信息安全官

安进生物技术

丰富和广泛的信息安全领域工作经验。制药行业信息安全和隐私专家。具有超过15年的安全管理，安全战略，业务整合和安全团队运营经验。国内外论坛演讲嘉宾和圆桌特邀嘉宾，英国金融杂志Financier worldwide编辑委员，(ISC)²亚太信息安全领袖获奖者，IAPP亚太咨询董事会成员。

这周应邀继续写一篇有关于攻防演练的文章，笔者乍一看到“攻防演练”这个题目，其实觉得很难着手。因为攻防之道，其实就是红蓝对抗，能讲清楚红蓝对抗也不是个简单的事情。本文暂且把笔者对于攻防之道，红蓝对抗的理解分享给各位读者。

首先，我们先来讲讲什么是红蓝对抗。其实最早的红蓝对抗是应用在军事领域，演习是专指军队进行大规模的实兵演习，演习中通常分为红军、蓝军，演习多以红军守、蓝军进攻为主。类似于军事领域的红蓝军对抗，网络安全中，红蓝军对抗则是一方扮演黑客（蓝军），一方扮演防御者（红军）。

在国外的话，进行渗透攻击的团队经常称做红队，在国内称为蓝军实际上应该是比较准确的叫法 。而在新形势下，红蓝对抗变成了关键信息系统网络安全保护工作的重要组成部分。演习通常是以实际运行的信息系统为保护目标，通过有监督的攻防对抗，最大限度地模拟真实的网络攻击，以此来检验信息系统的实际安全性和运维保障的实际有效性。先来看看红蓝双方：

红队：攻击方

针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的攻击。

蓝队：防守方

安全防护策略和措施，加固和整改风险，对抗中进行网络安全监测、预警、分析、验证、处置和应急响应。

当然还需要一个紫队：组织方

紫队组织红队对实际环境实施攻击，组织蓝队实施防守。

如下图所示，红队开展攻击，蓝队部署防御。通过一个红蓝对抗的安全闭环，部署防御——风险预检——整改——事态监控——入侵识别——事件分析——应急响应——协同对抗——加固——部署防御，来开展和管理红蓝对抗的整个生命周期。

再回到现实世界看看中国目前的案例，红蓝对抗的发展也是历经了数个阶段。首先是从业余，零散逐步走向专业，集中。

2016年，网络实战攻防演习尚处于起步阶段，个别单位参与攻防演练过程，红蓝对抗侧重点仅是互联网入口与网络边界的探查。

2017年，实战攻防演习开始与重大活动的网络安全保障工作紧密结合，互联网侧发起直接攻击，并且攻击效果显著。

2018年，网络实战攻防演习开始向行业和地方深入，红队开始更多地转向精准攻击和供应链攻击等新型作战策略。

而到了2019年，网络实战攻防演习工作受到了监管部门、政企机构和安全企业的空前重视，普遍采用了0day漏洞攻击、身份仿冒、钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法。当然我们典型案例就是护网行动，近段时间你在路边看到有人坐在井盖旁，手里拿着电脑和联网设备，正在做着什么操作时...别担心，他们不是间谍，只是在护网行动。

所谓三板斧，就是三大绝招。红队第一步就是情报收集，其中包括了组织架构，IT资产，敏感信息和供应商信息等。第二步，建立据点，建立根据地，持续开展攻击。其中应用到了利用应用/系统漏洞，绕过防护，采用社会工程学，纵向渗透和持续化攻击等攻击手段。第三步，横向移动，遍历企业内部。具体包括内网探测，内网漫游，突破核心权限和获取核心数据。

相对的，蓝队的三板斧侧重于防守。第一招，备战布防，包括信息安全管理的各个象限。资产梳理，风险自查，整改加固，基线管控，应急预案和协同管理。第二招，实战对抗见真章，和红队操练着获取经验。实战需要真刀真枪的攻击和防守，需要分析研判，监测预警，情报协同，攻击链还原和抑制攻击。防守更难的是，如何知己知彼，因此分析，监控，共享情报才是百战不殆的基础。第三招，战后整顿，事后总结永远是正确的。我们更应该关注的是如何自查优化，安全复盘，整改隐患，嵌入意识培训和技术培训。

