红蓝对抗通用规范研究
Research Report on Red-Blue Counter-Common Norms
目录
前言
第一章 目标
第二章 原则
2.1. 规范性原则
2.2. 最小影响原则
2.3. 保密性原则
2.4. 及时性原则
第三章 实战演习资源统筹
3.1. 前期准备统筹工作
3.1.1. 资源准备
3.1.2. 人员准备
3.1.3. 召开启动会
3.1.4. 安全培训
3.2. 实战攻防演习组织要素
3.3. 实战攻防演习组织形式
3.4. 实战攻防演习组织关键因素
第四章 对抗实战演习工作流程
4.1. 统筹准备阶段
4.2. 备战摸底调查阶段
4.3. 攻击计划阶段
4.4. 攻防实战对抗阶段
4.5. 总结阶段
第五章 红队攻击实战实施方案
5.1. 红队实施统筹阶段
5.2. 红队实施安全保障
第六章 蓝队防守实战实施方案
6.1. 项目实施计划
6.2. 防守战略架构
6.3. 防守资源组织
第七章 技术角度
7.1. 红队技战术:
7.1.1. 利用弱口令获得权限
7.1.2. 利用社工来进入内网
7.1.3. 利用旁路攻击实施渗透
7.1.4. 秘密渗透与多点潜伏
7.2. 蓝队技战术:
7.2.1. 防微杜渐:防范被踩点
7.2.2. 收缩战线:收敛攻击面
7.2.3. 纵深防御:立体防渗透
7.2.4. 守护核心:找到关键点
7.2.5. 洞若观火:全方位监控
第八章 红蓝对抗实施场景示例
第九章 管理要求
第十章 注意事项
第十一章 参考资料
附件一:样例表
前言
“红蓝对抗”概念最初见于军事演习,由于能够形象表达一攻一守的作战演习状态,这一概念被网络信息安全领域采纳。
红蓝对抗网络安全演习的主角是两支队伍:蓝队和红队。蓝队为防守方,以现有的网络安全防护体系为基础,通过网络安全监测预警、安全加固、攻击检测、应急响应分析、验证处置等手段来保障企业安全。红队为攻击方,以发现企业安全漏洞,获取权限或数据为目标,突破防护。注:欧美一般采用红队代表攻击方,蓝队代表防守方,国内银行系代表颜色正好相反。
在网络安全领域,“红蓝对抗”为组织网络攻防演练,保证业务正常运转的前提下,在真实网络环境下开展网络攻防对抗,及时发现网络资产的真实隐患,检验并提高安全威胁防护能力、检测发现能力和应急处置能力,目前大型企业内部组建或邀请外部厂商模拟蓝军攻击,挖掘发现更多安全风险,保证企业网络系统与数字资产的安全性。
本项目提炼总结红蓝对抗通用性的技术要求和项目指导框架,内容涉及甲方企业的原则、方法过程、涉及如有乙方参与的规划参考和行为约束等方面。不限制具体场景和技术细节,意在让业内同志根据自身需求和条件因素扩充,这样增加本框架跨行业的可扩展性和适用范围,提供给正准备做这块或正在进行的做个框架性的参考。在此感谢参与项目工作的专家成员。由于时间仓促,存在很多不足的地方,请大家批评指正。欢迎大家提供修改意见,可发送邮件到下面邮箱:[email protected]
希望可作为甲方企业网络安全部,及第三方服务机构进行红蓝对抗规划与行为约束的参考依据,提取一般性要求和工作方法进行总结,不作为实际红蓝对抗项目指导意见,仅供行业同仁参考借鉴使用。
本文件可能涉及的某些内容与业内同行的部分观点不构成对立,如有雷同纯属巧合。
请注意本文件部分内容可能涉及专利和著作内容,编撰老师及相关机构不承担识别专利和行业著作的责任,敬请理解;编撰人和相关机构亦不会利用专利相关内容进行商业活动。
本文档公开共享,如有需要可查阅内容参考引用,本文档未申请专利或著作权保护,本着为行业做点微薄输出的初衷,自发合作所著,内容有粗糙之处,烦请不吝指教。
