►红蓝对抗原本是军事概念，指部队成立一个扮演敌军的队伍，模拟真实的作战思路、攻击方式与我方进行贴近实战性演习，对外起到震慑作用，对内起到检验作用。网络作为与海洋、陆地、太空、和天空领域具有同等地位的“第五战场”，本文就将聊一聊网络战场的军事演习——红蓝对抗（此演习非彼演习）。

►红蓝队伍的划分是对攻守双方的角色界定，首先攻击方和防守方分别组建形成一个团队，对抗也不再是单个人的独立作战，需要根据每个人的技术能力和个性特点做好岗位界定和职责分工，将每个人安放在可以最大化激发能力的角色上，合理规划攻防队伍组织结构可以提升攻防成效。

►一般通过为期四周的培训（每周培训5天），他们就能神奇地培养出一批萌新加入这场大型活动。是的，你没有听错，4周时间就行了，一般他们被称为蓝\红队初级，对他们的能力也被描述为“对基本的漏洞有所了解，熟练使用各种安全设备的，熟练使用相关安全扫描工具。具备能看流量设备告警的能力，能分辨误报和真实攻击，会做成功攻击的研判；了解常见的安全工具使用；初步了解漏洞原理；最好有网络安全相关服务从业经验；优秀的应届生或者1年左右工作经验”。

►在云计算时代，安全最大的便利就是安全能力触手可得。相比以往需要人工整理各种琐碎的资产清单，如今网络、主机、应用、组件、补丁等信息，门类全面、触手可得。表面上，我们拥有了更好的安全防御产品和更强大的运营能力，但是在面对规模性系统时，以及完全不确定的n-day攻击时，安全团队仍旧会陷入无效防护的状态中。

►攻防对抗就是为了保护网络资源和用户。目的是保护既定利益，形式就是保护资源和用户，过程就是对信息传递的客户端+服务器端和中间链路的安全进行检查和保护。正如木桶定律，最短的木板是评估木桶品质的标准，安全最薄弱环节也是决定系统好坏的关键。而网络红蓝军对抗的目的就是用来评估企业安全性，有助于找出企业安全中最脆弱的环节，提升企业安全能力的建设。

►攻防演练，通过动态、实时的模拟真实攻防场景的验证和检测，在五年来发挥了积极的价值和作用，从第一届的边界保卫战，到第二届的0day大战，再到第三届的社会工程，可以看到安全行业和防守方企事业单位安全攻防能力的持续增长，其中安全产品爆出的漏洞被攻破，更是为整个安全行业自身安全能力建设敲响了警钟。

►攻防对抗作为安全有效性验证的手段之一，最容易引起关注，涉及到对脆弱性的直接利用，造成安全事件的影响，对于非安全的业务部门和主管单位而言，更加直观。渗透测试从攻击者视角的漏洞挖掘和验证，在业务无损的前提下，实现有限的安全验证一直是常用的攻防手段之一。在攻防演练的背景下，以漏洞的验证和利用，达到攻击和破坏的模拟效果，相对于渗透测试更进一步。相对于国家级和省市级的攻防演练，企业如果具备自己的传统意义上的攻击队——红队，那么可以有组织、持续化地攻防演练，对企业的安全控制有效性验证，势必效果明显。但是，如果红队仍是基于传统的挖洞思维模式，在实验环境进行模拟攻击，就会存在覆盖率的问题，如何验证红队的攻防演练是否覆盖到了应用系统可利用的漏洞，这是一个挑战。

►以企业的力量把安防护网渗透、漏扫、入侵检测等客户价值得以实现。具体呈现在五个维度上：第一，企业高层视角评估安全体系（根据对抗结果，以CSO，CIO，CEO视角提出企业安全评估观点及解决方案）。第二，威胁可视化（红蓝对抗中发现企业资产的攻击面，以结果为导向深入扩展，展示出真实入侵的后果和影响面）。第三，解决木桶效应（企业传统安全防护与安全运营易堆积未修复漏洞，对抗中攻击方通过尝试任何可利用的风险点，提出修复建议，解决木桶效应）。第四，提升团队能力（通过红蓝对抗，以实际网络和业务环境为战场，真实模拟黑客攻击行为，防守方通过企业中多部门协同作战，实践大规模攻击情况下的防护流程及运营状态，提升应急处置效率和实战能力）。第五，引导防御姿态转变（传统的安全防护以监控设备告警攻击为主，对抗的经验帮助团队逐渐转变为通过服务器的异常挖掘攻击行为甚至复现攻击者的入侵过程）。

