混合架构下科技风险运营体系建设之轻量化蓝军探索｜证券行业专刊2·安全村

摘要：未知攻，焉知防，攻守相济的安全体系建设，是打造面向全科技流程的安全基座，是主动防御的关键所在。“蓝军”的内部建设需契合企业自身的需求，保障日益复杂的信息系统和逐渐增加的数字资产的安全。由于专职安全人员数量的限制，“蓝军”工作按照轻量化进行，具备“蓝军”任务的能力，并全面开展公司的“蓝军”相关任务，主要目标是尽可能多地主动发现企业安全风险，进而提高整体的安全防御能力。

关键字：轻量化“蓝军” 网络安全 混合架构 科技风险运营

一、概述

近年来全球安全事故频发，国内外都极为重视网络安全。正如习总书记所强调：没有网络安全就没有国家安全。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，是把我国从网络大国建设为网络强国的关键。

未知攻焉知防，攻防无恒，安全无界。如今国内外都在如火如荼地开展国家网络安全实战演练，伴随实网演练的普及，企业安全攻防建设的重要性日益提升。对于安全建设，其最终目的还是用于面对真实的攻击、实网攻防演练，攻防对抗成为检验企业安全水位建设的重要指标之一。

二、为什么需要“蓝军”

根据Gartner的调查，97％的入侵行为发生在已经部署适当网络安全防护系统的公司，99%的攻击行为是使用已知并存在多年的攻击方式或者漏洞，95%的绕过安全防护设备的入侵攻击行为是因为错误的配置造成的。

图1：Gartner的调查

由此可见，尽管企业部署了各类安全防护设备，但是如果没有持续升级或正确配置防护策略，这些安全防护设备依然无法发挥最大效果，无法有效防范安全入侵问题。因此，安全验证越来越被被业界所看重。普遍认可的安全运营架构中，按功能模块划分成四个模块：安全防护框架、安全运维框架、安全验证框架、安全度量框架。其中，安全验证框架主要功能是综合通过黑盒白盒验证措施，确保安全防护框架和安全运维框架的有效性。

图2：安全运营架构

安全验证框架解决安全有效性的问题，承担对安全防护和安全运维两个框架的功能验证。安全验证框架中企业安全的“蓝军”便是重要的组成部分，在和平时期，“蓝军”扮演着对手角色，利于及时发现、评估、修复、确认和改进安全防护和运维框架中的脆弱点。包括白盒检测（过程验证）和黑盒检测（结果验证）两部分。

“蓝军”建设，是传统安全建设工作的外延，“进攻是最好的防守”，通过实战来强化组织的整体安全性，“蓝军”存在的价值可以体现为以下几点：

• 检验安全防护水平

随着企业所承载的业务高速发展，以及信息技术应用创新产业的发展，面对信息科技国产化，数字化转型，在银行业实行的全面风险管理体系中，已经把提升信息科技自主性、加快IT基础设施国产化替代进程，作为信息科技风险管理的一部分。网络安全威胁形势是不断动态变化的，混合架构下的科技风险运营，安全地基尚处于强度未知的状态。红蓝对抗可以检验企业安全防护体系：防护阻断、检测感知、响应溯源的能力，同时暴露防御脆弱点和业务风险盲点，从而针对性的优化和提升防护系统和消除业务风险，完成安全闭环。“蓝军”可以客观的用攻防实践来检验安全水平高低。

• 梳理风险盲点和攻防场景

像攻击者一样思考，不断积累并挖掘多样化的攻击面，对于每个攻击面梳理可能的攻击路径，将攻击路径根据杀伤链的各个环节，分离出关键场景。在暴露风险盲点的同时，“蓝军”团队一方面需要持续绘制出清晰的攻防场景地图，另一方面也可以为防御建设提供有价值的优先级和技术建议。

• 安全价值的体现

以攻促防，攻防相长。在攻防的过程中，可以考验出企业在安全防护能力以及安全事件的检测发现和应急能力。“蓝军”的攻击目标往往是企业的核心业务和数据，通过扮演了一个外部攻击者的角色，可以正面反映出安全投入的必要以及安全工作的价值。同时，只有持续暴露网络安全防护、监测和应急处置的缺陷并优化改进，才能更好地抵挡外部不断变换的攻击手法。

