红与蓝,攻防与HW
从2020年始至2022年,安在新媒体连续三年发布《中国网络安全产品用户调查报告》(下文简称“报告”),该报告最大特点为“基于用户,取之用户,利于用户”。有幸得益于网安业内人士的赏识与抬举,让报告在网安领域拥有“大众点评”的美誉。
今年6月,该报告第三版正式发布。问世之后,很快引发诸多争议。“横看成岭侧成峰,远近高低各不同”。每个人的视角与立场不同,所以看待报告也能得出不同的观点与结论。对此,他们完全可以理解,并对诸多争议观点进行了思考与总结。
为了阐释许多读者的疑惑,解答众多争议,他们特别邀请平安壹钱包信息安全架构师杨文韬,七牛云网络安全负责人朱士贺,斗象科技蓝队安全专家张贵卿,斗象科技红队安全专家黎侑霖,安在新媒体合作人及安在新榜出品人张威,齐聚线上直播分享。本次直播由安在创始人张耀疆主持。
张威介绍到,今年安在发布的报告对技术架构安全、数据安全、物流安全、工控安全、信创安全和安全服务等方面的产品进行了分类。其中,安全意识和红蓝对抗的产品服务增长速度很快。实际上,红蓝对抗服务在前几年还并不算热门,但从今年的报告来看,甲方企业对红蓝对抗服务的关注度持续增高。
张耀疆表示,中国网络安全产品用户调查报告到今年已经发布了三期,与前两年相比,今年的报告品类更加丰富。在安全服务方面,除了传统的渗透测试和安全评估,还多出了与红蓝对抗相关的攻防实训、代运营、靶场等等。在他的印象里,红蓝对抗是一个“奢侈品”,只有少数大的金融企业或互联网企业才能负担得起,可现在,非常多的企业已经具备了红蓝对抗的概念,即便无法配齐整个团队,依然还会进行相应的尝试。为什么会出现这种情况?与传统的渗透测试和应急响应相比,红蓝对抗的价值是什么呢?红蓝对抗到底需要做哪些事情?
对此,张贵卿表示,斗象安全作为国内领先的网络安全、数据智能与安全运营提供商之一。斗象安全于2021年完成了以中国电科为代表的国家级产业及政府资本的D轮融资,也正式融入了国家队。目前,斗象旗下的产品主要分为几方面包括智能安全、漏洞盒子、安全众测及安全运营平台。在漏洞盒子方面,斗象的主要客户聚焦在金融、互联网以及政府。斗象多次支援上海市的安全工作,并参与制定了多项网络安全国标和行业标准。
目前,我国正处于HW阶段,无论甲方还是乙方都在摩拳擦掌,严阵以待。最初,企业的安全建设主要是以合规驱动,而随着HW的展开,企业已经转化成实战型驱动。无论甲方和乙方都在积极响应政府的正南侧,在优化夯实自身业务矩阵的同时,也不断朝着红蓝对抗布局。
关于斗象在蓝队防御方面的主要服务内容,张贵卿表示,斗象作为服务的供应商,会和客户一起并肩作战参与防守。从服务的角度来讲,斗象往往会去客户现场,帮助客户对安全设备进行监控值守,同时还会对安全流量进行研判分析、溯源反制以及应急响应等。
除了服务,还有相关的产品。PRS全流量分析是斗象在攻防领域的产品。这款产品可以通过人工智能的算法防止0day的攻击,通过全流量设备的分析帮助客户加强防御,并且该产品还自带蜜罐用来协助溯源。除此之外,还有斗象自研的PVP对抗蜜罐,可以有效防止社工钓鱼。近年来,社工钓鱼成为红蓝对抗的主要攻击手段,HW开始前一般都会进行大面积的钓鱼,尤其是现在各企业的安全防护能力越来越强大,企业员工的安全意识就成为了主要突破口。目前,社工钓鱼已经不在局限于邮件,变得越来越精准。举个例子,通过知名的招聘平台或短视频平台获取到HR的联系方式,伪造身份与HR取得联系,在建立信任之后,诱导对方点击链接或运行恶意软件。另外,还可以通过某办公软件,引导对方添加该软件的账号,然后通过办公软件带出的流量获取到对方的虚拟桌面,最终打入内网。
