什么是红队
红队,是指网络实战攻防演练中的防守一方。
红队一般是以参演单位现有的网络安全防护体系为基础,在实战 攻防演练期间组建的防守队伍。红队的主要工作包括演练前安全检 查、整改与加固,演练期间网络安全监测、预警、分析、验证、处 置,演练后期复盘和总结现有防护工作中的不足之处,为后续常态化 的网络安全防护措施提供优化依据等。
实战攻防演练时,红队通常会在日常安全运维工作的基础上以实 战思维进一步加强安全防护措施,包括提升管理组织规格、扩大威胁 监控范围、完善监测与防护手段、加快安全分析频率、提高应急响应 速度、增强溯源反制能力、建立情报搜集利用机制等,进而提升整体 防守能力。
需要特别说明的是,红队并不是由实战演练中目标系统运营单位 一家独力组建的,而是由目标系统运营单位、安全运营团队、攻防专 家、安全厂商、软件开发商、网络运维队伍、云提供商等多方共同组 成的。组成红队的各个团队在演练中的角色与分工情况如下。
特别强调,对于红队来说,了解对手(蓝队)的情况非常重要, 正所谓“知彼才能知己”。从攻击角度出发,了解攻击队的思路与打 法,了解攻击队的思维,并结合本单位实际网络环境、运营管理情 况,制定相应的技术防御和响应机制,才能在防守过程中争取到更大 的主动权。
2016年和2017年,由于监管单位的推动,部分单位开始逐步参与 监管单位组织的实战攻防演练。这个阶段各单位主要作为防守方参加 演练。到了2018年和2019年,实战攻防演练不论单场演练的参演单位 数量、攻击队伍数量,还是攻守双方的技术能力等都迅速增强。实战 攻防演练已经成为公认的检验各单位网络安全建设水平和安全防护能 力的重要手段,各单位也从以往单纯参与监管单位组织的演练逐渐转 变,开始自行组织内部演练或联合组织行业演练。
2020年后,随着在实战攻防演练中真刀实枪地不断对抗和磨砺, 攻守双方都取得了快速发展和进步。迫于攻击队技战法迅速发展带来 的压力,防守队也发生了很大的变化。
2020年之前的实战攻防演练主要以攻陷靶标系统为目标,达到发 现防守队安全建设和防护短板、提升各单位安全意识的目的。攻击队 的主要得分点是拿下靶标系统和路径中的关键集权系统、服务器等权 限,在非靶标系统上得分很少。因此,防守队的防守重心往往会聚焦 到靶标系统及相关路径资产上。
大部分参加过实战攻防演练的单位对自身的安全问题和短板已经 有了充分认识,也都开展了安全建设整改工作,它们急需通过实战攻 防演练检验更多重要系统的安全性,并更全面地发现安全风险。因 此,从2020年开始,不论监管单位还是单位自身,在组织攻防演练 时,都会逐步降低演练中靶标系统的权重,鼓励攻击更多的单位和系 统,发现更多的问题和风险。同样,防守队的防守重心也就从以靶标 系统为主,扩大到所有的重要业务系统、重要设备和资产、相关上下 级单位。
随着近几年攻防技术的快速发展,实战攻防演练中各种攻击手段 层出不穷、花样百出,各单位在演练中切实感受到了攻击队带来的严 重威胁以及防守的巨大压力,防守队的监测和防护体系面临巨大挑 战。防守队对于在攻防对抗中确实能够发挥重大作用的安全产品青睐 有加,投入大量资金来采购和部署。
2018~2019年,除了传统安全产品外,全流量威胁检测类产品在 攻防对抗中证明了自己,获取了各单位的青睐。2020年后,主机威胁 检测、蜜罐及威胁情报等产品和服务迅速成熟并在演练中证明了自己 对主流攻击的监测和防护能力,防守队开始大规模部署使用。除此之 外,对于钓鱼攻击、供应链攻击等还没有有效的防护产品,不过随着 在实战中的不断打磨,相应产品也会迅速成熟和广泛使用。
被动防守到正面对抗
要说变化,这两年防守队最大的变化应该是从被动挨打迅速转变 为正面对抗、择机反制。之前,演练中的大部分防守队发现攻击后基 本就是封堵IP、下线系统、修复漏洞,之后接着等待下一波攻击。敌 在暗,我在明,只能被动挨打。现在,大量的防守队加强了溯源和反 制能力,与攻击队展开了正面对抗,并取得了很多战果。
