南北话蓝军

0、暖场

蓝军，其本意为军事对抗过程中充当假想敌的一方。

从军事理论来讲，蓝军既要从宏观上具备多样性，又要从微观上遵循某一假想敌的特性（主要是战术层面）。

所以很多常年作战的部队，他们的蓝军数量上也是具备多样性的，这也衍生出很多专门吃蓝军这口饭的军事承包商，天天假装对手去虐人或被虐。

当然也有很多很多对手不是一朝一夕可以开战的，这些被视为长期的假想敌，对这类假想敌往往需要建立专门的蓝军部队来长期跟踪对手的战术并适时模拟对抗。

所以，蓝军的定义 = 假想 + 敌。

即便是敌，也是假想的，也就意味着是还没发生、而可能发生的。

这样定义的本意不是排除那些已发生的，而是体现“防患于未然”的重要性，所以理论上来讲，假想敌实际上也算是一种“预研性工作” 。

在信息安全领域，敌人就是那些可能会破坏业务的人群，当然，也逃不开“假想（潜在）”二字。

而破坏的手段千万种，却也绝非是我们常说的黑客手段所能覆盖的，所以蓝军定义为黑客团队首先是错误的。

之所以将蓝军禁锢在渗透和常规对抗范畴之内，大多离不开其发起方和隶属关系是信息安全部门，而糟糕的是，其他部门又往往限于业务而无法提出蓝军这样的概念和团队，最终就导致真正的敌人所能做的事情总是多于我们去模拟他们的蓝军。 

（暖场到此戛然而止 …… ）

1、北话

1.1、定义

• 以黑盒为主要视角

• 以模拟业务破坏者为目标

• 模拟进行业务破坏

1.2、工作

• 以业务视角进行威胁建模

• 结合外部因素，改善“业务与技术”视角的建模

• 通过对已建模的威胁进行可行性验证

• 通过可行性验证实现对风险的实践性量化评估手段

1.3、展望

• 借助可实践、可量化的威胁建模，构建全业务威胁模型

• 结合SDL及安全运营规范，形成全业务的常态化、全生命周的风险实践性量化评估手段的落地

• 进而形成外部风险落地到内部业务流程的全周期闭环

2、南话

2.1、定义

• 以黑盒视角

• 以黑客技术、社工、人员漏洞、业务漏洞及制度漏洞为依托

• 以业务破坏、数据盗取、获取控制权限等为目标

• 模拟黑客攻击

2.2、工作

• 业务梳理

• 业务学习

• 攻击技术梳理

• 攻击框架制定

• 业务+攻击 = 攻击路径

• 攻击路径有效性验证

• 攻击路径深度验证

2.3、展望

• 面向全业务制定攻击路径

• 进而完善攻击路径制定规范，实现攻击路径的监控和更新机制

• 结合白盒，完成黑白两个维度的攻击路径梳理工作

• 完成以攻击为评价手段的内部业务安全全景图

3、梦话

我想，蓝军的伟大，是无人能及的。

本文始发于微信公众号（Piz0n）：南北话蓝军