浅谈红蓝对抗的思维
目录
浅谈红蓝对抗
简介
红队手法
蓝队手法
过程
思考
建设
论-表述
常态化
浅谈红蓝对抗
简介
在网络安全“实战化、常态化、体系化”的背景下;近年来各种大规模的红蓝对抗赛事层出不穷,攻防实战受到了更多的重视。红与蓝的打法逐渐提高并趋于成熟,已不再是单方面的攻防那么简单了,将其变为攻防博弈和几乎不限手法的对抗演习。
红蓝对抗指的是一个军事概念,指在部队模拟对抗时,专门成立一个扮演假想敌的部队(蓝军)专业化的蓝军学习模拟外军的思维、攻击方式与我方正面部队(红军)进行对抗性演练。近日在环球网中提到了贴近实战!直击海军红蓝对抗演练,体现了红蓝对抗思维模式已经变成我们和平环境下的实战中检验队伍是否具有战斗力的一种方式;
信息安全领域中——红蓝对抗,一方扮演黑客,另一方扮演防守者进行网络安全攻防演练。与传统的渗透测试相比,这种高强度的红蓝对抗有着明显不同,甚至较量的不仅仅是技法,而包括战术打法、心态与体力的考验。
在演练过程中,蓝军模拟真实的攻击来评估企业现有防守体系的安全能力,红军对发现的问题做出相应的优化整改;通过周期性的红蓝对抗攻防演习,持续性地提高企业在攻击防护、威胁检测、应急响应方面的能力。通过持续的对抗、复盘、总结来不断优化防御体系的识别、加固、检测、处置等各个环节,从而提升整体的防护抵抗的能力;
一些前沿领域 如:人工智能、物联网、移动互联网、云安全、区块链等等
TOL、CS游戏实战中——红蓝对抗,敌对双方的较量,各种武器弹药,进行相互的厮杀争夺;
还有棋类游戏,运动赛事等等;其实红蓝对抗的思想和思维模式,早就在生活中体现,它这种检测双方能力的一种模式,其实就是源于生活之下,取自于生活之中,用于真实环境之上;
国外流行——Red Team(红队)代表攻击方,Blue Team(蓝队)代表防守方
红队手法
钓鱼、水坑、供应链、社工、0day、Nday、WEB、RCE、隧道、近源、ATT&CK、逆向、溯源、应急。。。。。。
- 信息收集:企业机构、合作商、代理商、主域名、子域名、邮箱、、邮件服务器、IP地址段
- 外围打点:水坑、钓鱼、鱼叉、弱口令、边界设备、WEB、RCE
- 内网信息收集:拓扑图、账户信息、应用服务、数据库
- 内网权限提升:RCE、口令、域环境、设备、接口
蓝队手法
安全产品部署、关闭边界设备、检查弱口令、进程黑白名单、双因素认证、禁止powershell运行、日志分析、蜜罐配置、
熟悉网络分布、演练应急处置能力以及溯源追踪、更新对应策略、工作人员安全意识。。。。。。。。。。
过程
思考
建设
- 在企业里实行红蓝对抗,可以建立一套测试环境与生产环境相一致;毕竟生产环境中的业务不可以因为攻防而变成靶场,那会影响该企业的正常运转,业务的正常运行;给企业带来损失,这就得不偿失了;一个企业的建设初期需要进行渗透测试,去发现存在的和暴露的风险点,从而进行安全能力的建设,之后红蓝对抗发现安全体系中存在的缺陷;
- 购买相关的安全产品进行部署合适的位置,这样得到检测和发现存在的问题;甚至可提高安全防护能力;
- 推行SDL/DevSecOps的生命周期的安全过程,尽可能的将企业业务发展的各个阶段上引入安全的能力,来推动业务的运行,有些系统进行双因素认证,完善企业安全运营中心(SOC)的建设;
- 建立健全安全应急响应中心/SRC的设立,欢迎外部、内部的白帽子进行测试;
- 对于红蓝军的体系建设也是非常重要的,红军通过高级可持续渗透(APT)、网络攻击杀伤链(Cyber Kill Chain)或 ATT&CK等渗透攻击手段,蓝军一经发现就立即启动应急响应,最终复盘对黑客攻击行动中的防御体系的识别、加固、检测、处置等各个环节,发现薄弱位置并进行优化;
论-表述
就今年的形势而言,产品上存在着漏洞层出不穷,攻击方手握众多0day 犹如揣着炸弹一样,一颗下去直接game over了;社工的手法也是频频亮相,比如伪造身份、美人计策等等。
企业中一般都是办公网区、综合管理区、主机、数据库等等,而渗透测试和红蓝对抗所需要的技能树差不多,只是渗透测试关注安全漏洞(毕竟要用漏洞拿下目标),而红蓝对抗在关注安全漏洞的基础上,还关注行动过程中安全防御体系的有效性或者薄弱环节。
常态化
红蓝对抗是企业网络安全防御能力的试金石,企业建议开展常态化的攻防演练来不断完善对抗机制,从而提升演练效果,做好内部红蓝军队伍建设。以后呢,企业可进一步引入外部蓝军的力量来加大攻防的强度;建立并完善主动检出率、入侵发现率、对抗场景覆盖率、平均响应时间等指标来量化“红蓝对抗”的效果;通过演练强化安全事件研判分析、规范安全事件处置流程,对安全事件进行及时控制,形成快速处置和响应机制,从而进一步完善企业安全运营中心(SOC)的建设。
信息网络安全的本质——对抗,在网络安全“实战化、常态化、体系化”背景下,“红蓝对抗”可以帮助各个行业在网络安全建设中实现“攻击促防御、攻击促整改、实战促建设、实战促提升、实战促发展”的目标,达到网络安全中红蓝双方的相互促进,循环提升的效果,从而不断提高企业安全防护能力,加强信息安全。
参考链接:
https://www.secrss.com/articles?tag=%E7%BA%A2%E8%93%9D%E5%AF%B9%E6%8A%97
https://blog.csdn.net/nini_boom/article/details/106749452
https://www.sohu.com/a/303876596_822985
https://www.sohu.com/a/319485574_354899
https://www.secpulse.com/archives/107194.html
http://www.hackdig.com/?tag=%E7%BA%A2%E8%93%9D%E5%AF%B9%E6%8A%97
https://vipread.com/library/item/897
https://baijiahao.baidu.com/s?id=1669917755025951283&wfr=spider&for=pc
https://baijiahao.baidu.com/s?id=1667991318240548221&wfr=spider&for=pc
https://blog.csdn.net/weixin_46236101/article/details/108769541?utm_medium=distribute.pc_aggpage_search_result.none-task-blog-2~all~sobaiduend~default-1-108769541.nonecase&utm_term=%E7%BA%A2%E8%93%9D%E5%AF%B9%E6%8A%97%E7%9A%84%E6%84%8F%E4%B9%89&spm=1000.2123.3001.4430
http://www.xiaodi8.com/?cate=6
https://new.qq.com/omn/20201019/20201019A0EM9V00.html
http://hackdig.com/09/hack-143983.htm