要具备正面对抗能力,需要重点加强以下几方面。
1)快速响应。实战中讲究兵贵神速,在发现攻击时,只有快速确 认攻击方式、定位受害主机、采取处置措施,才能够有效阻止攻击, 并为下一步的溯源和反制争取时间。
2)准确溯源。《孙子兵法》云:“知己知彼,百战不殆。”要想 和攻击队正面对抗,首先得找到攻击队的位置,并想办法获取足够多 的攻击队信息,才能有针对性地制定反制策略,开展反击。
3)精准反制。反制其实就是防守队发起的攻击。在准确溯源的基 础上,需要攻击经验丰富的防守人员来有效、精准地实施反制。当 然,也有些单位会利用蜜罐等产品埋好陷阱,诱导攻击队跳进来,之 后再利用陷阱中的木马等快速攻陷攻击队系统。
什么是紫队
紫队是指网络实战攻防演练中的组织方。
紫队在实战攻防演练中,以组织方角色开展演练的整体组织、协 调工作,负责演练组织、过程监控、技术指导、应急保障、风险控 制、演练总结、技术措施与优化策略建议等各类工作。
紫队组织蓝队对实际环境实施攻击,组织红队实施防守,目的是 通过演练检验参演单位的安全威胁应对能力、攻击事件检测发现能 力、事件分析研判能力、事件响应处置能力以及应急响应机制与流程 的有效性,提升参演单位的安全实战能力。
此外,针对某些不宜在实网中直接攻防的系统,或某些不宜实际 执行的危险操作,紫队可以组织攻防双方进行沙盘推演,以便进一步 深入评估网络安全风险及可能面临的损失与破坏。
紫队演变趋势
随着攻防演练的发展,演练规模和成熟度逐年上升,攻防对抗过 程已进入白热化阶段,无论攻击手段向多样化、体系化转变,还是防 守投入增多,防守能力进化,攻防演练的组织工作都会随之演变。种 种迹象表明,实战演练已逐步走向常态化、实战化、体系化。
从2016年至2019年,实战攻防演练历时四年,参演单位逐年递 增,涉及行业逐年增加,用户认可度越来越高,防守力度越来越大。 从2018年开始,部分省份及行业监管单位亦开始组织辖区内、行业内 的实战攻防演练;2020年下半年,部分地市也逐步开始自组织地市范 围的实战演练。可谓是遍地开花,实战攻防演练已成为各关基(关键 信息基础设施)单位家喻户晓的活动。值得一提的是,近两年,疫情 来袭,且反复无常,给攻防演练组织工作带来巨大挑战,但并没有阻 止演练工作的开展。为避免人员聚集,降低交叉感染的风险,演练采 用无接触方式进行,所有参演人员线上开展工作,保障演练工作顺利 开展。
此外,还有一个显著变化是,2020年,在实战攻防演练中首次增 加沙盘推演环节,沙盘推演应运而生。沙盘推演的目的是:将实网攻 击成果加以延伸,在沙盘中进行更深入的攻击推演;全面、深入地开 展实战演练,找到安全脆弱点,对实战攻防演练阶段遇到的“ 不 敢 打 、 不 能 打 、 不 让 打 ”的核心资产、核心业务进行推演,评估被攻陷 的可能性以及被攻陷后产生的政治、经济、声誉等方面的影响。推演 形式为:每一场选取实网演练阶段问题多、问题影响大的参演单位作 为防守方,同时选取针对该防守单位实网成果多的攻击队作为攻击 方,开展第二阶段的沙盘推演。在2021年的实战攻防演练的第二阶 段,沙盘推演规模有增无减,在范围、周期、场次、人员投入等多个 维度上都进行了大幅度的升级。
实战攻防演练已成为检验参演机构网络安全防御能力和水平的 “试金石”,以及参演机构应对网络攻击能力的“磨刀石”。近年的 实战攻防演练中,针对大型网络的攻击一般会组合利用多种攻击方 式:0day攻击、供应链攻击、进攻流量隧道加密等。面对此类攻击 时,传统安全设备构筑的防护网显得有些力不从心,暴露出诸多问 题。总的来看,实战攻防演练中主要暴露出以下薄弱环节。
在实战攻防演练中,资产的控制权和所有权始终是攻防双方的争 夺焦点。互联网暴露面作为流量的入口,是攻击方重要的攻击对象。 资产不清是很多政企单位面临的现状。数字化转型带来的互联网暴露 面不断扩大,政企单位的资产范围不断外延。除了看得到的“冰面资 产”之外,还有大量的冰面之下的资产,包括无主资产、灰色资产、 僵尸资产等。在实战攻防演练中,一些单位存在年久失修、无开发维 护保障的老旧系统和僵尸系统,因为清理不及时,这些系统容易成为 攻击者的跳板,构成严重的安全隐患。
