红蓝对抗,你懂得多少?

红蓝对抗,你懂得多少?

“HW行动”是国家应对网络安全问题所做的重要布局之一。“HW行动”从2016年开始,随着我国对网络安全的重视,涉及单位不断扩大,越来越多的单位都加入到HW行动中。2024年HW行动就在眼前,那么在实际网络安全对抗演练中,蓝队防守方的工作,是如何展开的呢?

名词科普

对军事有所了解的朋友对红军、蓝军的用词应该不陌生,对抗性的军事演习一般会设两个阵营,分别叫红军和蓝军,然后让双方对抗或演练攻防。而在网络安全中,红蓝对抗是红队和蓝队对抗,蓝队是防守者,红队则扮演类似黑客的攻击者角色,有时候还要设置一个“紫队”,承担组织工作。

蓝队目标只有一个,那就是用实战攻击防守效果,来回答你家企业存在多严重的网络安全问题。企业的安全措施做得到不到位,还有哪些漏洞能被利用,这些过去平行世界才能知道的事,现在交由红蓝对抗就可以告诉你。

01 写在前面

在企业网络安全中,攻防演练一直是至关重要的组成部分,其通过模拟真实的攻击和防御场景,令企业可以评估自身网络安全策略的有效性。然而,面对不断演进的攻击手法和攻击技术,防御体系亦面临不断的新挑战。为了应对这些挑战,防守者必须摆脱对“银弹”的依赖,采取综合性、全方位的防御策略。

在今年临近HW期间,数默科技特别推出本系列内容,以攻防演练为主题,以蓝队全局的观察视角,通过调研分析攻防演练及其发展趋势、蓝队防守工作的各个环节与要点、蓝队当前普遍的短板和蓝队防守新技术趋势四类,抛砖引玉,望能为读者在蓝队防御体系能力的提升中提供价值。故而,本系列文章旨在面向以下三类主要受众:

企业网络安全建设人员
攻防演练参演企业的安全团队
攻防演练蓝队技术人员

从蓝队的一个全局观察视角来看,攻防的路径千千万万,于攻击方而言,一个路径上攻击失败,不代表整体攻击失败;一个路径上防守成功,也不代表整体防守成功。安全的木桶效应始终存在,只要有一条路径上的短板、脆弱点被攻击方利用,没能及时防守,可能就是全面的溃败。

然而,由于安全厂商和企业间的业务关系的本质,安全厂商的销售人员通常从自家产品和业务的角度去宣传,这些因素通常导致蓝队的防御体系呈现一定的技术碎片化,防御阵地分裂化的特征。再叠加部分企业对安全防御体系和产品技术了解不深,以及,对网络安全短板的错误认知,极易致使企业陷入盲目堆设备的误区,从而影响防御体系的整体安全,甚至引发严重的安全事件。

企业安全团队作为攻防演练的最终责任人,必须深入了解整个演练流程和所使用的技术,需要了解演练的设计、执行、评估及后续改进步骤,掌握各种安全产品和工具的功能、特点及适用场景,以便在演练中做出准确的决策和指导。

本系列文章以蓝队防御构建的观察者为视角,不局限于某一厂商,所提及的产品都是市场普遍采用并为笔者熟悉的。通过全局审视攻防演练,了解整体流程和新技术、新趋势,甲方和蓝队技术人员可以更好地做好自己的工作,确保企业的网络安全。

本篇文章作为第一期内容,首先为大家讲述关于攻防演练的相关背景与历史发展,让大家对这一概念掌握得更加熟悉。

02 关于攻防演练

2.1 攻防演练

网络攻防演练是新形势下网络安全保障工作的重要组成部分,演练通常是以实际运行的信息系统为保障目标,通过有监督的攻防对抗尽可能的模拟真实的网络攻击,以此来校验信息系统实际安全性和运维保障实际有效性,网络攻防演练实际是军事用于网络空间站的扩展。