左边是红队，三人小组，安全厂商，执法组织或漏洞平台。右边是浩瀚无际的广大信息安全人力资源。其中有总指挥单位，安全运营团队，攻防专家，安全厂商，网络运维团队，应急小组，开发团队，IDC/云厂商和系统供应商。乍一看，红蓝人力完全不成比例，但是其实攻击的套路实在多，架不住流氓会文化。

当然，演习工作小组统筹领导整个红蓝对抗，里面分为攻击组，防守组，技术支撑组，监督评价组和组织保障组。组织单位总体把控，资源协调，专家评审，裁判打分。攻击队伍成立若干攻击小组，以竞赛或者合作的方式展开真实的网络攻击，发现安全漏洞，获得服务器权限。防守单位成立防守小组，实时监控网络，进行实时阻断，应急响应。但是所有的攻击防守都要在攻防演练平台上进行展示，进行可视化的展示，所有的攻击行为安全可控，攻击录屏加上视频监控。

再回到上文所说的攻击套路。

套路深，海底针。

红队视角的惯用攻击套路，第一，采用GSA策略。什么叫GSA策略? Get in, Stay in and Act的首字母缩写。Get-in，进入，Stay-in，进驻，Act，行动。Get-in包括了侦察，武装，执行，利用。Stay-in包括了安装和CC指挥控制。Act包括了基于目标采取行动。

第二，社会工程。

第三，新攻击思路之无人机和变装潜入。

第四，MITER ATT&CK

https://attack.mitre.org/

MITER ATT＆CK是基于现实世界观察结果的全球性对抗战术和技术知识库。ATT＆CK知识库被用作在私营部门，政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。通过创建ATT＆CK，MITRE通过将社区聚集在一起以开发更有效的网络安全，来履行其解决问题的任务，以实现更安全的世界。ATT＆CK是开放的，任何个人或组织均可免费使用。

第五，持续投入APT，APT（Advanced Persistent Threat）是高级持续性威胁，通俗一点APT其实就是红队的惯用攻击手段，这种攻击的精髓就是隐蔽低调持久有效，而且混杂在正常的行为和流量中，你中有我，我中有你，符合真正的黑客风格。再来看看APT攻击最重要的是什么，微软的这张图已经说得很明白了，APT攻击是和时间在赛跑的进阶攻击，作为蓝方，攻击是越早发现越好，一周内发现攻击和一个月后发现攻击将是天壤之别。

讲了这么多，当然不是说红队有这么多套路，就一定稳操胜券。其中应对红队套路的方法还是很多的，比如针对APT，蓝队有ATA，Advanced Threat Analytics (ATA) 是高级威胁分析，是蓝队分析和发现APT攻击的手段。

前面已经科普了APT，我们对APT再清晰一点的描叙，它是一种对进阶目标进行的持续性网络攻击和内部威胁，攻击一般分为恶意攻击和异常行为两种，恶意攻击是显性的，而异常行为是隐性的，蓝队的ATA就是针对这种高威胁的隐性异常行为进行发现和分析。

在国外，红蓝对抗学习平台已经悄然而出，威胁检测公司Endgam，根植着一对孪生观念：隐形和攻击。这与常见的信息安全观点恰好相反。后者常常把自己打扮成可视的、防护性的。

然而，Endgame相信，防护者应该正视现代化对手的攻击手段（隐形攻击），并应按需调整防御措施。因此ATA也是帮助我们针对这种高威胁的隐性异常行为进行发现和分析。当然本文是以红队视角来分析红蓝对抗，因为蓝队的套路需要各位看官自己摸索整理。前几个月，从360聂君总那边学习了一次攻防实战演习复盘总结，此文提出了五大要点：知彼；知己；防护关键点；事中和事后以及注意事项。此文甚好，可以一阅。

最后，总结一下，新形势下的攻防演练已经是红蓝对抗的完美体现，企业和组织必须要进行或者计划一次这样的实际攻防演习才能体现信息安全的价值，并且传递给到业务这些信号，让组织管理层认识到没有磨砺的安全是空中楼阁，没有检验的风险，也是不痛不痒。

2019.10.17 晚于家中

「推荐阅读」

三月主题：《数据安全面面观》

四月主题：《一个人的安全》

五月主题：《网络安全“值钱”吗》

七月主题：《社工记》

十月主题：《攻防演练实务》