参与报告编制的业内专家与单位:
赖杨健# WIS-HUNTER 杀手锏攻防实验室、
杨发智# 科大讯飞股份股份有限公司、
王俊# 某基金公司、
宋贺# 上海大润发有限公司、
潘江# WIS-HUNTER 杀手锏攻防实验室、
朱士贺# 上海七牛云。
第一章 目标
·评估现有安全防御体系的有效性、技术能力的完整性、识别防御体系的弱点并提出具体的应对解决方案。
·利用模拟真实攻击评估因安全风险造成的实际业务影响,根据可能带来的损失数据,量化安全的投入价值。
·提高公司全员安全意识,提升安全防御能力成熟度,加强检测和响应攻击的技术能力。
第二章 原则
2.1.规范性原则
攻击队相关技术的使用、目标的达成,必须严格遵守企业内部信息安全制度规定。
2.2.最小影响原则
针对处于运维阶段的网络、应用、系统、服务等,红队应提前确定合适的对抗时间窗口,自主避开业务高峰期,因红蓝对抗的特殊情况并不能实时互通进展和协作,蓝队红队同时做好被测试目标应用服务的应急预案。
2.3.保密性原则
未经明确的授权允许,攻击方不应向第三方及社会公众泄露与活动目标相关的一切信息,并且采取一定保护措施避免因失误非故意行为而造成数据泄露。包括但不限于开发及运维人员个人信息以及过程中所获取的敏感信息,如网络拓扑、系统架构、业务数据、安全漏洞等。
2.4.及时性原则
红队应保证漏洞提交的及时性,检测出漏洞与提交漏洞的时间间隔不应超出规定时间,不应出现漏洞积压的情况。
第三章 实战演习资源统筹
3.1.前期准备统筹工作
实战红蓝对抗能否顺利、高效开展,必须提前做好两项准备工作:
一是资源准备:涉及到场地、演习平台、演习设备、演习备案、演习授权、保密工作以及规则制定等;
二是人员准备:包括攻击人员、防守人员的选拔、审核和队伍组建等。
紫方,一般是指网络实战攻防演习中的组织方。
紫方是在实战攻防演习中,以组织方角色,开展演习的整体组织协调工作,负责演习组织、过程监控、技术指导、应急保障、演习总结、技术措施与策略优化建议等各类工作。
紫方组织红队对实际环境实施攻击,组织蓝队实施防守,目的是通过演习检验参演单位安全威胁应对能力、攻击事件检测发现能力、事件分析研判能力和事件响应处置能力,提升被检测机构安全实战能力。
3.1.1.资源准备
·红蓝对抗场地布置:演习场所选址、演习展示大屏、办公桌椅、攻击队网络搭建、演习会场布置等;
·演习平台搭建:攻防平台开通、攻击方账户开通、IP分配、防守方账户开通,做好平台运行保障预案等工作;
·演习人员专用电脑:配备专用电脑,安装安全监控软件、防病毒软件、录屏软件等,日志记录全程后续可审计,做好事件回溯机制;
·视频监控部署:部署攻防演习场地办公环境监控,做好物理环境监控保障;
·演习备案:演习组织方如有要求,应向上级主管单位及监管机构(如公安、网信、证监会等)进行演习预案报备;
·演习授权:演习组织方,严格核查参与攻击的人员身份,向攻击队进行正式授权,确保演习工作在授权范围内有序进行,尽可能地找出存在的所有安全风险,借以提高企业安全能力的建设。
·保密协议:与参与演习工作的第三方人员签署相关保密协议,确保信息安全;
·攻击规则制定:攻击规则包括攻击队接入方式、攻击时间、攻击范围、特定攻击事件预先报备等,明确禁止使用的攻击行为,如导致业务无法提供服务、重要信息篡改、数据泄露、潜伏控制等动作;
·评分规则制定:依据攻击规则和防守规则,制定相应评分规则。例如,防守方评分规则包括:发现类、消除类、应急处置类、追踪溯源类、技术反制类、演习总结类,加分项以及减分项等;攻击方评分规则包括:目标系统、集权类系统、账户信息、重要关键信息系统,加分以及违规减分项等。