根据奇安信安全服务团队的观察,在实战攻防演练前期对机构的 体检中,经常能够发现未及时更新的老旧系统。因为老旧系统存在历 史遗留问题以及管理混乱问题,攻击队可以通过分析它们的已知漏 洞,成功攻入内部网络。例如,某大型企业在前期自查阶段经过互联 网资产发现,发现资产清单有大量与实际不符的情况,这给自查整改 和攻击防护造成很大影响。
3 网络及子网内部安全域之间隔离措施不到位
网络内部的隔离措施是考验企业网络安全防护能力的重要因素。 很多机构没有严格的访问控制(ACL)策略,在DMZ(隔离区)和办公 网之间不进行或很少进行网络隔离,办公网和互联网相通,网络区域 划分不严格,可以直接使远程控制程序上线,导致攻击方可以轻易实 现跨区攻击。
大中型政企机构还存在“一张网”的情况,它们习惯于使用单独 架设的专用网络来打通各地区之间的内部网络连接,而不同区域内网 间缺乏必要的隔离管控措施,缺乏足够有效的网络访问控制。这就导 致蓝队一旦突破了子公司或分公司的防线,便可以通过内网进行横向 渗透,直接攻击集团总部,或是漫游整个企业内网,攻击任意系统。
在实战攻防演练中,面对防守严密的总部系统,蓝队很难正面突 破,直接撬开内部网络的大门。因此绕过正面防御,尝试通过攻击防 守相对薄弱的下属单位,再迂回攻入总部的目标系统,成为一种“明 智”的策略。从2020年开始,各个行业的总部系统被蓝队从下级单位 路径攻击甚至攻陷的案例比比皆是。
在历年的实战攻防演练期间,已知应用系统漏洞、中间件漏洞以 及因配置问题产生的常规漏洞,是攻击方发现的明显问题和主要攻击 渠道。
从中间件来看,WebLogic、WebSphere、Tomcat、Apache、 Nginx、IIS都有人使用。WebLogic应用比较广泛,因存在反序列化漏 洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都 有对外开放的邮件系统,可以针对邮件系统漏洞,比如跨站漏洞、 CoreMail漏洞、XXE漏洞来开展攻击,也可以通过钓鱼邮件和鱼叉邮件 攻击来开展社工工作,这些均是比较好的突破点。
网络拓扑、用户信息、登录凭证等敏感信息在互联网上被大量泄 露,成为攻击方突破点。实际上,2020年是有记录以来数据泄露最严 重的一年。根据Canalys的报告,2020年泄露的记录比过去15年的总和还多。大量互联网敏感数据泄露,为攻击者进入内部网络和开展攻击 提供了便利。
边界设备成为进入内网的缺口
互联网出口和应用都是攻入内部网络的入口和途径。目前政企机 构的接入防护措施良莠不齐,给蓝队创造了大量的机会。针对VPN系统 等开放于互联网边界的设备或系统,为了避免影响员工使用,很多政 企机构没有在其传输通道上增加更多的防护手段;再加上此类系统多
会集成统一登录,一旦获得了某个员工的账号密码,蓝队可以通过这 些系统突破边界直接进入内部网络。
此外,防火墙作为重要的网络层访问控制设备,随着网络架构与 业务的增长与变化,安全策略非常容易混乱,甚至一些政企机构为了 解决可用性问题,采取了“any to any”的策略。防守单位很难在短 时间内梳理和配置涉及几十个应用、上千个端口的精细化访问控制策 略。缺乏访问控制策略的防火墙,就如同敞开的大门,安全域边界防 护形同虚设。
内网管理设备成为扩大战果的突破点
主机承载着政企机构的关键业务应用,须重点关注,重点防护。 但很多机构的内部网络的防御机制脆弱,在实战攻防演练期间,经常 出现早已披露的陈年漏洞未修复,特别是内部网络主机、服务器以及 相关应用服务补丁修复不及时的情况。对于蓝队来说,这些脆弱点是 可利用的重要途径,可以用来顺利拿下内部网络服务器及数据库权 限。
