诸子笔会2022 | 张永宏:红与蓝——从信安对抗演练中自我检查并完善
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
红与蓝——从信安对抗演练中自我检查并完善
文 | 张永宏
张永宏
前SONY东南亚总部SDS信息安全工程师,从事网络与信息安全工作超过25年。现担任四川某高校智能互联专业群负责人,四川省通信学会工业互联网专家委员会委员(安全方向)。
在人类生活中,形成了社会行态,利益的分配形成了不同的集团或阶层,甚至最后形成了不同的阶级,阶级矛盾的产生和不可调和最终是以不同利益来进行判别的。调和矛盾的形式无非是政治会谈或协商,一旦未果必然诉诸武力。如果说军事是政治的延续和保障,那么还是回归到经济是基础、政治是上层建筑这个最终的概念上来吧。
为了保障最终的利益,各种形式的物质运动都在不断进行中。在军事领域,演习是专指军队进行大规模的实兵演习,演习也可以被解读为“秀肌肉”,在检验自己实力的同时威慑对手。演习中通常分为红军、蓝军,演习多以红军守、蓝军进攻为主。类似于军事领域的红蓝军对抗,网络安全中,红蓝军对抗则是一方扮演黑客(蓝军),一方扮演防御者(红军)。在国外的话,进行渗透攻击的团队经常称做红队,在国内称为蓝队,实际上应该是比较准确的叫法。无论是红守蓝攻,还是蓝守红攻,颜色并不代表什么,结果是最终有价值的存在,所以本文的主旨不在辩解颜色和角色,而在于红蓝对抗的结果和意义。
如果说存在即为合理,形式决定内容这是客观唯心主义的观点;辩证唯物主义的认知是内容决定形式。内容指构成事物的一切内在要素的总和,形式指事物内在要素的结构或表现方式。通俗地讲,“内容”就是事物内在的本质,人们不容易看到;而形式是外在表现出来的,人们可以看到、听到或者感觉到,能够从中总结出经验的东西。所以形式可以把内容表现出来,有什么样的内容就会通过各种不同的形式表现出来。举个例子:一杯苦水(这是内容),如果有人喝下去了,就会通过我们的感官感受到(这种感受就是表现形式)。所以在信息安全活动中忽视内容只走形式,花拳绣腿,纯属自娱自乐,那就失去了意义。
兵者,国之大事,死生之地,存亡之道,不可不察也。孙子说:战争,乃国之大事,直接关乎民众之生死,决定国家之存亡,所以对于战争不能不认真研究。对于战争的研究要从五个方面为主线,通过具体细致的比较,来探讨战争的开始、过程、结果:一是“道”,二是“天”,三是“地”,四是“将”,五是“法”。既然用红蓝对抗的军事概念来阐述和践行信息安全,说明社会的认知和重视程度在空前提高。事实上,信息战已经上升为当下和未来战争的主要走向。此种形式的对抗演练小到一个公司,大到国与国之间盖莫如此,国与家从来都是一体两面。
网络世界没有明确的边界也没有时空限制,这是网络的最大特点,但现实的国别区域却有着明确的界碑和红线。网络的确不是虚拟的世界而是现实的延申,特别是当下的数字经济,从国内到国际成为主流。百年未遇之大变局在各种要素的剧烈涌动中不断呈现着难以预测的变化,新经济力量的崛起对旧有秩序的冲击,不合理的霸权形式长期存而积聚的反抗压力需要释放,石油美元的一极化体系遭遇数字货币的各种冲击,霸凌和威权体系下的长臂管辖被科技力量的助力下的多极需求及破旧立新,风起云涌,科技力量的角逐成为新旧思想对局博弈的常态。
地缘政治和区域冲突只是表现形式之一,信息战是常态化的形式,从空天军到信息化部队建设近半个世纪。天、地、人三个决定要素在“金、木、水、火、土”五行中犹如混沌(chaos)。难道再需要一个“老子,一画开天......”这绝非滑稽诙谐,无边际的网络世界与有边际的现实世界在云技术、大数据、AI和5G助力下IOT万物互联与AIOT已经成为现实的当下,这个整体观还是必须有的。似乎一种新的秩序,多极化的秩序必须重构,谁占据科技制高点,谁就有话语权,与人类历史中的常态“兵强马壮者王尔”同出一辙。
黑客帝国、网络部队、空天军、DA师、网络武器库、棱镜、悬剑、Nmap、webs hell、powershell......从有形的到无形的,从官方到民间,从有组织到无组织,从道义黑客到网络大盗,从明网到暗网,从一路厮杀到无硝烟的网络鏖战......似乎都浓缩为0和1两个无辜的数字和实实在在的原因“利益”。昔日的金戈铁马和坚船利炮变成了开发工具和计算机语言;昔日的攻城掠地变成了网络渗透和勒索;汉奸卖国贼变成了各种漏洞和后门......