3.1.2.人员准备
·红队:组建攻击队,确定攻击队数量,每队参与人员数量建议3-5人、对人员进行技术能力、背景等方面审核,确定防守方负责人并构建攻击方组织架构,签订保密协议;向攻击人员宣贯攻击规则及演习相关要求。
·蓝队:组建防守队,确定采用本组织人员作为防守人员,或请第三方人员加入,对人员进行技术能力、背景等方面审核,确定防守方负责人并构建防守方组织架构。第三方人员签署保密协议,向防守方宣贯防守规则及演习相关要求。
·紫方:组建裁判队,同时承担组织协调责任。需具备专业安全背景的专家成员组成,裁判员采用本组织人员构成或与外部专家联合组成。签订保密协议,向裁判方宣贯裁判规则及演习相关要求。
3.1.3.召开启动会
按照整体攻防演练流程,组织召开全体红蓝攻防演练安全大会。并且宣布在整个演习期间各阶段的工作安排,相互配合关系。具体的职责分工以及具体工作落地的步骤,需要各自负责的内容各自进行细则制定。
3.1.4.安全培训
围绕实战攻防演习注意事项,配合事项、以及在正式演习过程中需要各部门、各岗位特别注意的内容进行宣导。比如在警惕社会工程学、水坑攻击、钓鱼攻击、恶意代码防范策略、口令安全、邮箱安全、重要信息保密等方面进行安全培训说明。
3.2.实战攻防演习组织要素
下面,就针对紫方组织网络实战攻防演习的要素、形式和关键点分别进行介绍。
组织一次网络实战攻防演习,组织要素包括:组织单位、演习技术支撑单位、攻击队伍(即红队)、防守单位这四个部分。
组织单位负责总体把控、资源协调、演习准备、演习组织、演习总结、落实整改等相关工作等。
演习技术支撑单位由专业安全公司提供对应技术支撑和保障,实现攻防对抗演习环境搭建和攻防演习可视化展示。
攻击队伍,也即红队,一般由多家安全厂商独立组队,每支攻击队一般配备3-5人。在获得授权前提下,以资产探查、工具扫描和人工渗透为主进行渗透攻击,以获取演习目标系统权限和数据。
防守队伍,也即蓝队,由参演单位、安全厂商等人员组成,主要负责对防守方所管辖的资产进行防护,在演习过程中尽可能不被红队拿到权限和数据。
3.3.实战攻防演习组织形式
网络实战攻防演习的组织形式根据实际需要出发,主要有以下两种:
1)由国家、行业主管部门、监管机构组织的演习
此类演习一般由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业关键信息基础设施和重要系统,组织攻击队以及行业内各企事业单位进行网络实战攻防演习。
2)大型企事业单位自行组织演习
央企、银行、金融企业、运营商、行政机构、事业单位及其他政企单位,针对业务安全防御体系建设有效性的验证需求,组织攻击队以及企事业单位进行实战攻防演习。
3.4.实战攻防演习组织关键因素
实战攻防演习得以成功实施,组织工作包括:演习范围、周期、场地、设备、攻防队伍组建、规则制定、视频录制等多个方面。
演习范围:优先选择重点(非涉密)关键业务系统及网络。
演习周期:结合实际业务开展,一般建议3-4周。
演习场地:依据演习规模选择相应的场地,可以容纳指挥部、攻击方、防守方,三方场地分开。
演习设备:搭建攻防演习平台、视频监控系统,为攻击方人员配发专用电脑等。
攻击方组建:选择参演单位自有人员或聘请第三方安全服务商专业人员组建。
防守队组建:以各参演单位自有安全技术人员为主,聘请第三方安全服务商专业人员为辅构建防守队伍。
演习规则制定:演习前明确制定攻击规则、防守规则和评分规则,保障攻防过程有理有据,避免攻击过程对业务运行造成不必要的影响。