从国际上来看,美国从2010年成立网络司令部并在2006年开始每2年组织一次代号为“网络风暴”的网络军事演习,北约也有锁定轮排的网络安全演习,从2002年开始实行,我国从2014年开始,建立中央网络安全和信息化领导小组,2016年发布国家网络空间发展战略,同年在国家有关的监督机构的推动下推行开展全国性的网络实战攻防演练。

2.2 攻防演练主体

攻防演练由紫队、红队、蓝队三部分组成,紫队为组织保障队,红队为攻击队,蓝队为防守队,红蓝间的对抗成果提交至演习平台由紫队进行评审打分。在这里插入图片描述
紫队:以组织方为角色,开展组织工作过程监控指导应急保障等,以及最后演练总结和最后优化建议。

红队:攻击队,通过模拟攻击实现系统提权,控制业务获取数据等,以及发现系统的薄弱环节通过这些攻击性的实验来综合提升系统安全性。

蓝队:防守队,一般是参演单位的网络防护体系为基础,在演练期间组成的防守队伍。

2.3 攻防演练组织架构

攻防演练由演习指挥小组负责演习工作总体指挥和调度,由演习工作小组具体实施和保障,攻防演练组织架构图如下:
在这里插入图片描述
演习指挥小组:由组织单位相关部门领导和技术专家组成,负责演习工作总体指挥和调度

演习工作小组:由演习指挥小组指派专人构成,负责演习工作具体实施和保障

攻击组(红队):由参演单位及安全厂商攻击人员构成,负责对演习目标实施攻击

防守组(蓝队):由各个防护单位运维技术人员和安全运营人员组成,负责安全监测、应急处置等

技术支撑组:由演习组织方指定工作人员组成,演习过程监控、基础环境保障(网络、攻防平台等)

组织保障组:由演习组织方指定工作人员组成,在演习过程中协调和后勤保障相关事宜

2.4 攻防演练演习流程

实战攻防演习的组织可分为组织策划阶段、前期准备阶段、实战攻防演习阶段和演习总结阶段四个阶段,实战攻防演练的一般工作流程可总结为如下图:在这里插入图片描述
组织策化阶段:主要工作内容为建立演习组织、确定演习目标、制定演习规则、搭建演习平台以及设立应急保障措施,总的来说,就是由紫队进行的前期环境建设工作。

前期准备阶段:主要是资源和人员的准备工作。一是资源准备,其涉及到场地、演习平台、演习设备、演习备案、演习授权、保密工作以及规则制定等;二是人员准备,包括攻击人员、防守人员的选拔、审核和队伍组建等。

实战攻防演习阶段:包含演习开始、演习过程和演习结束三个主要阶段。演习开始为演习组织方组织相关单位召开启动会议,部署实战攻防演习工作,宣布正式开始演习;演习过程主要是红蓝对抗、成果提交、成果研判以及相关的支撑保障工作等;演习结束,以攻击者攻击的结束时间点为攻防演习阶段的结束。

演习总结阶段:包括演习恢复、演习总结和整改建议三个环节。演习恢复为演习结束需做好的相关保障工作,如收集报告、清除后门、回收账户及权限、设备回收、网络恢复等工作,以确保后续正常业务运行稳定;演习总结阶段主要包括由参演单位编写总结报告,评委专家汇总演习成果,演习全体单位召开总结会议,演习视频编排与宣传工作的开展等;整改建议阶段为演习组织方组织专业技术人员和专家进行复盘分析,总结经验教训,并对不足之处给出合理整改建议,为防守方提供具有针对性的详细过程分析报告,随后下发参演防守单位,督促整改并上报整改结果。

结合红蓝队需具体完成的任务项,攻防演练整体可归纳为以下流程图:在这里插入图片描述

2.5 历史发展和最新趋势

攻防演练的历史与发展:

自2016年发布国家网络空间发展战略并在国家有关的监督机构的推动下推行开展全国性的网络实战攻防演练始,至今攻防演练也已逐步走向成熟,归纳历年来攻防演练整体情况,可大致分为起始阶段、步入正轨和成熟阶段三大阶段,各阶段概述如下:

2016-2017年:起始阶段–互联网内网边界

2016-2017年,刚开始推行开展全国性的网络实战攻防演练,防守方便体系尚未建立,难以良好完成资产梳理、暴漏面收敛等,攻击方针对互联网及网络边界测发起攻击十分有效,横向移动,跨越攻击容易实现。

该阶段攻击者主要通过攻击互联网和内网的边界获取初始权限。

2018年:步入正轨–精准攻击、供应链攻击

2018年随着防守方对演练的熟悉,进攻方难度有所增加但是还是收获颇丰。该阶段攻击方主要通过精准攻击和供应链攻击获取权限。

2019-2023年:成熟阶段–0day、社工、供应链、子单位

2019-2020年攻防演练常态化进行,防守方安全设备及安全意识提高,进攻方利用常规手段已经很难得分。——0day、nday、社工、近源

2021-2023年攻防演练的覆盖范围持续增大,参演单位逐步下沉,分子公司、市地级等二级以下的体系系统受攻击可导致整体失陷。——0day、社工、供应链、子单位

在这里插入图片描述

03攻击方一般的攻击流程和方法

HW攻防演练的安全评价关注点已经从安全防护投入过渡到讲究实战效果,拒绝纸上谈兵,直接真枪实战。攻击方一般目标明确、步骤清晰。

目标明确: 攻击者只攻击得分项,和必要路径(外网入口,内网立足点),对这些目标采取高等级手段,会隐蔽操作;对非必要路径顺路控制下来的服务器,并不怕被发现,用起来比较随意,甚至主动制造噪音,干扰防守方。

步骤清晰: 信息收集-控制入口-横向移动-维持权限-攻击目标系统。
在这里插入图片描述在这里插入图片描述
企业护网安全保障是一个多层次、多方面的综合性任务,涉及技术、管理、人员培训等多个环节。以下是一些关键措施,可以帮助企业加强护网安全保障:
在这里插入图片描述

04 攻防演练的最新趋势

从2016-2023年的攻防演练实践看,无论从演练规模还是攻击技术上看,当前攻防演练都在不断升级迅速演进。例如:2016年,攻击方法以传统应用系统攻击为主,攻击手段相对单一。

但到了2020年,攻击范围进一步扩大,自动化攻击、武器化攻击越来越多,大批量0day在演练中使用,并且攻击范围也扩展到了安全设备自身,各种高级实战的攻击手段也有所使用。

到了2023年,由于防守方的资产梳理、暴漏面收敛工作技能愈加娴熟,获取初始权限的难度再次提升,攻击方0day、社工、供应链、子单位、信息泄露等各类手段齐上,钓鱼手法层出不穷。

总结历年攻防演练手法,结合2023年攻防演练的实战情况,预计未来的攻防演练将呈现以下五大攻击趋势:

趋势一:自动化攻击、武器化攻击越加明显

在攻防演练中,红队会对开源工具、泄漏工具、定制工具等进行整合,构建自己的武器库。通过武器库可快速高效的对各类0day、Nday漏洞进行探测利用。除了漏洞探测利用工具外,红队还会利用动态加密Webshell来穿透WAF防护,绕过特征检测设备,进行权限维持和跳板搭建。

趋势二:针对人员和管理漏洞

除了攻击应用漏洞之外,红队还会探测蓝队在人员和管理上的漏洞,弱口令、敏感信息泄露以及分子单位攻击。如:弱口令、网络遗漏备份文件等,github代码泄露、敏感信息泄露等已经成为红队重点关注的对象。

趋势三:供应链攻击

防守方针对OA等开源应用及组件的0day/1day的防护仍然存在困难。实战过程中,红队会利用安全产品、OA、CMS、办公产品等开源应用及组件的0day/1day漏洞获取初始权限建立立足点。

