体系化、常态化、实战化的攻防演练的现状
- 实战攻防演练向规模化演变
我国实战攻防演练的发展分为两个阶段:第一阶段是试验阶段, 以学习先进实战经验为主,参演单位少,演练范围小;第二阶段是推 广阶段,实战演练发展飞速,参演单位数量暴增,演练走向规模化。
2016年《中华人民共和国网络安全法》的颁布,标志着我国的网 络安全攻防演练进入试验阶段。当年,我国在举行第一场实战攻防演 练后,迅速将网络安全实战演练推上日程,为日后发展打下了坚实基 础。在试验阶段,世界上著名的“网络风暴”“锁盾”等网络攻防演 练行动为我国实战攻防演练发展提供了参考。在各部门的高度重视 下,演练范围越来越广,参演单位数量和涉及行业逐年增多,我国实 战攻防演练开始走向规模化。时至今日,监管机构和各行业都已开展 了实战攻防演练,在实战演练中诞生了一大批网络安全尖兵。
- 演练规则向成熟化演变
随着国内实战攻防演练的规模逐渐扩大,演练规则也在逐年完 善,覆盖面更广,内容更贴合实战,在发展过程中渐渐成熟。从规则 设置看,数量逐年增加,规则进一步细化,要求更严。对攻击方而 言,要尽可能地找出系统中存在的所有安全问题,穷尽所有已知的攻 击方法,达到让终端、边界、目标系统失陷的目的;对防守方而言, 要进行网络安全监测、预警、分析、验证、处置等一系列工作,并在
后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全 防护措施提供优化依据。从具体内容看,规则制定紧贴网络安全发展 形势,向实战化倾斜。比如,针对APT攻击,要求防守方做到在攻击发 生后,不仅要保证损失降到最低,更要掌握是谁、通过何种方式进入 系统、做了什么。同时,针对网络安全“一失万无”的特性,除了保 护目标系统外,也要保证相关的业务安全运营,在演练中培养从业者 的全局意识。
- 演练频度向常态化演变
在监管部门、政企机构的高度重视下,实战攻防演练逐渐走向常 态化,影响力进一步扩大。一年一度的实战攻防演练周期逐渐拉长。 同时,更多政企机构开始利用攻防演练检测自身的网络安全能力,从 而为后续网络安全建设指路。网络攻击突破空间限制,攻击速度快, 随时可能发生。应实战要求,攻防演练对抗周期逐年拉长。在贴合实 战的攻防博弈中,防守方必须进行全天候、全方位的网络安全态势感 知,增强网络安全防御能力和威慑力。实战攻防演练成为政企机构网 络安全防御能力的常态化检查手段。只有打一遍,在攻防对抗中发现 问题并解决问题,才能针对特定问题进行建设规划,全面提升网络安 全能力。现在很多大型政企机构希望专业的网络安全服务商先做一次 实战攻防演练,之后再根据演练结果进行定制化的网络安全规划与设 计服务。只有不断进行网络攻防演练和渗透测试,才能不断提升安全 防御能力,从而应对不断变化的新型攻击和高级威胁。
- 攻击手段向多样化演变
随着演练经验的不断丰富和大数据安全技术的广泛应用,攻防演 练的攻击手段不断丰富,开始使用越来越多的漏洞攻击、身份仿冒等 新型作战策略,向多样化演变。
2016年,网络实战攻防演练处于起步阶段,攻防重点大多集中于 互联网入口或内网边界。从演练成果来看,从互联网侧发起的直接攻 击普遍十分有效,系统的外层防护一旦被突破,横向拓展、跨域攻击 往往都比较容易实现。
2018年,防守方对攻击行为的监测、发现能力大幅增强,攻击难 度加大,迫使攻击队全面升级。随着部分参与过演练的单位的防御能 力大幅提升,攻击队开始尝试更隐蔽的攻击方式,比如身份仿冒、钓 鱼Wi-Fi、供应链攻击、邮箱系统攻击、加密隧道等,攻防演练与网络 实战的水平更加接近。
2020年,传统攻击方法越来越难取得成效,攻击队开始研究利用 应用系统和安全产品中的漏洞发起攻击。比如:大部分行业会搭建 VPN(Vitual Private Network,虚拟私人网络)设备,可以利用VPN 设备的一些SQL注入、加账号、远程命令执行等漏洞展开攻击;也可以 采取钓鱼、爆破、弱口令等方式来取得账号权限,绕过外网打点环 节,直接接入内网实施横向渗透。
2021年,攻防对抗进一步升级,防守方攻击监测防护能力的大幅 提升以及攻防技术的快速提高,使得攻击队攻击成本和攻击难度也快 速提高。于是,攻击队开始大量使用社工攻击手段,从邮件钓鱼发展 到微信等多种社交软件钓鱼,甚至到物理渗透、近源攻击,力求有效 绕过防护壁垒,快速进入内网。网络安全实战演练是攻防对抗的过 程,攻击手段多样化的最终目的是提升网络安全防护能力,应对不断 变化的网络安全威胁。
- 安全防御向体系化演变
