红蓝对抗的概念最早来源于20世纪60年代的美国演习,演习是专指军队进行大规模的实兵演习,演习中通常分为红军、蓝军,其中蓝军通常是指在部队模拟对抗演习专门扮演假想敌的部队,与红军(代表我方正面部队)进行针对性的训练,这种方式也被称作Red Teaming。 网络安全红蓝对抗的概念就源自于此。红军作为企业防守方,通过安全加固、攻击监测、应急处置等手段来保障企业安全。而蓝军作为攻击方,以发现安全漏洞,获取业务权限或数据为目标,利用各种攻击手段,试图绕过红军层层防护,达成既定目标。可能会造成混淆的是,在欧美一般采用红队代表攻击方,蓝队代表防守方,颜色代表正好相反。
比较有影响力的演习有“锁盾”(Locked Shields)、“网络风暴”等。其中“锁盾”由北约卓越网络防御合作中心(CCDCOE,Cooperative Cyber Defence Centre of Excellence)每年举办一次。“网络风暴”由美国国土安全部(DHS)主导,2006年开始,每两年举行一次。 和APT攻击相比,攻防演习相对时长较短,只有1~4周,有个防守目标。而APT攻击目标唯一,时长可达数月至数年,更有隐蔽性。
企业网络蓝军工作内容主要包括渗透测试和红蓝对抗,这两种方式所使用的技术基本相同,但是侧重点不同。 渗透测试侧重用较短的时间去挖掘更多的安全漏洞,一般不太关注攻击行为是否被监测发现,目的是帮助业务系统暴露和收敛更多风险。 红蓝对抗更接近真实场景,偏向于实战,面对的场景复杂、技术繁多。侧重绕过防御体系,毫无声息达成获取业务权限或数据的目标。不求发现全部风险点,因为攻击动作越多被发现的概率越大,一旦被发现,红军就会把蓝军踢出战场。红蓝对抗的目的是检验在真实攻击中纵深防御能力、告警运营质量、应急处置能力。
核心资产清单业务系统资产设备资产外包/第三方服务资产历史遗留资产
业务系统名称业务系统类型服务器类型域名/IP地址服务端口版本系统部署位置开发框架中间件数据库责任人维护人员
设备名称设备版本号固件版本号IP地址部署位置责任人维护人员
厂商联系方式系统名称系统类型IP/URL地址部署位置责任人维护人员厂商联系方式第三方值班人员
基础设施风险帐号权限梳理互联网风险排查收敛攻击面
明确授权范围、测试目标、限制条件等报备与授权流程行动成本与预算
备案的时间区间内备案的目标范围内备案的攻击IP与网络环境
恢复所有修改移除所有持久化控制提交攻击报告与改进建议