杨文韬表示,平安壹钱包是平安旗下的一家非银支付的企业,接受人行的强监管,因此对安全的重视和投入始终维持在比较高的水平。近年来,随着监管力度和要求的提升,企业在安全建设的投入也水涨船高,无论是产品还是服务都有很高的投入。壹钱包背靠平安集团,而平安集团本身就具备红蓝对抗的能力,即银河实验室。银河实验室会对平安集团的所有下属公司常态化进行红蓝对抗,高度类似HW,在这种情况下,平安及下属公司在安全和对抗方面的能力有了很强的提升。他们也组建了专门的包小蓝,即壹钱包小蓝军(攻击团队),同银河实验室展开长期深度的合作,目的是共同进步,同时吸取对应的攻防能力。
今年与银河实验室合作后,壹钱包引入了与之相似的独立攻防环境,与生产网、办公网物理隔离,并配备了完善的攻防工具和审计措施,同时还引入了流程、制度、知识库等等,今年上半年已经完成了一次非常成功的联合攻防演练。从他的视角来看,目前社工的确是最大的突破口,人的因素制约着安全无法保证万无一失。在攻防方面,壹钱包会选择继续同集团一起进一步提升企业的安全能力。然而有许多企业其实并没有集团可以依靠,那么如果有乙方的企业具备这样的能力,能够提供给这些甲方企业的话,或许会是未来攻防服务需求的一个发展方向。
朱士贺表示,七牛云的目前的主要业务是云储存、视频直播、CDN和云计算。随着国家的进一步重视、网络攻击形式的日趋纷杂,整个网络安全行业得到了一个比较大的提升,在攻防方面,HW的进一步推动使企业纷纷加入到红蓝对抗的阵列中。但事实上,很多企业无法和壹钱包一样能够背靠大集团,因此,安全能力就需要逐步积累,不单单是技术方面,企业自身的弱口令、权限及资产管理都需要一定的积累。所以,即便是请到很厉害的安全人员也无法一步到位的提升企业安全能力,这种积累过程往往需要两年以上。
员工安全意识往往是企业永远补不齐的短板,尤其在离职和新进员工这方面,稍有不慎就会造成安全缺口。针对攻防能力和系统化模型,他们通过对Freebuf和安在上由安全人士所写的专业文章进行分类,通过行业性的经验实现攻防能力评估和系统模型。这里还包括事件检测、事件响应、攻击防御等能力。在红蓝对抗方面,他们尽可能模拟黑客攻击或外部有组织的攻击进行模拟对抗,结果是很好的,相比之前的渗透测试,他们的安全对抗能力已经提高了一个层次,并且他们设置了一些规范,规定了攻防双方可采取和不可采取的手段,在保障真实的同时,最大化保障企业攻防能力的检验结果。
对系统的影响,他们做了最小化的评估,同时还总结了不同黑客的攻击特点,确保他们所掌握的信息能够及时和互通。实际上,七牛云还不具备成体系的红蓝队伍,对此,他们一边在内部培养,一边进行外部招聘,同时在内部提升员工的安全意识,并和厂商或甲方进行合作,逐步形成一个体制。
朱士贺表示,红蓝双方的培养体系有不同也有交叉。双方都要对漏洞和攻击技术有一定的了解,但防守方要熟练掌握安全设备,攻击方要对安全技术非常精通。对于企业来说,防守方主要是厘清资产,清晰边界,与此同时还要对攻击进行防护或告警。而攻击方不仅要研究漏洞,同时还要熟练掌握各种编程语言,这是一个很高的要求,安全人才也就供不应求。
对此,他建议是由政府或行业发布例如网络安全人才指南,让有意向的人才能够有明确的方向进行自主学习。或是通过专家或资深人士共同形成一个通用性的标准或评估机制,为从业者提供一些指引。
朱士贺认为,未来企业要对自己的网络安全做到真正的负责,可以像车企一样可以对软件进行召回。从业者可以像驾驶员对企业或行业公示自己的安全水平和安全措施。
杨文韬表示,安全行业缺人才是事实。企业往往会培养一些运维或研发人员,参与部分的防守工作。网络行业的人才培养方法非常清晰,思科为整个行业铸造了一个完善的人才培训体系。而网络安全行业,他认为目前缺少一个领军的培训体系,安全行业有很多认证,但是作为从业者来说,无法通过这些认证来看清行业的全貌,没有统一的可衡量的依据,个体差异性的逐渐扩大使整个行业人才匮乏。从壹钱包的角度来看,他们从平安集团那里得到了很多帮助,尤其是在攻防人才培训方面,平安集团安全经过多年的沉淀,为集团内部打造了一套完整的人才培养体系,即“零号安全培训平台”,我认为是在攻防领域非常贴合行业发展需要的一个培训体系。集团内人员通过saas模式的在线访问,可以很方便的获取到课程文字材料、课程视频、实操环境、靶场、以及认证考试,甚至还可以参加内部的ctf,目前光靶场就有300多个。“零号安全培训平台”原先只针对集团内部开放,后续将逐步对外开放,这可能对整个行业的攻防领域也是一个好消息。