近几年的实战攻防演练充分证明,没有攻不破的网络,没有打不 透的“墙”。面对多样化的网络攻击手段,不能临阵磨枪、仓促应 对,必须立足根本、打好基础,用系统思维开展体系化的网络安全建 设。网络安全防护思路,急需从过去的被动防御走向主动防御。被动 防御可以理解为“事后补救”,采用隔离、修边界等技术方法,是局 部的,针对单点的,安全产品之间缺乏联动。这种“头痛医头,脚痛 医脚”“哪里出问题堵哪里”的防御思路,已经不再适应当前的网络 安全形势。主动防御可以理解为“事前防控”,将关口前移,防患于 未然。在实战演练后,应对现有安全架构进行梳理,以安全能力建设 为核心思路,重新设计企业整体安全架构,通过多种安全能力的组合 和结构性设计,形成真正的纵深防御体系。
蓝队
1.2.1 什么是蓝队
蓝队是指网络实战攻防演练中的攻击一方。
蓝队一般会针对目标单位的从业人员以及目标系统所在网络内的 软件、硬件设备执行多角度、全方位、对抗性的混合式模拟攻击,通 过技术手段实现系统提权、控制业务、获取数据等渗透目标,从而发 现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或 薄弱环节。
蓝队人员并不是一般意义上的黑客,黑客往往以攻破系统、获取 利益为目标,而蓝队则是以发现系统薄弱环节、提升系统安全性为目 标。此外,对于一般的黑客来说,只要发现某一种攻击方法可以达成 目标,通常就没有必要再去尝试其他的攻击方法和途径;而蓝队的目 标则是尽可能找出系统中存在的所有安全问题,因此蓝队往往会穷尽 已知的所有方法来完成攻击。换句话说,蓝队人员需要的是全面的攻 防能力,而不仅仅是一两项很强的黑客技术。
蓝队的工作与业界熟知的渗透测试也有所区别。渗透测试通常是 指按照规范技术流程对目标系统进行安全性测试;而蓝队攻击一般只 限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。渗透 测试过程一般只要验证漏洞的存在即可,而蓝队攻击则要求实际获取 系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用社 工手段(通过对人的诱导、欺骗等方法完成攻击),而蓝队则可以在 一定范围内使用社工手段。
还有一点必须说明,虽然实战攻防演练过程中通常不会严格限定 蓝队的攻击手法,但所有技术的使用、目标的达成都必须严格遵守国 家相关的法律法规。
在演练中,蓝队通常会以3人为一个战斗小组,1人为组长。组长 通常是蓝队中综合能力最强的,需要具备较强的组织意识、应变能力 和丰富的实战经验。而2名组员则往往需要各有所长,具备边界突破、横向拓展(利用一台受控设备攻击其他相邻设备)、情报搜集或武器 研制等某一方面或几方面的专长。
蓝队工作对人员的能力要求往往是综合性的、全面的,蓝队人员 不仅要会熟练使用各种黑客工具、分析工具,还要熟知目标系统及其 安全配置,并具备一定的代码开发能力,以便应对特殊问题。
蓝队演变趋势防守能力不断提升的同时,攻击能力也在与时俱进。目前,蓝队 的工作已经变得非常体系化、职业化和工具化。
1)体系化。从漏洞准备、工具准备到情报搜集、内网渗透等,蓝 队的每个人都有明确的分工,还要具备团队作战能力,已经很少再有 一个人干全套的情况了。
2)职业化。蓝队人员都来自专职实战演练团队,有明确分工和职 责,具备协同配合的职业操守,平时会开展专业训练。
3)工具化。工具专业化程度持续提升,除了使用常用渗透工具, 对基于开源代码的定制工具的应用也增多,自动化攻击也被大规模应 用,如采用多IP出口的自动化攻击平台进行作业。
从实战对抗的手法来看,现如今的蓝队还呈现出社工化、强对抗 和迂回攻击的特点。
1)社工化。利用人的弱点实施社会工程学攻击,是黑产团伙和高 级威胁组织的常用手段,如今也被大量引入实战攻防演练当中。
除了钓鱼、水坑等传统社工攻击手法外,蓝队还会经常通过在线 客服、私信好友等多种交互方式进行社工攻击,以高效地获取业务信 息。社工手段的多变性往往会让防守方防不胜防。
2)强对抗。利用0day漏洞、Nday漏洞、免杀技术等方式与防守方 进行高强度的技术对抗,也是近一两年来蓝队在实战攻防演练中表现 出的明显特点。蓝队人员大多出自安全机构,受过专业训练,因而往 往会比民间黑客更加了解安全软件的防护机制和安全系统的运行原 理,其使用的对抗技术也往往更具针对性。
3)迂回攻击。对于防护严密、有效监控的目标系统,正面攻击往 往难以奏效。这就迫使蓝队越来越多地采用迂回的攻击方式,将战线 拉长:从目标系统的同级单位和下级单位下手,从供应链及业务合作方下手,在防护相对薄弱的关联机构中寻找突破点,迂回地攻破目标 系统。
参考资料
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南
体系化、常态化、实战化的攻防演练的现状相关推荐
- 攻防演练实战派|专题合集之攻防演练全流程
攻防演练实战派-不要"演"就是"干"专题已经连续更新五期了,如果您也跟随我们的时间安排进行了备战准备,相信您也已经可以"安心待战"了吧! 我 ...