攻击手法四:社工钓鱼

2023年红队的社工钓鱼玩出了更多的花样。除了给相应的员工、外包人员发钓鱼邮件,搭建钓鱼用的WIFI热点,混入蓝队,插U盘、种木马外,红队还会发布虚假0day漏洞信息,诱使防守者安装更新种马,利用python及npm投毒等等。

攻击手法五:0day攻击成为常态

在攻防演练中,0day攻击已成为常态,由于0day漏洞能够穿透现有基于规则的防护技术,被视为红队最为有效的手段之一。此外,需要注意的是,由于安全产品的市场覆盖率的提高,安全产品的0day漏洞同样成为红队最有价值的0day。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/412204.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【RPC基础知识】

定义 RPC(Remote Procedure Call) 即远程过程调用,通过名字我们就能看出 RPC 关注的是远程调用而非本地调用。 为什么要 RPC ? 因为,两个不同的服务器上的服务提供的方法不在一个内存空间,所以&#xff…

MVC与设计模式理解-lnmp学习之路

一、MVC 前言: MVC是一种应用架构模式,也可以说是一种业务架构或是一种应用设计思想,用于组织业务逻辑并分离代码的。 MVC组成结构是Model-View-Controller,Model是管控数据层,View是管控视图层,Controlle…

基于矢量光场的光学加工技术

欢迎关注GZH《光场视觉》 摘要:作为光的一个基本属性,偏振、振幅和相位提供的自由度对光场调控具有重要作用。具有空间结构偏振态、振幅和相位分布的矢量光场因其具有不同于传统光场的独特性质而被应用于诸多领域。近年来,时空分布特性更加丰…

合宙LuatOS开发板使用手册——Air700EAQ

EVB-Air700EL&700EY 开发板是合宙通信推出的基于 Air700EL&700EY 模组所开发的, 包含电源,SIM 卡,USB,PCB 天线等必要功能的最小硬件系统。 以方便用户在设计前期对 模块进 行性能评估,功能调试,软…

“面试宝典:高频算法题目详解与总结”

干货分享,感谢您的阅读! (暂存篇---后续会删除,完整版和持续更新见高频面试题基本总结回顾(含笔试高频算法整理)) 备注:引用请标注出处,同时存在的问题请在相关博客留言…

JavaScript 的进阶概念补充:V8 引擎的垃圾回收机制

JavaScript 的进阶概念补充:V8 引擎的垃圾回收机制 JavaScript 的垃圾回收机制在各大浏览器中实现有所不同,其中 V8 引擎(Google Chrome 和 Node.js 中使用的 JavaScript 引擎)尤为知名。理解 V8 引擎的垃圾回收机制,…

Linux_kernel简介01

--------------------------------------------------------- 力扣专题 --------------------------------------------------------- 一、嵌入式开发 1、ARM的历史 ARM原本含义(Acom RISC Machine)后来Acron公司独立出了ARM部门,成立了ARM公司(Advan…

消费电子钛时代到来!天工股份抢占发展高地,业绩爆发式增长、前景广阔

消费电子“钛时代”正加速到来。 27日凌晨,苹果正式定档iPhone 16系列新品的发布会日期。据悉,本次iPhone 16 Pro系列将全系标配钛金属中框,继续沿用并升级此前在iPhone 15 Pro系列上应用的钛金属材质。 回看去年9月秋季新品发布会&#xf…

VIVADO自定义 IP封装

简介 本章节主要针对VIVAO 2020.2版本做IP自定义封装,其中涉及到IP寄存器读写配置,自定义接口封装等介绍。 IP封装 IP标准自定义步骤一般有创建工程,封装IP,自定义内容,添加自定义库这4个步骤,下面…

音视频入门基础:WAV专题(6)——通过FFprobe显示WAV音频文件每个数据包的信息

通过FFprobe命令可以显示WAV音频文件每个packet(也称为数据包或多媒体包)的信息: ffprobe -of json -show_packets XXX.wav 输出如下: 其中: 1.codec_type:packet类型,表示该路流是视频还是音…