关于攻防两方的培养方式有哪些区别,杨文韬表示,防守方不仅是要看安全设备日志,在溯源时还需要了解企业的整体系统架构,这就涉及到更广泛的知识体系需求,所以就很难有标准化的体系培养。因为不同企业的业务流程、体系架构都有差异,需要因人而异的培养。攻击方需要一定的实战基础,只有真正站在攻击的视角,才能注意到防守视角所忽视的漏洞。
除了人才,机制与平台建设也很重要,包括流程规范、运营体系、法律合规,以及自动化工具和运营管理平台的使用等,张威提问到这方面情况目前是怎么样的?对此黎侑霖表示,目前,自动化相当于从信息收集到打下漏洞只需要一个回车,既快又精准。而关于社工钓鱼,黎侑霖认为,精准钓鱼取决于能否进入企业内网。某些企业会限制客服聊天框不能发送文件,并且限制其他聊天软件的使用,这样就可以有效降低钓鱼所带来的风险。
张贵卿认为,斗象的众测平台为其积累漏洞产生了一定的帮助,当他们已经产品的方式将这些漏洞打包之后,就会给客户很大的助力。HW之外,甲乙方其实还是有很多的合作空间,比如资源互补、人才培养等等。红蓝双方需要换位思考,通过角色的互换来理解客户的需求,同时更好地满足安全的服务。关于人才,HW目前缺乏认证,未来或许会有专门的认证,现在确实是泥沙俱下,尤其在蓝队,防守所需要的能力与攻击相比要更加丰富,对人员的要求也就越高。目前,网络安全人才缺乏中高端人才,从地域来看,北上广深一线城市肯定是供需失衡最为严重的,随着HW的影响,企业对攻防的需求日益明显,中高级人才更是非常渴求,因此人才的培养也就至关重要。
张贵卿认为,目前斗象已经有相关的服务,一个是驻场或帮扶等项目,另一个就是根据客户的业务需求,结合漏洞盒子等产品,寻求外部的专家一起来弥补企业的漏洞。白帽子在学历、职业素养和法律意识得到了提高,传统众测的风险现在已经非常低了。目前,企业安全的攻防需求已经变成了常态化需求,随着各种攻击手段的出现,以及灰黑产的组织化、规模化,企业需要和厂商进行更深层次的结合,以获得厂商所积累的漏洞或攻击手段。同时,安全设备的繁多也让企业难以把控,在此情况下,如何评估设备对企业安全防护的有效性就是一个问题。对于经费问题,张贵卿表示,目前斗象在和第三方机构联合成立了一个实验室,结合多年来攻防的经验和标准,推出了一个攻防能力成熟度评估解决方案,以此来帮助客户有针对性地提供企业安全能力水平。
杨文韬表示,在壹钱包日常攻防工作中有一个问题比较难以平衡,那就是攻防效率和对业务影响之间的平衡。在每次测试前,壹钱包都会对运维监控人员发布公告,明确详细的攻击行为信息,在行动中运维监控人员一旦发现有任何影响业务波动的情况,都可以及时掐断演练的动作。
提问:在攻防演练中,如何确保红方发现的漏洞全部向蓝方通报
黎侑霖:我认为写报告是最好的方式,例如发现了某个配置文件中的账号密码,并登录到后台,就可以对此写份报告,将详细的攻击过程展现出来,并发给防守方。但这是一个自愿行为,因此防守方需要主动一点,积极和攻击方沟通和协作。
前次直播回看
安在有新榜,百家说百强|7.8/7.9两场直播预告
第一场:听说好?卖得好?用着好?网安产品怎样才算好?
第二场:网安产品从试用到实用,海水还是火焰?
推荐阅读
发布 | 安在新榜 · 2022中国网络安全产品用户调查报告
“凭啥我没上榜?”关于安在新榜最新报告,请看Q&A
安在有新榜,百家说百强|7.8/7.9两场直播预告
齐心抗疫 与你同在