• 提升企业内部安全意识

对于企业而言，其自身真正发生安全事件可能相对低频，在业务层面极少有直接感知。若未发生事故，或者说面对网络攻击没有造成直接损失，很可能会给人带来安全防护足够完善、业务数据足够安全的错觉，甚至导致防护手段逐渐落后，安全流程越发陈旧，人员意识日益懈怠。一次攻防演练往往能让各方更加直观的感受到攻击现场，强化企业内部人员的安全意识。

三、需要什么样的“蓝军”

“蓝军”的概念，在军事领域早已有之。国内“蓝军”扮演假想敌（即敌方部队），与红军（我方正面部队）开展实战演习，帮助红军查缺补漏，提升作战能力。信息安全领域的红蓝对抗的概念也源自于此，通过开展攻击演习来全方位检验企业的安全稳健性和威胁监测及响应能力。与传统渗透测试相比，红蓝对抗中的“蓝军”演练更接近真实的攻击，一般包含在线业务、企业人员、合作方、供应商、办公环境、物理楼宇、数据中心等等多样化的攻击形式。红军作为企业防守方，通过安全加固、攻击监测、应急处置等手段来保障企业安全，而“蓝军”作为攻击方，以发现安全漏洞、获取业务权限或数据为目标，利用各种攻击手段，试图绕过红军层层防护，达成既定目标。

与互联网领域不同，证券行业是金融行业的重要组成，全世界针对金融的安全事件不断发生，安全变得极为重要。对于证券行业来说，更偏向于强合规、控风险，需要牢牢守住不发生系统性金融风险的底线，在此背景下，需要一支既了解公司业务，又能够以攻击视角持续渗透测试公司资产的内部攻击队伍，这样才会更容易了解到公司各项安全隐患，把风险消弭于萌芽之前。“蓝军”的建设既顺应了行业主管机构的要求，也是企业内部发展的需要。

四、轻量化“蓝军”建设的探索

“蓝军”的工作内容主要包括“渗透测试”和“红蓝对抗”，渗透测试尽量用较短的时间去挖掘尽可能多的安全漏洞，一般不太关注攻击行为是否被监测发现，即便被发现也不会立刻遭拦截，目的是帮助业务系统暴露和收敛更多风险。红蓝对抗更贴近真实攻击，侧重绕过防御体系，毫无声息达成获取业务权限或数据的目标，不求发现全部风险点，因为攻击动作越多被发现的概率越大，一旦被发现，红军就会把“蓝军”踢出战场，目的是检验在真实攻击中纵深防御能力、告警运营质量、应急处置能力，当然这过程中也会发现业务系统的一些安全漏洞。

混合架构下科技风险运营体系建设及安全管理中，需要“蓝军”来主动改善管理。攻防实战的本质是人与人之间的对抗，若辅以资源和环境的支持，将如虎添翼。一支有战斗力的自有“蓝军”团队并不是多大的奢望。但由于在安全管理上资源投入及专职安全人员数量的限制，所以对于“蓝军”的建设轻量化进行探索。

（一）队伍建设

图3：轻量化“蓝军”队伍建设

人力：投入3名专职安全人员，分别做不同方向的安全研究、配合。

资源：性能足够，有管理员权限的工作电脑；一定的可支配资金，用于购买域名、vps、代理 ip 等蓝军测试辅助资源。

工具：包括安全工具、漏洞扫描器、漏洞利用工具、木马后门等扫描工具、漏洞利用工具、木马程序、攻防知识库。

组织：对于组织而言，“蓝军”即“坏人”，进行相关的攻击行为需领导层的支持、授权和信任。

安全培训：借助集团的培训资源，深度参与各类“蓝军”技能培训：包括web安全、内网渗透、CTF竞赛、实战漏洞利用、钓鱼攻击等。

（二）业务运营

队伍建设后，“蓝军”就可以发挥其锋锐的攻击特性了。在可控的前提下开展模拟攻击，首先通过多种手段获取立足点，在此基础上通过权限提升、信息发现和横向移动扩大控制权，最后达成数据收集、窃取和篡改破坏等目的。