《机器学习》 基于GANs构建数字图像生成器

文章目录 引言生成对抗网络的基本原理生成对抗网络的数学表达生成对抗网络的应用生成对抗网络的挑战与优化生成对抗网络的实现示例结论:机器学习和ai技术的出现成为了C……SD……N 热榜的爹。 使用机器学习技术对热榜文章进行分析 引言 生成对抗网络(Ge…

macos USB外接键盘ctrl键绑定方法 解决外接USB键盘与mac键盘不一致问题

mac电脑外接USB键盘后我们需要修改一下 ctrl键的绑定后才符合我们的使用习惯,因为标准USB键盘和mac键盘上面的ctrl键是不一样的, mac上面的 command 键 对应我们USB键盘上面的 ctrl 键. 修改方法: 偏好设置 --> 键盘 点击修饰键 后 选择键盘里面选择 USB键盘 ,然后调换…

鸿蒙( Beta5.0版)开发实战:自定义TabBar页签

介绍 本示例主要介绍了TabBar中间页面如何实现有一圈圆弧外轮廓以及TabBar页签被点击之后会改变图标显示,并有一小段动画效果。 效果图预览 使用说明: 依次点击tabBar页面,除了社区图标之外,其它图标往上移动一小段距离。 实现…

【SpringCloud应用框架】GateWay网关

Spring Cloud Alibaba 之初识GateWay网关 文章目录 一、网关介绍二、网关对比三、GateWay基本概念:执行流程: 总结 一、网关介绍 在微服务架构中,一个系统会被拆分为多个微服务。如果没有网关存在,我们只能在客户端记录梅哥为服务…

第138天:内网安全-WinLinux内存离线读取Hashcat 破解RDPSSH 存储提取

案例一: 明文获取-Windows-内存读取&离线读取&RDP保存&Hashcat windows实验背景 微软为了防止明文密码泄露发布了补丁 KB2871997 ,关闭了 Wdigest 功能。当系统为 win10 或 2012R2 以上时,默认在内存缓存中禁止保存明文密…

leetcode60.不同路径

题目描述 一个机器人位于一个 m x n 网格的左上角 (起始点在下图中标记为 “Start” )。 机器人每次只能向下或者向右移动一步。机器人试图达到网格的右下角(在下图中标记为 “Finish” )。 问总共有多少条不同的路径? 示例 1: 输入:m = 3, n = 7 输出:28 示例 2:…

Mysql数据库当执行SQL响应比较慢,怎样排查及解决?

一 如果执行SQL响应比较慢,可能有以下四个原因: 1 没有索引或者是SOL没有命中索引,导致索引失效。 2 单表数据量过多,导致查询遇到瓶颈。 3 可能是网络原因,或者机器负载过高。 4 热点数据导致单点负载不均衡。 二 解…

11.STL

STL阶段 禁止复制 文本查询扩展作业解析 get_file函数的作用就是进行预处理操作&#xff0c;将文件中的每一行的内容放在shared_ptr<vector<string>> file里面进行存储&#xff1b;然后对每一个单词进行处理&#xff0c;将单词与行号放在map<string, shared_p…

linux 内核代码学习(七)

linux内核代码的研究中断了一段时间了&#xff0c;现在又重新开始了研究&#xff0c;个人觉得linux内核的学习是没有上限的&#xff0c;总是一个温故而知新的过程&#xff0c;是一个不断积累的过程。首先还是要先搭建一个方便自己学习和研究的平台&#xff0c;经过不断的尝试&a…

学习bat脚本

内容包含一些简单命令或小游戏&#xff0c;在乐趣中学习知识。 使用方法&#xff1a; 新建文本文档&#xff0c;将任选其一代码保存到文档中并保存为ASCII编码。将文件后缀改为.bat或.cmd双击运行即可。 一. 关机脚本 1. 直接关机 echo off shutdown -s -t 00秒直接关机。 2…