►安全团队内自我结果矛盾的自洽过程看似内部团队和谐、外部合作融洽，其实是一个缺乏活力过程，是一个让我们自身进入舒适区的现象的熵增过程。在这样一个封闭的系统中熵增是不可逆且永不为负的，这样的系统结构会愈加紊乱，最后趋于“极大熵”的平衡态。要避免安全工作陷入自圆其说和被动成长的局面，需要主动打破那些自洽的人员组织和活动方式，与人性中舒适和贪婪对抗，运用安全验证去打破“平衡”，通过建立安全分工下的追踪验证过程，让安全分工各方建立开放的系统和思维方法，不断从他处获得自身安全域成长的能量和动力，远离舒适圈，脱离平衡态，最终实现个人和团队的能力成长和工作创新。祛魅是逆人性的过程，而安全验证工作就是安全团队实践熵减思维的最佳方法论。

►每次攻防实战都不是完美的，不论是攻击方的攻击成果，还是防守方的防守成效，都会存在或多或少的问题。攻防演练的本质就是从实战中发现问题，进而持续改进。攻击方并没有想象的轻松，需要用实力证明自己的技术能力和匹配需求方付出的报酬，如果没有成果输出，必然颜面扫地，严重的时候如果再被溯源甚至反制，将很长时间无法摆脱心理困境：是不是要想办法转行啦？迫于种种压力，攻击方还是需要持续的积累经验，完善技术栈和武器库，为下次的攻防做准备。

►电子邮件钓鱼又名欺骗性网络钓鱼，是最常见的网络钓鱼攻击之一。攻击者通常以知名企业或品牌的名义向潜在受害者发送电子邮件。

这些邮件通常附有危险链接，受害者点击链接后，会被诱骗填写登录信息或将恶意软件安装到受害者计算机上的网站。这些网站常常看起来很专业，与其所冒充企业的实际品牌和外观效果几乎一样，这些邮件内容也往往给人以真实感和紧迫感，促使受害者来不及细想就仓促行动。受害者一旦中招，攻击者就获得权限进行下一步攻击。

►鱼叉式网络钓鱼的特征是攻击者不会海量地向外发布钓鱼邮件，而是在钓鱼前会通过OSINT（开源情报）或其他违法途径收集受害者的信息，然后有针对性地向某一企业内指定的具体对象发送恶意邮件。

因此，鱼叉式网络钓鱼的电子邮件往往更加“定制化”，攻击者使用全名、办公电话号码、甚至工作职能来欺骗受害者，诱骗受害者以为发件人与自己是同行。

►采用鲸钓式钓鱼的攻击者也会利用OSINT来获取信息并对企业组织管理层发起欺骗式攻击，因此它有时又被称作CEO欺诈。

攻击者首先会利用OSINT或社交媒体、网站等来获取目标企业的CEO身份信息，随后使用与实际CEO邮箱地址相似的地址向该企业的员工发送邮件，邮件内容通常是骗取钱财或让诱导受害者点击链接。

与鱼叉式钓鱼攻击相仿，网络犯罪分子在对受害者实施诡计之前会先对目标企业内部的某个员工进行摸底，从而确保发送的邮件可以以假乱真。

►自从SolarWin的供应链攻击之后，供应链攻击慢慢走入我们的视野，在护网行动中，这也是红军最喜欢突破的点。比如某知名VPN的漏洞导致防守突破，还有红军攻破某大型企业的某供应商，进行代码渗透和检视，发现零日漏洞然后突破防守。

供应链攻击的突防能力强、隐蔽性强、攻击面广泛、攻击成本低、检测相对困难，使其成为网络攻击更好的致效入口，因此越来越多的威胁行为体在供应链侧的活动不断增长，获得攻击优势、构筑攻击跳板、窃取技术成果等目的混合交织。

更多内容及打卡详情，参见诸子云知识星球。

本月共发出8篇以“红与蓝”为主题的专家文章，在此附上链接，供诸位参考。

根据征文活动规则，综合每日打卡、投稿及文章阅读量折合积分后，现将参与者总积分表公示↓

在此恭喜张永宏以63分夺得第一，获得诸子笔会2022的8月月奖，奖金1000元！同时所有发表征文的笔会专家也都将获得200元稿费。

红与蓝——从信安对抗演练中自我检查并完善

8月已过，9月伊始，新一轮的征文再次开始了！9月主题为“查漏补缺”。

由于个人原因，王振东、黄鹏华和王元铭三位老师自7月起退出诸子笔会，目前在线的作者还有11名。由于本届笔会采用候补机制，有退出，就有新进，欢迎有意参与笔会活动并做后续挑战者报名！（有意者请扫描下方二维码加入）