演习视频录制:录制演习的全过程视频,作为演习汇报材料以及网络安全教育素材,内容包括:演习工作准备、攻击队攻击过程、防守队防守过程以及裁判组评分过程等内容。
第四章 对抗实战演习工作流程
4.1.统筹准备阶段
·资源准备
·人员准备
·组织形式
·关键因素
4.2.备战摸底调查阶段
·网络结构拓扑图
·资产清单(CMDB)
·历史风险收集与梳理
·应急响应预案制定
·灾难恢复机制
·成立各工作小组可以虚拟任命组长
4.3.攻击计划阶段
·明确授权范围、测试目标、限制条件等;
·报备与授权流程、沟通机制、保密承诺书(参与成员签名);
·行动成本与预算、流量监测安全设备借调;
4.4.攻防实战对抗阶段
·备案的时间区间内;
·备案的目标范围内;
·备案的攻击IP与网络环境;
·(详见附件一)
4.5.总结阶段
·恢复所有修改和删除所有上传文件;
·移除所有软件、程序等为持久化控制的工具;
·提交攻击报告与改进建议;
·复盘各环节不足之处和暴露的安全问题;
第五章 红队攻击实战实施方案
5.1.红队实施统筹阶段
组织架构与人员职责
|
类别 |
姓名 |
角色 |
职责 |
|
攻击小组 |
XXX |
队长 主攻 |
负责小组所有攻击相关事宜,包括任务分配,成果总结,漏洞利用,攻击实施等 |
|
XXX |
主攻击手 |
漏洞挖掘,逆向分析 |
|
|
XXX |
副攻击手 |
漏洞挖掘,加密算法破解 |
|
|
XXX |
副攻击手 |
漏洞利用,攻击实施 |
|
|
项目管理组 |
XXX |
负责协调人员 |
负责统筹整个项目的进行和调度等。 |
|
指挥中心 |
组织方指定人员 |
紫方裁判 |
负责对攻击小组的成果进行验证和评判,发放或把控评分规则,现场秩序等 |
5.2.红队实施安全保障
人员保障
·参与红蓝对抗的人员或厂商要求组织政治背景过硬,实施人员专业能力强;
·攻击组人员签署保密协议,如有黑灰产从业经历、犯罪记录的人员,予以避免录用。
环境保障
·攻击机安装录屏监控软件,攻击动作全程监控,日志可审计;
·实施过程中建议攻击方使用商业化授权工具,避免将病毒或木马带入网络,如引入非商业授权软件,应验证使用工具的安全性;
·攻击前接入指定VPN通道方可进行攻击操作。
过程保障
·攻击过程VPN接入
攻击方采用VPN接入的方式,再进行攻击行动,VPN一人一号,用于监控攻击者的流量,防止恶意操作。
·跳板机
攻击方若需要反弹shell,需使用企业提供的跳板机,方便溯源和区别恶意种植后门等行为,以及监测后门种植情况,便于后期清除。
·录屏
对不在现场进行实施攻击行为的攻击成员,需实时报备IP,IP变换及时报备,且全程攻击进行录屏。
技术保障
·攻击过程实况展示
将网络红蓝对抗平台抓取的攻击日志进行分析,建立完整的攻击场景,能够直观地反应目标主机受攻击的状况,实时监控攻击过程,并通过可视化系统监控大屏实时展现。真实全面地展示攻击方流量实时状态,展示攻方与被攻击目标的IP地址及名称,通过光线流动效果及数字标识形成攻击流量信息的直观展示,支持全国多城市视图切换,支持多种攻击类型标识。
·攻击过程可用性检测
实时展示攻击目标业务的健康性,保障攻击目标业务不受影响。在网络层面通过攻击流量大小准确反应攻击方网络资源占用情况及其对攻击目标形成的压力情况。大屏实时呈现网络流量大小等信息,并展示异常情况的描述,网络监控数据实时进行刷新。
·攻击过程成果展示
通过后台成果提交系统,攻击可通过安全的攻击通道登录系统上交攻击成果,包括攻击域名、IP、系统描述、截屏图片、攻击手段等。