- 我国实战攻防演练的发展现状
实战攻防演练的发展现状 实战攻防演练向规模化演变 我国实战攻防演练的发展分为两个阶段:第一阶段是试验阶段, 以学习先进实战经验为主,参演单位少,演练范围小:第二阶段是推 广阶段,实战演练发展飞速,参演 ...
- 爱奇艺攻防演练平台的探索实践(文末有直播福利)
在程序员的江湖里,流传着一些经典的老梗: 编程第一法则:如果代码莫名运行成功了,那就别动了~ 架构第一法则:稳定运行多年的老系统,千万不要碰~ 图片来自网络 初入行的程序员们接受前辈的洗礼,将如上的法 ...
- 红蓝攻防演练怎样构建实战化网络安全防御体系
笔者简介 团队以攻防技术为核心,在云端大数据支撑下聚焦威胁检测和响 应,具备咨询规划.威胁检测.攻防演练.持续响应.预警通告.安 全运营等一系列实战化服务能力,是一支能够为客户提供全周期安全 保障服务 ...
- 解码2022中国网安强星丨注重攻防实战化验证,长亭以安全原子能力打造体系化安全
科技云报道原创. 由中国网络安全产业联盟(CCIA).科技云报道共同主办的"解码2022中国网安强星"活动正式拉开帷幕.本次活动以"网安力量 照见未来"为主题, ...
- 红蓝攻防构建实战化网络安全防御体系
红队 什么是红队 红队,是指网络实战攻防演练中的防守一方. 红队一般是以参演单位现有的网络安全防护体系为基础,在实战 攻防演练期间组建的防守队伍.红队的主要工作包括演练前安全检 查.整改与加固,演练期 ...
- 攻防演习防御体系构建之第三篇之建立实战化的安全体系
文章目录 建立实战化的安全体系 0x01 完善面对实战的纵深防御体系 0x02 形成面向过程的动态防御能力 0x03建设以人为本的主动防御能力 0x04 基于情报数据的精准防御能力 0x05 打造高效 ...
- 怎样建立立体化实战化的安全防御体系
安全的本质是对抗.对抗是攻防双方能力的较量,是一个动态的 过程.业务在发展,网络在变化,技术在变化,人员在变化,攻击手 段也在不断变化.网络安全没有"一招鲜"的方式,只有在日常工作 ...
- 持安科技CEO何艺:零信任在实战攻防演练中的价值
当我们7.8月份在安全圈聊的火热时,我们可能在聊什么?面对这逐渐升温的国家级大事件,零信任如何应对? 2022年7月8日,持安科技创始人&CEO何艺受邀参加网络安全行业门户FreeBuf举办的 ...
最新文章
- 零起点学算法02——输出简单的句子
- [转]数据库建立索引的一般依据
- H264码流中SPS PPS
- PHP合并数组的方法
- 如果遇到Hadoop集群正常,MapReduce作业运行出现错误,如何来查看作业运行日志(图文详解)...
- php虚拟主机和服务器吗,php虚拟主机和服务器吗
- Host XXX is not allowed to connect to this MySql 远程连接
- XDebug分析php代码性能
- linux有没有递归函数,递归函数
- 如何查看mysql的gtid_汇总丨MySQL GTID技术点,看这一篇就够了!
- 第五节:Task构造函数之TaskCreationOptions枚举处理父子线程之间的关系。
- 中国剧本推理市场洞察2021
- Stanley-系列一
- [二分搜索|快速选择] leetcode 4 寻找两个正序数组的中位数
- AngularJS中ng-options简单用法及预选项失败的原因
- Anroid开发中常用快捷键
- 全新定义!免费开源ERP平台如何玩转工业互联网
- newsgroup_txt
- 计算机系统最重要的是什么,操作系统最重要的两个作用是什么
- 人的一生要疯狂一次,无论是为一个人,一段情,或一个梦想
热门文章
- 企业为什么要做积分兑换商城系统,怎么做呢?
- 如何做数据平滑迁移:双写方案
- 2023年一月份图形化四级打卡试题
- windows中文件夹有小锁是什么意思,文件夹小锁怎么去掉
- 全球及中国PTA(纯对苯二甲酸)市场竞争力及投资可行性分析报告2022~2028年
- 国外企业邮箱购买哪个好,企业邮箱最全使用指南
- java.lang.OutOfMemoryError: GC overhead limit exceeded解决办法
- 基于Pycharm的Django学习 —— 项目实战(Form和ModelForm)
- 品牌在社交电商领域的痛点
- MySQL insert ignore/ update ignore 不只用来忽略id重复