核心内容摘要
Lubute:点亮生活,连接世界,唤醒无限可能
红蓝对抗你懂得多少“HW行动”是国家应对网络安全问题所做的重要布局之一。
“HW行动”从2016年开始随着我国对网络安全的重视涉及单位不断扩大越来越多的单位都加入到HW行动中。
2024年HW行动就在眼前那么在实际网络安全对抗演练中蓝队防守方的工作是如何展开的呢名词科普对军事有所了解的朋友对红军、蓝军的用词应该不陌生对抗性的军事演习一般会设两个阵营分别叫红军和蓝军然后让双方对抗或演练攻防。
而在网络安全中红蓝对抗是红队和蓝队对抗蓝队是防守者红队则扮演类似黑客的攻击者角色有时候还要设置一个“紫队”承担组织工作。
蓝队目标只有一个那就是用实战攻击防守效果来回答你家企业存在多严重的网络安全问题。
企业的安全措施做得到不到位还有哪些漏洞能被利用这些过去平行世界才能知道的事现在交由红蓝对抗就可以告诉你。
01 写在前面在企业网络安全中攻防演练一直是至关重要的组成部分其通过模拟真实的攻击和防御场景令企业可以评估自身网络安全策略的有效性。
然而面对不断演进的攻击手法和攻击技术防御体系亦面临不断的新挑战。
为了应对这些挑战防守者必须摆脱对“银弹”的依赖采取综合性、全方位的防御策略。
在今年临近HW期间数默科技特别推出本系列内容以攻防演练为主题以蓝队全局的观察视角通过调研分析攻防演练及其发展趋势、蓝队防守工作的各个环节与要点、蓝队当前普遍的短板和蓝队防守新技术趋势四类抛砖引玉望能为读者在蓝队防御体系能力的提升中提供价值。
故而本系列文章旨在面向以下三类主要受众企业网络安全建设人员 攻防演练参演企业的安全团队 攻防演练蓝队技术人员从蓝队的一个全局观察视角来看攻防的路径千千万万于攻击方而言一个路径上攻击失败不代表整体攻击失败一个路径上防守成功也不代表整体防守成功。
安全的木桶效应始终存在只要有一条路径上的短板、脆弱点被攻击方利用没能及时防守可能就是全面的溃败。
然而由于安全厂商和企业间的业务关系的本质安全厂商的销售人员通常从自家产品和业务的角度去宣传这些因素通常导致蓝队的防御体系呈现一定的技术碎片化防御阵地分裂化的特征。
再叠加部分企业对安全防御体系和产品技术了解不深以及对网络安全短板的错误认知极易致使企业陷入盲目堆设备的误区从而影响防御体系的整体安全甚至引发严重的安全事件。
企业安全团队作为攻防演练的最终责任人必须深入了解整个演练流程和所使用的技术需要了解演练的设计、执行、评估及后续改进步骤掌握各种安全产品和工具的功能、特点及适用场景以便在演练中做出准确的决策和指导。
本系列文章以蓝队防御构建的观察者为视角不局限于某一厂商所提及的产品都是市场普遍采用并为笔者熟悉的。
通过全局审视攻防演练了解整体流程和新技术、新趋势甲方和蓝队技术人员可以更好地做好自己的工作确保企业的网络安全。
本篇文章作为第一期内容首先为大家讲述关于攻防演练的相关背景与历史发展让大家对这一概念掌握得更加熟悉。
02 关于攻防演练
1 攻防演练网络攻防演练是新形势下网络安全保障工作的重要组成部分演练通常是以实际运行的信息系统为保障目标通过有监督的攻防对抗尽可能的模拟真实的网络攻击以此来校验信息系统实际安全性和运维保障实际有效性网络攻防演练实际是军事用于网络空间站的扩展。
从国际上来看美国从2010年成立网络司令部并在2006年开始每2年组织一次代号为“网络风暴”的网络军事演习北约也有锁定轮排的网络安全演习从2002年开始实行我国从2014年开始建立中央网络安全和信息化领导小组2016年发布国家网络空间发展战略同年在国家有关的监督机构的推动下推行开展全国性的网络实战攻防演练。