在一个需要重新构建秩序的时代,唯一没变的还是老祖宗的思想:“不知攻,何以防;知己知彼,百战不殆......”国是大的家,家是小的国,对家国的认知和情怀依然需要。科学无边界,但科学家有祖国,数据作为家国的全部信息,安全显得尤为重要,大数据技术如同《天工开物》中的冶炼术,昔日的贫矿在高超的冶炼术下依然是富矿!最要命的是大数据技术竟然悄无声息的取代了“占卜术士”,虎兕出匣与椟中龟玉,只需呆在博物馆就好。《功夫》剧中一代宗师的点评:武术之道,无非一横一竖。现代和未来的战争趋势和态势也就是0和1。
人类社会不同的阶级集团为了各自的利益思考,自然有了各种形式的表现。无论是国家机器军队还是看家护院的家丁,抑或押镖走江湖的镖局镖师,平时强身健体,就为养兵千日用在一时。所以红蓝对抗的思想也正因此,其实也就是中医哲学的那句老话“防大于治”,“平时多流汗,战时少流血”也就是这个理。
红蓝对抗的目的:攻防对抗就是为了保护网络资源和用户。目的是保护既定利益,形式就是保护资源和用户,过程就是对信息传递的客户端+服务器端和中间链路的安全进行检查和保护。正如木桶定律,最短的木板是评估木桶品质的标准,安全最薄弱环节也是决定系统好坏的关键。而网络红蓝军对抗的目的就是用来评估企业安全性,有助于找出企业安全中最脆弱的环节,提升企业安全能力的建设。
红蓝对抗关注点:其实红蓝对抗点没有统一的标准,因为很多会涉及到业务以及内网攻击的场景,所以个人认为红蓝团队比较适合甲方团队自己组建,这样信息资源比较可控,做得也会更细致。例如笔者曾经在中小型互联网公司做过红蓝对抗点:外网web安全、办公网安全、IDC主机安全、DB专项。web安全的关注点会不同于渗透测试的团队,例如红蓝团队就会关注一些敏感文件泄漏、管理后台暴露、waf有效性、waf防御效果、违规使用的框架等;再例如办公网安全红蓝团队还会关注安全助手的一些问题。也就是说红蓝团队关注的不仅是应用服务的漏洞,各个安全组件的效果、漏洞都会关注到。[1]
上面都是按照一个个大项来进行,其实还有的红蓝团队是按项目来分,比如说xx支付业务红蓝对抗,给你域名或者ip,让你自由发挥,不限方法拿到目标flag(例如xx支付的数据或者机器权限等),这个过程不要求测的全,以结果为导向。红队(防御方)尽可能复盘补漏,把不完善的地方都补齐,后面可以继续进行对抗演练,找出薄弱点,非常考验红队的技术和业务的了解程度,能从蓝队的攻击链路中,找出尽可能多的脆弱点,做出防御策略。
所以,红蓝对抗还是得根据公司的规模、安全人员的比例、技术人员的素养做制定,都按同一套标准是不会适用所有公司的。我的建议是,中小规模公司的红蓝对抗点尽可能覆盖全,尽可能找出全量的脆弱点让红队的人员在修复后进行新一轮对抗。而大公司就可以不用考虑面面俱到,以夺取目标结果为导向,脆弱点由红队自己发现,红队自己修复,而后周期性地进行红蓝对抗。可以看出大公司的红蓝对抗更类似于APT攻击,这也正是大公司蓝队喜欢招APT人员的关系。
红蓝对抗测试的方法:如果是中小型的互联网企业,我的方法是先预先讨论好并记录下脑图,然后按专项测试,每个专项包含很多点,按点排期测试、报告撰写、漏洞闭环、例行扫描、持续跟进、复盘测试,因为中小型企业个人认为还是以全为主,尽可能把漏洞修复完。大型公司可以大量的人力投入,业务也繁多,还是以结果导向,漏洞的薄弱点由红队确认,所以就没有统一标准的方法。
