核心内容摘要
Git 配置用户名和邮箱 - 完整使用指南
什么是红蓝对抗我们现在所处的时代有人称为网络时代有人称为信息时代也有人称为数据时代不管名字怎么叫吧我想有一件事已经成为了共识那就是我们的安全观念得要跟上时代发展。
都知道重要的东西需要好好保管以前都怎么保管呢找一只牢靠的保险柜重重锁上然后再安装厚厚的防盗门如果条件允许的话最好再在屋里养一只恶犬这样不敢说万无一失至少大家尽了努力。
但在当下这个时代这种观念过时了。
计算机和网络给我们的生活和生产带来空前便利的同时也带来了空前的风险。
我们看电影大片间谍要偷个文件什么的非常费劲又是跳飞机又是钻车底最后还要耍杂技一般躲过各种感应器一个不留神就满世界冒红灯观众光是看就能把肾上素都拉满了。
但现实中可能完全是另一种画面“小偷”一点人身风险也不需要冒舒舒服服地坐在人体工学椅上吹着冷气敲几下键盘就把事办了这种小偷我们也不陌生那就是黑客。
近年总有圈内的同学会感慨黑客也物化了不像过去那么纯粹我倒是觉得这也是时代的必然。
最开始大多数黑客确实是把技术当作爱好不断追求技术上的突破喜欢分享和“炫技”。
但随着网络时代、数据时代的来临网络数据承载了越来越多有价值的东西同时网络攻击可以造成的损害越来越大。
技术的可用武之处越来越多了学技术的人动机自然五花八门大家自然也就把技术捂得严严实实。
打个形象一点的比方二十年前我黑了你的电脑顶多也就偷偷QQ密码现在完全可以让你前段时间的工作成果付诸东流甚至一夜之间身败名裂。
这类事件时常会上新闻对于企业就更不用说了2018年Facebook发生数据泄露公司市值一下蒸发360多亿美元现在还改了名字我想多少也有挽救公司形象的考虑在里面。
01 安全何价当然了有人说会被“黑”的那都是安全意识不好的企业我们企业装了高档防火墙还搞了内外网隔离重要数据都存在内网里除非有内鬼配合不然黑客再厉害也无计可施。
这句话乍一听很有道理但我们后面马上就要介绍的**“内网横向移动”**就是专治这种不服。
这里想先讨论另一个困扰网络安全的急迫问题这就是认识问题。
说到网络安全意识近些年我们确实有了长足的进步各方都在不遗余力地宣传安全圈的同学应该都很熟悉国家每年都会举办网络安全宣传周企业也基本都认识到防火墙和防盗门一样是不可或缺的必要开支。
不过认识到网络安全重要是一回事时刻认识到网络安全重要是另一回事。
但是还有一个问题那就是**怎么衡量安全的价值。
**我们都说安全是无价的但安全服务是有标价的要购买安全设备要聘请安全人员提供服务都是走的市场化渠道都需要企业实打实地掏出真金白银。
所以企业一定也都会去想两个问题一个是想我应该掏多少钱来“买安全”的问题一个是买了以后又要想钱花得值不值的问题。
一旦企业开始思考安全的价值问题马上就会发现另一个悖论安全的价值必须通过问题来体现。
简单来说我是一家企业我今年在安全方面花了三百万到了年底发现风平浪静啥事没有那么做
总结的时候我到底该说自己是赚翻了还是当了冤大头这谁说了算谁说都不算科学实验讲究控制变量我们不妨设想有个平行世界在那个世界中这家企业没花这三百万结果遭受网络攻击一下损失两千万而且还只是直接经济损失至于事件对企业形象造成的负面形象不但影响深远而且损失难以估算二者一比较结论很明显我这三百万简直赚翻了。
但是问题难就难在没有那么一个可供比较的平行世界。