2 攻防演练主体攻防演练由紫队、红队、蓝队三部分组成紫队为组织保障队红队为攻击队蓝队为防守队红蓝间的对抗成果提交至演习平台由紫队进行评审打分。
紫队以组织方为角色开展组织工作过程监控指导应急保障等以及最后演练
总结和最后优化建议。
红队攻击队通过模拟攻击实现系统提权控制业务获取数据等以及发现系统的薄弱环节通过这些攻击性的实验来综合提升系统安全性。
蓝队防守队一般是参演单位的网络防护体系为基础在演练期间组成的防守队伍。
3 攻防演练组织架构攻防演练由演习指挥小组负责演习工作总体指挥和调度由演习工作小组具体实施和保障攻防演练组织架构图如下演习指挥小组由组织单位相关部门领导和技术专家组成负责演习工作总体指挥和调度演习工作小组由演习指挥小组指派专人构成负责演习工作具体实施和保障攻击组红队由参演单位及安全厂商攻击人员构成负责对演习目标实施攻击防守组蓝队由各个防护单位运维技术人员和安全运营人员组成负责安全监测、应急处置等技术支撑组由演习组织方指定工作人员组成演习过程监控、基础环境保障网络、攻防平台等组织保障组由演习组织方指定工作人员组成在演习过程中协调和后勤保障相关事宜
4 攻防演练演习流程实战攻防演习的组织可分为组织策划阶段、前期准备阶段、实战攻防演习阶段和演习
总结阶段四个阶段实战攻防演练的一般工作流程可
总结为如下图组织策化阶段主要工作内容为建立演习组织、确定演习目标、制定演习规则、搭建演习平台以及设立应急保障措施总的来说就是由紫队进行的前期环境建设工作。
前期准备阶段主要是资源和人员的准备工作。
一是资源准备其涉及到场地、演习平台、演习设备、演习备案、演习授权、保密工作以及规则制定等二是人员准备包括攻击人员、防守人员的选拔、审核和队伍组建等。
实战攻防演习阶段包含演习开始、演习过程和演习结束三个主要阶段。
演习开始为演习组织方组织相关单位召开启动会议部署实战攻防演习工作宣布正式开始演习演习过程主要是红蓝对抗、成果提交、成果研判以及相关的支撑保障工作等演习结束以攻击者攻击的结束时间点为攻防演习阶段的结束。
演习
总结阶段包括演习恢复、演习
总结和整改建议三个环节。
演习恢复为演习结束需做好的相关保障工作如收集报告、清除后门、回收账户及权限、设备回收、网络恢复等工作以确保后续正常业务运行稳定演习
总结阶段主要包括由参演单位编写
总结报告评委专家汇总演习成果演习全体单位召开
总结会议演习视频编排与宣传工作的开展等整改建议阶段为演习组织方组织专业技术人员和专家进行复盘分析
总结经验教训并对不足之处给出合理整改建议为防守方提供具有针对性的详细过程分析报告随后下发参演防守单位督促整改并上报整改结果。
结合红蓝队需具体完成的任务项攻防演练整体可归纳为以下流程图
5 历史发展和最新趋势攻防演练的历史与发展自2016年发布国家网络空间发展战略并在国家有关的监督机构的推动下推行开展全国性的网络实战攻防演练始至今攻防演练也已逐步走向成熟归纳历年来攻防演练整体情况可大致分为起始阶段、步入正轨和成熟阶段三大阶段各阶段概述如下
年起始阶段–互联网内网边界
年刚开始推行开展全国性的网络实战攻防演练防守方便体系尚未建立难以良好完成资产梳理、暴漏面收敛等攻击方针对互联网及网络边界测发起攻击十分有效横向移动跨越攻击容易实现。
该阶段攻击者主要通过攻击互联网和内网的边界获取初始权限。