红蓝对抗注意事项:测试前提前报备,有可能会影响到业务的操作时候务必提前沟通,漏洞的确认按照公司的规范制度制定,漏洞和业务沟通确认后再发工单修复、漏洞闭环。在笔者看来,测试前提前报备非常重要,免得事后被业务捅,更要注意的是测试千万不要影响到业务;同时有一点大家会经常忽略,一定要进行漏洞闭环,发现漏洞而不去解决漏洞等于无效漏洞。
红蓝对抗所需技术:红蓝对抗不同于渗透测试,红蓝对抗测试的范围很广泛,不仅需要渗透技术,还需要逆向、脚本编程、各种绕过黑魔法等。所以,红蓝对抗不仅需要渗透测试的人才,也需要逆向的工程师,甚至是区块链安全工程师、数据安全方向的工程师等。因此,在大公司更容易开展红蓝对抗,因为大公司人才更加齐全。红蓝对抗也需要团队的协作,一个人是比较难完成的,更好的方式、不同的团队进行红蓝对抗,每个团队攻击的方法思路也不尽相同,更能模拟真实的场景攻击,对于红队查缺补漏也更有帮助。如下,是用到的一小部分工具:Python、IDA、JEB、Masscan、Nmap、Metasploit......
总结:红蓝对抗一定要区别于渗透测试,渗透测试是每个公司的标配。红蓝对抗的价值在于挖掘渗透测试不关注的漏洞或者渗透测试无法覆盖的点,并且持续对抗,不断帮助业务提升安全能力,完善自己的安全防御。根据笔者的红蓝对抗经验来说,主要发现办公安全助手的漏洞、waf的部署缺陷、绕过缺陷以及HIDS一些缺陷等。其实这些东西渗透测试很少会去涉及和考虑,而红蓝对抗的作用就因此显现。这些风险的发现对于自身的安全防御是有很大的帮助的,因为挖漏洞只是修修补补,而红蓝对抗发现的问题,则是可以得到根本上的解决。对于这种方式的对抗,老大也认可,自己也很有满足感,所以说,红蓝对抗其实是很适合互联网安全团队去尝试组建的。
笔者在这里以绿盟科技的实践为例,给到企业一些思路和参考。绿盟科技凭借多年来的行业技术经验,依据国家和监管部门对关键信息技术设施安全和相关企业应急处置能力的要求,整合公司自有安全服务、产品监测及防护能力,设计并推出绿盟科技红蓝对抗服务。[2]
在蓝队服务中,绿盟科技作为攻击方将开展对目标资产的模拟入侵,寻找攻击路径,发现安全漏洞和隐患。除获取目标系统的关键信息(包括但不限于资产信息、重要业务数据、代码或管理员账号等)外,还通过漏洞探测利用和社会工程学,获取root权限并向进行内网横向移动和扩展,来发现渗透测试无法发现的更多内部安全漏洞和隐患。
在红队服务中,绿盟科技将作为协助客户进行对抗演练的防守方,提供包括演练方案制定、应急预案制定、团队组建、产品部署与监测等对抗组织能力及网络防护能力。最终,通过红队服务帮助客户验证其在攻击防护方面的组织、监测、响应及应急处置能力。
以企业的力量把安防护网渗透、漏扫、入侵检测等客户价值得以实现。具体呈现在五个维度上:第一,企业高层视角评估安全体系(根据对抗结果,以CSO,CIO,CEO视角提出企业安全评估观点及解决方案)。第二,威胁可视化(红蓝对抗中发现企业资产的攻击面,以结果为导向深入扩展,展示出真实入侵的后果和影响面)。第三,解决木桶效应(企业传统安全防护与安全运营易堆积未修复漏洞,对抗中攻击方通过尝试任何可利用的风险点,提出修复建议,解决木桶效应)。第四,提升团队能力(通过红蓝对抗,以实际网络和业务环境为战场,真实模拟黑客攻击行为,防守方通过企业中多部门协同作战,实践大规模攻击情况下的防护流程及运营状态,提升应急处置效率和实战能力)。第五,引导防御姿态转变(传统的安全防护以监控设备告警攻击为主,对抗的经验帮助团队逐渐转变为通过服务器的异常挖掘攻击行为甚至复现攻击者的入侵过程)。