再加上网络安全往往又有另一大特性那就是要么不出事要么出大事无论哪一种情况都容易会让企业的决策者感觉在安全方面的投入打了水漂。
02 红蓝对抗接下来我想聊聊红蓝对抗。
红蓝对抗从不同角度可以有很多种聊法不过我想顺着上面的问题谈谈我自己的思考。
为什么安全会非得这么被动呢因为别无他法。
网络安全天然就划分成攻方和守方而无论什么领域守方天然就带有被动性。
更严重的被动性是守方心理上的被动性。
对于大部分企业来说安全是无法直接创造利润的是一个纯花钱的项目。
既然是“花钱买平安”企业的高层甚至其它部门肯定有很多的人心里想的不是网络安全有多重要公司应该加大在安全方面的宣传和投入而是对于安全部门守住了那叫你的本分守不住那是你的责任。
外人很难了解攻方的对抗有多激烈自然很难承认安全部门的努力和成绩。
这种心理上的被动性毫无疑问会造成更多消极的影响。
有一个很熟悉的词可以形容这种感觉那就是憋屈。
守方不是天然就得憋屈呢不是历史上就有很多一守成名的历史人物。
不过首先得有一个前提那就是大家都承认眼前存在危机。
挽狂澜于既倒扶大厦之将倾首先得让大家明白眼下已经到了狂澜既倒、大厦将倾的时候然后守住就能守出名堂。
但是网络安全又往往具有隐蔽性别说是事发之前哪怕是事发以后很多企业还是在新闻头条上刷到了自己的名字才惊讶地发现自己出现了安全问题。
迟了太迟了当企业认识到自己的安全存在大问题的时候往往也意味着接下来要进入各个部门互相扯皮踢皮球的环节。
有没有办法转化网络安全的这种被动性至少让公司在做明年网络安全预算的时候要钱的理直气壮掏钱的也心甘情愿呢我想那就是红蓝对抗。
说到红蓝对抗就要说说蓝军。
早些年“蓝军”还是个比较陌生的词近年我接触过一些企业知道不少已经组建了自己的蓝军队伍企业内部自己就搞起了红蓝对抗。
那么什么叫蓝军红蓝对抗又能怎样转化网络安全的被动性呢对军事有所了解的同学对红军、蓝军的用词应该不陌生对抗性的军事演习一般会设两个阵营分别叫红军和蓝军然后让双方对抗或演练攻防。
过去红军蓝军是为了搞演习临时设置的角色后来慢慢演化出职业蓝军人称专业“打脸”部队。
解放军的“朱日和”军演就有一支专业的蓝军部队据说不少平时浓妆艳抹的红军部队在朱日和被狠狠地卸了妆大家都憋着一股怒气要“踏平朱日和活捉满广志”。
不过蓝军打脸不是为了让红军丢脸重点还是评价水平和暴露问题。
在网络安全中红蓝对抗是红队和蓝队对抗红队是防守者蓝队则扮演类似黑客的攻击者角色有时候还要设置一个“紫队”承担组织工作。
蓝队目标只有一个那就是用实战攻击回答你家企业存在多严重的网络安全问题。
企业的安全措施做得到不到位还有哪些漏洞能被利用这些过去平行世界才能知道的事现在交由红蓝对抗就可以告诉你。
03 蓝队养成计划有同学可能要问我家企业会定期做渗透测试是不是可以替代红蓝对抗呢还真不行。
不同企业对渗透测试的理解不一样不过基本遵循一个大原则那就是点到为止。
虽然渗透测试很多都自称是要以黑客的角度审视企业安全问题不过流程走到发现漏洞也就差不多了毕竟渗透测试也是服务也受服务条款的约束很多企业都会要求渗透测试不得影响主营业务这个看起来理所当然的要求其实免不了会导致渗透测试束手束脚。
当然更关键的还是钱。
但是黑客这边有一个特点那就是“路子野”人家可没什么服务条款约束目标只有一个那就是偷最值钱的东西或者造成最大的破坏出发点不一样效果也就截然不同。