图4：攻击业务开展

目标侦查：利用一系列侦查手段获取目标的资产、人员、环境等信息，为实施攻击提供基础信息支持，信息的全面性和准确性很大程度确定攻击的路径、战果和效率。比如通过DNS域传送漏洞、域名注册信息反查、域名枚举等手段获取域名资产信息，通过域名解析、网段扫描等手段获取IP资产信息，通过网站扫描、端口探测等手段获取程序指纹信息，通过在搜索引擎、网络空间搜索引擎、网盘、Github等平台检索以及社工欺骗等手段获取组织架构、员工信息、源代码、账户密码、常用软件、常上网站、安全防护策略、外包服务供应商等信息。

边界突破：根据收集到的目标信息，针对性制作攻击代码。如设计植入木马的文档,尝试对员工针对性钓鱼攻击；对于线上服务，可以通过自动化扫描、人工测试等手段对目标资产进行漏洞探测，发现可利用的漏洞。在目前公开的APT案例中，至少有80%是从攻击员工办公电脑入手，因为人是系统最大的漏洞，利用社会工程学的攻击成功率高，同时攻陷员工电脑后更容易摸清内部网络及扩大控制范围。

权限获取：利用各种手段将攻击载荷投递到目标，获取系统权限。比如利用命令注入、文件上传、SQL注入等漏洞直接远程攻击线上服务。利用邮件钓鱼、水坑攻击、网络劫持等方式入侵服务器、员工电脑、网络设备。利用系统弱点或配置不当等方式获取超级管理员级别权限，比如利用最新Windows/Linux内核提权漏洞，或者存在sudo权限的系统命令的情况下，“靠山吃山，靠水吃水”直接利用系统命令提权等。

横向移动：通过内网渗透攻击获取更多服务器权限和数据。一旦突破边界后进入内网，此时的攻击面就变成了内网，而内网应用数量远远大于互联网应用。从应用的安全要求和质量来看，由于安全开发、测试资源有限，公司内网应用的安全要求和质量远低于互联网应用。内网点多、面广、架构复杂、易攻难守。一般来说攻击者偏爱攻击拥有企业主机、网络、运维、数据相关管理权限的系统，比如说Windows域控、补丁服务器、邮箱系统、内部即时通讯工具、跳板机、运维运营平台、密码系统、代码管理平台等，一旦攻破这些系统就几乎能够控制全部机器，进而获取目标业务数据。

数据收集：搜集源代码、数据库、资产信息、技术方案、商业机密、邮件内容等攻击目标数据。对数据进行加密、压缩、分段处理，通过HTTP(S)/FTP/DNS/SMTP等网络协议主动对外传送、使用Web对外提供访问下载或业务API直接查询回显等方式将数据传输出网。

在攻击业务流程中，需要对攻击做好记录，比如攻击 IP、攻击行为，时间点等，方便攻击之后的复盘工作；攻击后要针对蓝军发现的安全问题落地有效的短期应对措施和长期解决方案，并持续跟进直到问题修复闭环。同时也需要考虑到风险管控，一旦“蓝军”人员真的从外网攻陷到内网，拿到了各种以前认为安全的机密数据或者有现金价值的数据，需要保证数据不外泄：所有数据只允许拿验证数据，不允许大量获取数据，保证“蓝军”不存储生产数据；操作可审计：采用瘦终端+堡垒机+云桌面，或者专用设备+录屏等方式，做到所有操作可审计，数据不落地到个人电脑。

运营过程中也需要“蓝军”有外部交流，为团队提供更高的外部视野、平台，给予团队不间断的成长机会。

五、总结 

《孙子兵法·势篇》说道：“奇正之变，不可胜穷也。奇正相生，如循环之无端”。“蓝军”这支“奇”兵，不仅可以激励“正”军（“红军”）进行战略战术磨炼，提升其战斗技能，加强其预测真实战场情况、预判敌军战略战术的竞争能力，还可以与红军进行奇正转化，在需要的时候成为歼敌的主要力量。

作者介绍

郭孝军&饶滔&吴善鹏&蒋琼，中银国际证券，我们的梦想，建立第一支有特色的券商自己的轻量化蓝军。

关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]

原文始发于微信公众号（安全村SecUN）：混合架构下科技风险运营体系建设之轻量化“蓝军”探索｜证券行业专刊2·安全村