究竟存在何种问题?
-
无法准确评估安全防护产品效果
现网IT环境中部署了不同功能的安全防护产品,其在真实攻击时实际效果如何,是否完全发挥了其应有的作用?绝大多数甲方无法真正掌握。
-
团队应对真实攻击能力不足
当真实的黑客入侵行为发生时,安全团队无法在第一时间发现和识别,并做出及时准确的处置,直接影响攻击行为带来的损失。
-
漏洞检测手段无法反映真实影响
使用传统漏洞检测手段识别漏洞,往往依据CVSS评分进行修复,很难从攻击者实际利用的角度评估风险和潜在损失,无法准确评估漏洞造成的真实影响。
因此,想要准确评估企业信息系统安全防护体系现状,亟需一种尽可能真实地模拟黑客攻击、以攻击者视角评估企业的安全防御能力的手段,面向企业的“红蓝对抗”服务有助于找出企业安全中最脆弱的环节,提升企业安全能力的建设。
从“救火”到“布道”,如何红蓝对抗
“红蓝对抗”的概念最早在军事领域产生,专指军队进行大规模实兵演习,由不同军队扮演红方和蓝方,一般情况下是红方主攻、蓝方主守。类似于军事领域,在网络安全领域由安全专家组成红方和蓝方团队,在设定的环境下进行网络攻防演练,进行信息化战争的局部模拟,称之为网络安全“红蓝对抗”。
面向企业信息安全建设的“红蓝对抗”,一般是由第三方安全专家团队作为攻击方(红队),企业的安全部门员工作为防守方(蓝队),二者在约定的时间窗口进行实战演练。红队需要尽可能多地采用攻击手段,发掘企业信息安全防护体系中的薄弱环节,深入探索企业信息安全脆弱性被利用后对企业造成的最大影响,以控制更多的服务器或得到敏感数据为最终目标。蓝队在扎好安全防护篱笆的同时,需要对网络攻击做出有效的应急响应处置,延缓攻击者的进攻速度,封堵进攻线路。近期红蓝对抗中出现了一个新角色——紫队,紫队的职责相当于军事演习中的导演部,负责整个攻防对抗演习的组织、导调以及监督审计。
组织红蓝对抗的难点
尽管现在大家逐步认识到通过红蓝对抗验证自身安全防御体系效果的优势,但实际落地过程中,依然存在着一系列的难点:
-
人才稀缺
红蓝对抗需要一定数量的专业攻防人才,但专业人才短缺问题恰恰是当前网络安全工作中遇到的首要问题,根据《网络安全产业人才发展报告》(2021年版)数据显示,网络安全人才供需呈现严重不平衡状态,缺口率高达93%,存在严重的人才短缺现象。
-
成本投资
红蓝对抗的成本主要体现于人力成本。在供需矛盾加剧的态势下,网络安全人才薪酬水平远超行业平均水平,导致无论是自建红蓝对抗团队,或是外包给第三方服务商提供支持,红蓝对抗的成本都高于传统安全服务,因此目前只有少数行业,如金融、电网等行业有能力负担。
-
风险管理
红蓝对抗是模拟真实攻击者对自身的业务系统及安全防御体系进行攻击,因此可能会存在两方面的风险;一是业务连续性风险,例如在对真实业务生产环境的安全评估过程中,采用的某些攻击技术手段可能对业务系统造成影响;二是敏感信息泄露及后门风险,主要是由于第三方服务商人员的违规操作,导致生产环境中的敏感数据泄露或后门留存。
未来发展趋势
红蓝对抗的人员密集型、技术密集型属性,造成了只有少数行业真正开展落实的现状。那么,安全预算少、安全团队小的政企单位及广大中小企业就无法采用红蓝对抗来验证安全防护体系,提升网络安全运营水平了么?
答案是否定的!
智能自动化攻击模拟平台便是解决之道。组建一支“智能攻击队”,采用以人工智能为主的攻击队,通过对国际先进黑客攻击技术与主流黑客攻击剧本的集成学习,自主进行攻击及入侵模拟,同时记录所有攻击过程及手法并进行审计,消除模拟真实攻击可能带来的风险。
智能攻击队是基于ATT&CK框架以及最新的对手交战(Engage)框架设计的一整套机器攻击解决方案,可以有效替代人工,提升效率、降低成本以及管控风险。它主要包含三个方面的能力,覆盖预攻击、攻击过程以及攻击成果管理三个阶段。
-
预攻击
预攻击能力包括信息搜集、未知漏洞挖掘、供应链风险分析以及社工武器库,同时具备链路隐藏技术的攻击欺骗能力;
-
攻击过程
攻击过程管理主要包含外网机器自动化攻击、内网机器自动化攻击以及安全产品有效性验证等能力,同时包括攻击行为审计能力,对攻击行为进行全流量全方位的记录;
-
攻击成果交付
红蓝对抗的目的是验证现有安全防护能力的有效性,找到短板,修复风险,阻断攻击路径,因此需要具备复盘及攻击成果管理能力。
综上所述,采用AI算法驱动的智能自动化攻击模拟平台,将有效降低红蓝对抗对专业人员的依赖性,节约攻防对抗实施成本,规避模拟攻击潜在风险,提升攻击覆盖率,是红蓝对抗未来技术发展的重要趋势。
墨云科技
北京墨云科技有限公司作为国内领先的网络攻防科技安全服务提供商,一直秉持着让网络攻防更智能的使命,不断创造突破性技术,专注人工智能在攻防安全领域的应用研究,打造智能化产品体系,为客户提供全方位的信息安全服务。
目前,墨云科技已在北京、南京、上海、广州、深圳、成都、青岛、济南、西安等多地设有研发中心及分支机构,服务行业客户上百余家。
了解更多相关信息,关注公众号“墨云安全”,关注更智能的网络攻防!