再加上网络安全领域木桶效应明显而你家企业最短的那条木板可能不是技术而是人技术看来牢不可破的认证体系黑客发封钓鱼邮件就全搞掂了。
类似场景下的安全问题往往需要红蓝对抗才能充分暴露出来。
最后说一点蓝队怎么培养的问题。
其实这个问题很简单黑客怎么培养蓝队就怎么培养二者越像效果越好。
譬如说蓝队应该怎样开展攻击呢很简单黑客怎么攻击你就怎么攻击你就是挂了工牌的黑客。
说到黑客我想多说两句。
有人说黑客是坏人有人说黑客是牛人也有人说黑客是道德败坏的技术牛人。
我不想标签化地描述这个人数相当可观的群体黑客所使用的技术五花八门这里不妨简称为黑客技术技术是中立黑客技术也不例外就好比菜刀有人用菜刀来切菜也有人用菜刀来伤人我们可以把这些人都被笼统地称为“拿菜刀的人”而黑客也不过就是“使用黑客技术的人”。
说到黑客技术自然就说到另一个问题。
现在有黑客角色的影视作品越来越多我能理解编剧为了凸显角色的不同非要给剧里的黑客安排一些怪异的癖好但这也很容易让外人产生一个误解觉得黑客都是一群怪人非要用野路子才能培养。
这是不对的前面已经说了黑客技术也是技术是技术就能学习掌握只要方法适当普通人也能学会黑客技术再说了我知道不少黑客也追剧呢你说这群人是普通人还是怪人04 蓝队如何攻击蓝队是怎样攻击的呢一般分四个阶段准备阶段、信息收集阶段、外网突破阶段和内网横向移动阶段。
这个过程看起来和渗透测试挺像的实际上也确实是八九不离十但差就差在那一二上。
准备阶段和信息收集阶段很简单就是你要拉起一支队伍准备好相关的工具设备然后收集要攻击目标的各类信息也俗称“踩点”。
接下来就是外网突破阶段首先肯定是要发现一些漏洞渗透测试做到这一步基本就可以收工了但对于蓝队来说这只是开始。
渗透测试好比是博物馆聘请的安全检查组检查组的任务是发现安全隐患比如说检查发现二楼排气口的铁栅栏生锈了他就会在报告中记录这件事然后建议尽快更换检查组的任务也就到此为止。
但是黑客不同黑客好比是小偷他也发现铁栅栏生锈了不过铁栅栏生锈对小偷来说毫无价值所以他就会接着琢磨怎么利用生锈的铁栅栏制造机会溜进博物馆然后七拐八拐偷了馆里最值钱的那颗宝石。
这也是蓝队要做的事。
蓝队发现了外部漏洞首先要想的同样是怎样利用外部漏洞进入内网然后在内网的各个节点中来回跳跃直到达到存储了重要数据或者运行了重要系统的那个节点。
这个过程也称为“内网横向移动”。
黑客也好蓝队也好都需要保持一颗“总想要溜进去偷点什么”的心。
我们上面说的差那一二就差在这一点上。
有些企业自身防护确实做得不错光从企业自身很难发现漏洞对于渗透测试来说出一份漂亮的报告工作也就可以告一段落。
但对于蓝队来说这仍然是一个需要攻克的问题。
电影里经常也能看到类似的情节敌方总部防守严密主角想要溜进去怎么办呢藏在送饭菜的车队里面。
在网络安全里这叫“供应链攻击”。
说实话黑客入侵红蓝对抗也罢除了需要掌握各种工具方法还需要很多灵光闪现的创作这是技术也是艺术。
毕竟军事里面有句话叫“出其不意攻其不备”这句话放在这里同样适用网络安全不是比力气想要取得最大的攻击效果就要找到防守者意想不到的地方。
这种既有技术又有艺术的领域层次不够讲不清楚层次够了又基本都是大牛容易嫌麻烦。
学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。