集权类系统成为攻击的主要目标。在攻防演练过程中,云管理平 台、核心网络设备、堡垒机、SOC平台、VPN等集权系统,由于缺乏定 期的维护升级,已经成为扩大权限的突破点。集权类系统一旦被突 破,整个内部的应用和系统也基本全部被突破,蓝队可以借此实现以 点打面,掌握对其所属管辖范围内的所有主机的控制权。
安全设备自身安全成为新的风险点
安全设备作为政企机构对抗攻击者的重要工具,其安全性应该相 对较高,但实际上安全产品自身也无法避免0day攻击,安全设备自身 安全成为新的风险点。每年攻防演练都会爆出某某安全设备自身存在 的某某漏洞被利用、被控制,反映出安全设备厂商自身安全开发和检 测能力没有做到位,给蓝队留下了后门,形成新的风险点。2020年实 战攻防演练的一大特点是,安全产品的漏洞挖掘和利用现象非常普 遍,多家企业的多款安全产品被挖掘出新漏洞(0day漏洞)或存在高 危漏洞。
历年实战攻防演练中,被发现和利用的各类安全产品0day漏洞主 要涉及安全网关、身份与访问管理、安全管理、终端安全等类型的安 全产品。利用这些安全产品的漏洞,蓝队可以:突破网络边界,获取 控制权限并进入网络;获取用户账户信息,并快速拿下相关设备和网 络的控制权限。近两三年,出现了多起VPN、堡垒机、终端管理等重要 安全设备被蓝队利用重大漏洞完成突破的案例,这些安全设备被攻 陷,直接造成网络边界防护失效,大量管理权限被控制。
供应链攻击成为攻击方的重要突破口
在攻防演练过程中,随着防守方对攻击行为的监测、发现和溯源 能力大幅增强,攻击队开始更多地转向供应链攻击等新型作战策略。 蓝队会从IT(设备及软件)服务商、安全服务商、办公及生产服务商 等供应链机构入手,寻找软件、设备及系统漏洞,发现人员及管理薄 弱点并实施攻击。常见的系统突破口有邮件系统、OA系统、安全设 备、社交软件等,常见的突破方式有利用软件漏洞、管理员弱口令 等。由于攻击对象范围广,攻击方式隐蔽,供应链攻击成为攻击方的 重要突破口,给政企安全防护带来了极大的挑战。从奇安信在2021年 承接的实战攻防演练情况来看,由于供应链管控弱,软件外包、外部 服务提供商等成为迂回攻击的重要通道。
员工安全意识淡薄是攻击的突破口
很多情况下,攻击人要比攻击系统容易得多。利用人员安全意识 不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平 台进行诱骗,是攻击方经常使用的手法。
钓鱼邮件是最常用的攻击手法之一。即便是安全意识较强的IT人 员或管理员,也很容易被诱骗点开邮件中的钓鱼链接或木马附件,进 而导致关键终端被控,甚至整个网络沦陷。在历年攻防演练过程中, 攻击队通过邮件钓鱼等方式攻击IT运维人员办公用机并获取数据及内 网权限的案例数不胜数。
人是支撑安全业务的最重要因素,专业人才缺乏是政企机构面临 的挑战之一。在攻防演练期间,有大量防守工作需要开展,而且专业 性较强,要求企业配备足够强大的专业化网络安全人才队伍。
内网安全检测能力不足
攻防演练中,攻击方攻击测试,对防守方的检测能力要求更高。 网络安全监控设备的部署、网络安全态势感知平台的建设,是实现安 全可视化、安全可控的基础。部分企业采购并部署了相关工具,但是 每秒上千条告警,很难从中甄别出实际攻击事件。此外,部分老旧的 防护设备,策略配置混乱,安全防护依靠这些系统发挥中坚力量,势 必力不从心。流量监测及主机监控工具缺失,仅依靠传统防护设备的 告警,甚至依靠人工翻阅海量日志来判断攻击,会导致“巧妇难为无 米之炊”。更重要的是,精于内部网络隐蔽渗透的攻击方在内部网络 进行非常谨慎而隐蔽的横向拓展,很难被流量监测设备或态势感知系 统检测。
网络安全监控是网络安全工作中非常重要的方面。重视并建设好 政企机构网络安全监控体系,持续运营并优化网络安全监控策略,是 让政企机构真正可以经受实战化考验的重要举措。
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南