2018年步入正轨–精准攻击、供应链攻击2018年随着防守方对演练的熟悉进攻方难度有所增加但是还是收获颇丰。
该阶段攻击方主要通过精准攻击和供应链攻击获取权限。
年成熟阶段–0day、社工、供应链、子单位
年攻防演练常态化进行防守方安全设备及安全意识提高进攻方利用常规手段已经很难得分。
——0day、nday、社工、近源
年攻防演练的覆盖范围持续增大参演单位逐步下沉分子公司、市地级等二级以下的体系系统受攻击可导致整体失陷。
——0day、社工、供应链、子单位03攻击方一般的攻击流程和方法HW攻防演练的安全评价关注点已经从安全防护投入过渡到讲究实战效果拒绝纸上谈兵直接真枪实战。
攻击方一般目标明确、步骤清晰。
目标明确 攻击者只攻击得分项和必要路径外网入口内网立足点对这些目标采取高等级手段会隐蔽操作对非必要路径顺路控制下来的服务器并不怕被发现用起来比较随意甚至主动制造噪音干扰防守方。
步骤清晰 信息收集-控制入口-横向移动-维持权限-攻击目标系统。
企业护网安全保障是一个多层次、多方面的综合性任务涉及技术、管理、人员培训等多个环节。
以下是一些关键措施可以帮助企业加强护网安全保障04 攻防演练的最新趋势从
年的攻防演练实践看无论从演练规模还是攻击技术上看当前攻防演练都在不断升级迅速演进。
例如2016年攻击方法以传统应用系统攻击为主攻击手段相对单一。
但到了2020年攻击范围进一步扩大自动化攻击、武器化攻击越来越多大批量0day在演练中使用并且攻击范围也扩展到了安全设备自身各种高级实战的攻击手段也有所使用。
到了2023年由于防守方的资产梳理、暴漏面收敛工作技能愈加娴熟获取初始权限的难度再次提升攻击方0day、社工、供应链、子单位、信息泄露等各类手段齐上钓鱼手法层出不穷。
总结历年攻防演练手法结合2023年攻防演练的实战情况预计未来的攻防演练将呈现以下五大攻击趋势趋势一自动化攻击、武器化攻击越加明显在攻防演练中红队会对开源工具、泄漏工具、定制工具等进行整合构建自己的武器库。
通过武器库可快速高效的对各类0day、Nday漏洞进行探测利用。
除了漏洞探测利用工具外红队还会利用动态加密Webshell来穿透WAF防护绕过特征检测设备进行权限维持和跳板搭建。
趋势二针对人员和管理漏洞除了攻击应用漏洞之外红队还会探测蓝队在人员和管理上的漏洞弱口令、敏感信息泄露以及分子单位攻击。
如弱口令、网络遗漏备份文件等github代码泄露、敏感信息泄露等已经成为红队重点关注的对象。
趋势三供应链攻击防守方针对OA等开源应用及组件的0day/1day的防护仍然存在困难。
实战过程中红队会利用安全产品、OA、CMS、办公产品等开源应用及组件的0day/1day漏洞获取初始权限建立立足点。
攻击手法四社工钓鱼2023年红队的社工钓鱼玩出了更多的花样。
除了给相应的员工、外包人员发钓鱼邮件搭建钓鱼用的WIFI热点混入蓝队插U盘、种木马外红队还会发布虚假0day漏洞信息诱使防守者安装更新种马利用python及npm投毒等等。
攻击手法五0day攻击成为常态在攻防演练中0day攻击已成为常态由于0day漏洞能够穿透现有基于规则的防护技术被视为红队最为有效的手段之一。
此外需要注意的是由于安全产品的市场覆盖率的提高安全产品的0day漏洞同样成为红队最有价值的0day。
学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。