网络流量分析系统(NSFOCUS Network Traffic Analyzer 简称 NSFOCUS NTA)是一款基于Flow流/镜像分光技术的流量分析和DDoS攻击检测产品。适用于运营商、数据中心、金融、企业等多个行业的异常攻击检测场景,主要功能包括网络流量日常监控分析、异常攻击流量检测、网内威胁检测等,如各类DDoS攻击、分片攻击、网络滥用误用、恶意挖矿、虚假源IP等各类异常流量。产品部署灵活,支持软硬件两种部署方式,同时适配了各主流公有云环境。可联动对抗DOS服务系列产品组合形成针对流量的分析检测、告警处置和溯源追踪的多种解决方案。
隔离与信息交换系统(NSFOCUS SIES)由内、外网处理单元和安全数据交换单元组成,安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
新一代网络入侵检测系统(简称NSFOCUS NIDS)是根据多年攻防研究积累、以及产品研发经验,推出的网络边界安全产品。产品基于强大的攻击特征库,可检测网络攻击类、信息破坏类、有害程序类和漏洞类等攻击行为。同时,联动沙箱实现未知威胁立体检测;协同威胁情报系统,有效检测热点攻击。丰富的威胁状态呈现和专业的威胁分析能力,实现直观的、全局的安全运维与高效管理。产品具备从百M到百G的检测能力;支持基于KVM和VMware虚拟化平台部署;支持飞腾、兆芯、海光、申威等国产化CPU,支持麒麟国产化操作系统。丰富的硬件及软件形态,满足客户不同场景的入侵检测部署需求。
网络入侵防护系统(简称NSFOCUS NIPS)集成近万条入侵规则和千万级病毒库防御已知威胁,具备紧急漏洞24小时响应能力;采用强大的恶意文件检测技术,极大地增强文件防护能力;为应对高级威胁,联动沙箱实现未知威胁的检测;协同绿盟威胁情报系统,提供千万级的恶意IP、恶意URL及C&C情报库,为用户提供秒级防护能力。产品具备从百M到百G的检测和防御能力;支持基于KVM和VMware虚拟化平台部署;支持飞腾、兆芯、海光、申威等国产化CPU,支持麒麟国产化操作系统。丰富的硬件及软件形态,满足客户不同场景的入侵防护部署需求。NF防火墙(英文简称NF)是在最新一代64位多核硬件平台基础上,结合应用层安全防护理念和高速数据包并发处理技术,构筑而成的企业级下一代边界安全产品。其核心理念是,为用户建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的边界网络安全防护体系。
产品概述:安全审计系统SAS,采用先进的协议识别和智能关联分析技术,对网络数据进行采集、分析和识别,实时动态监测通信内容、网络行为等,对发现的敏感信息传输、违规网络行为实时告警;并全面记录用户上网行为,为调查取证提供依据,满足“151号令”法规要求。
参考资料:
[1]CSDN
[2]绿盟科技
【8月主题:红与蓝】
刘志诚
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在