诸子笔会2022 | 孙瑜:红蓝对抗战略战术揭秘
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
红蓝对抗战略战术揭秘
文 | 孙瑜
【孙瑜】
某互联网公司安全工程部,现负责研发安全,擅长软件设计和编码安全,STRIDE威胁分析。
红蓝对抗原本是军事概念,指部队成立一个扮演敌军的队伍,模拟真实的作战思路、攻击方式与我方进行贴近实战性演习,对外起到震慑作用,对内起到检验作用。网络作为与海洋、陆地、太空、和天空领域具有同等地位的“第五战场”,本文就将聊一聊网络战场的军事演习——红蓝对抗(此演习非彼演习)。
红队是防守方,任务是抵御攻击队的攻击。防御工事分为演练前、演练中和演练后三个阶段,演练前通过加强网络防御能力“强身健体”,如整改加固、收敛端口、检查暴露面、修复系统漏洞等措施抵御攻击。演练中密切关注“敌军”动向,通过网络监测、研判分析、应急处置、溯源反制等技术在第一时间发现和处置攻击事件,并上报公安部,避免影响成绩。演练后并没有万事大吉,还有同样重要的复盘总结、提交报告,对暴露出来的脆弱性进行整改,以免被真正的黑客利用,给企业造成经济损失等。
兵家作战首先要知己知彼,作为防守方,知己并不容易,特别是系统繁多、组织架构复杂的企业。例如子公司的网络接入口作为旁路攻击源向来是重点攻击目标之一,所以全面梳理掌握资产情况非常关键,例如有哪些资产,它们通过什么方式对外开放,目标访问人群有哪些等,遗漏在控制范围之外的资产则会成为攻击者目标,撕开一个口子攻入企业内网。知彼就更难了,首先了解攻击思路、技术、工具、攻击时间、重点攻击目标、对方已经掌握的信息等,不仅要能防御,而且要会反制。
蓝队就是攻击方,任务是通过自身专业的渗透测试技术发现企业网络和系统的脆弱点,控制对方的系统,获取商业数据。但是蓝队的目的并不在此,也是其区别于真正黑客的地方。蓝队是以攻击为手段,目的是发现企业的问题,获得加分,提升自己的“江湖地位”,所以他们攻击并不会造成实质性的破坏和数据大量窃取,只是拿到自己入侵的“证据”即可。
蓝队的攻击手段没有限制,可以采用如社会工程学攻击、钓鱼攻击、近源攻击等手段。社会工程学攻击利用人的弱点,属于心理学的范畴。例如利用人的贪心收集企业邮箱,公司楼下星巴克广告牌上扫二维码领取优惠券,只面向指定企业,所以需要输入有效的企业邮箱注册,看起来合情合理,但却很可能是蓝队布下的诱饵,目的是收集目标企业的员工邮箱。
蓝队常见的攻击技术有口令爆破、漏洞利用、钓鱼攻击、社会工程学攻击、供应链攻击等,实战中常见打法由多种攻击技术组合成组合拳,例如:
1.将企业对外开放的网站作为突破口,如门户网站、邮箱系统、OA系统等,扫描发现这些系统的漏洞(0Day或nDay漏洞)获取系统的权限,从而获得应用服务器的控制权限,然后实施横向渗透,控制更多的服务器,在服务器上搜寻蛛丝马迹以便突破企业内网。
2.社工钓鱼,俗话说不打无准备之战,攻击队都会提前收集目标企业的信息。如员工的企业邮箱,用掌握的邮箱地址结合常用弱口令列表进行弱口令爆破,只要能成功破解一个邮箱的密码,就可以登录到邮箱系统,查看员工的邮件来发现“秘密”,如员工的岗位、部门、工作内容等。不是为了满足窥私欲,而是以该员工的名义发送钓鱼邮件,邮件附件中带有木马,由于发件人的邮箱是内部地址,往往不容易被识破,只要收到邮件的员工打开了附件,那么他的电脑就会被攻击者控制。
3.供应链攻击。很多企业的IT系统和运维都是外部采购或外包给供应商,供应链攻击就是以外包商为突破口,进入到企业内网进行攻击。首先,找到目标企业的合作供应商,可以通过网上搜索中标信息,供应商一般都会提供员工驻场服务,而这些驻场员工的终端设备如果刚好是企业资产扫描和发现的盲区,就为攻击者留下了可乘之机;如果这些终端通过VPN接入内网,大量企业的VPN服务器都存在严重的安全漏洞。例如2020年爆出的伊朗黑客通过在世界各地企业的VPN服务器中植入后门,出售这些VPN的访问权限获取利益。因此,供应链攻击逐渐成为主要攻击手段之一。
有攻击就有防守,在时间短强度大的网络攻击之下,红队基于自身网络安全防御体系,开启作战化防御方针,不仅严防死守,还要溯源反制。
▶纵深防御
适合企业的网络安全分区和安全设备部署是防御体系的根基,在此基础上收敛攻击面,谨慎开放互联网出口,并做好安全防护策略和监控。掌握对外开放的应用系统,包括子公司的系统,因为很多子公司系统和总部之间存在业务通讯,梳理系统之间的接口调用情况,防止旁路攻击,通过子公司入侵总部网络。
▶潜踪匿迹
收集企业信息为攻击者提供了很多线索,企业保护好自己的数据,并定期排查信息泄露情况,不上传关键信息到网盘、文库等互联网平台,如技术实现文档、人员信息、企业组织架构、软件使用手册等敏感信息。代码托管库是源代码泄露的主要渠道,很多开发者习惯将代码上传到Github等托管库方便管理代码,2020年Github的全部源代码被泄漏,引发了对代码托管安全的担忧。分析源代码是最直接获取漏洞的方式,甚至可以在代码中发现硬编码的账号和密码,或者文件加密密钥等敏感信息。提高员工安全意识,防止打开钓鱼邮件,不向不可信任的网站中输入邮箱、员工号等信息,防止社会工程学攻击。
▶瓮中捉鳖
防守方处于天然的劣势——敌明我暗,不知道敌人是谁,在哪里,如何攻击。要变被动为主动,扭转局势,可以采用主动诱捕战术,部署蜜罐,向攻击者发出伪装的诱饵——探针,这些探针采用沙箱与真实网络环境隔离开,而且具有诱惑性和欺骗性,以免攻击者很快发现被骗,防守方就没有足够的时间窗进行反制了。蜜罐诱饵可以伪装成真实的业务系统,如OA、邮箱、门户网站等,而且有隐藏漏洞,麻痹攻击者,目的是诱敌深入之后,来个瓮中捉鳖,反制捕获攻击者。
红蓝对抗是企业网络安全防御能力的“试金石”,在实战中检验系统脆弱性、网络健壮性、安全设备威胁检测能力、应急响应和快速处置能力等,进一步完善企业安全运营中心(SOC)的建设。
红蓝对抗不仅是攻防双方之间技术实力的较量,更是体力、心理等多方面的考验,而且随着演练水平的提升和成熟,红蓝对抗也向着“系统化、实战化、常态化”的方向发展,以攻促防,双方呈螺旋式上升的态势,从而不断提高我国网络安全的防护能力,“没有网络安全就没有国家安全”。
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦 肖文棣
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在