·攻击过程视频监控
为保障红蓝对抗过程的可视化,在红蓝对抗过程中,分别对进攻攻击方人员和防守方应急指挥中心及预警系统进行实时视频录像及屏幕操作截屏,并接入至指挥中心,传输数据均采用VPN通道输送到指挥大厅的监控大屏进行展示,同时对监控数据采用加密存储并能全部导出。
第六章 蓝队防守实战实施方案
6.1.项目实施计划
演习时间根据企业(组织方)具体安排而定,站在甲方视角,可以不将前期统筹阶段纳入三方共舞的生命周期,一般建议分为四个阶段,预计需要3-4周时间,具体安排建议如下:
(一)摸底调查 (阶段第一周)
对企业所有系统进行信息搜集,如开放端口、运行情况、主要业务等进行调查,为了解参演或对抗目标系统真实情况,此项工作拟在防守方不知情的情况下开展。
(二)攻击测试(阶段第二周)
对调查的场景找到攻击路径、发现其安全漏洞和隐患,掌握被攻击目标日常情况下的安全防护能力。此项工作拟在防守方不知情的情况下开展。
(三)正式演习(预计10个工作日)
企业(组织方)对攻防双方提出明确工作要求、制定相关的约束措施,确定相应的应急预案,明确正式演习时间,开始正式演习。
(四)总结汇报及清理(1个工作日)
演习结束后,准备进行总结会议,并明确后续行动动作,具体责任到人。企业(组织方)制定攻击方清理行动监督执行计划,攻击方应根据对抗过程中残留的文件和破坏的内容,予以清理和协助修复,直至消除所有痕迹及已知安全隐患。
6.2.防守战略架构
实战攻防演习,防守方提供整体防护解决方案,核心思想是:“收敛防守面,全面攻击检测,资产安全加固,应急响应与处置健全”。
收敛防守面:通过互联网资产梳理,内部资产梳理,确认防守边界。
全面攻击检测:部署全面防御体系,建立监控-阻断-审计-展示的全方位防御体系。
资产安全加固:通过全面资产安全检测与加固,安全设备策略优化等技术手段,保障资产安全。
应急响应与处置健全:优化应急响应预案,强化应急响应与处置流程和实践,全面降低安全事件风险。
项目各阶段制定及内容
实战攻防演习,按照项目流程划分为5个阶段:统筹阶段、准备阶段、演练阶段、实战阶段和收尾阶段。
·统筹阶段:接受企业(组织方)的领导,组织防守所需的人员与资源,明确工作分工和协作机制。
·准备阶段:在企业(组织方)的领导下,实施调研评估和安全加固工作。具体调研评估与安全加固工作内容,组织方可以根据现有情况,依据需要选择各项工作内容。
·演练阶段:依据防守得分规则,校验统筹阶段组织分工和协作机制的有效性,校验备战阶段的工作成果,校验实战中的网络安全防护能力,测试联动防御机制运行情况,并对演练进行总结。
·实战阶段:全面进行安全防守,7*24小时值守和响应,对安全事件进行联动防御。
·总结阶段:整理防守数据,对各阶段的工作、成果及不足进行讨论总结,为组织方实战攻防演习汇报工作提供数据支撑。
整体组织架构
整合项目实施经验,建议蓝队防守组织架构及分工如下:
各职能描述
·指挥中心
指挥中心统一组织并协调安全防护工作,对重要事件提供决策意见。对防护工作进行监督,协调保障工作其他事项,领导组成员由企业(组织方)安全工作负责人组成。
·监控预警组
监控预警组是支撑保障工作的监测和预警机构,主要工作职责为负责安全事件分析监测,包括平台运行保障、检测策略配置与维护、数据优化和威胁分析,监控预警组需要在保障正式开始前开展工作,是整个保障工作的必要前提条件。
监控预警组负责保障工作的统计汇总,按照固定频率出具保障工作报告、总结报告。组内成员由安全值守人员,系统维护值守人员,组成,需要了解态势感知或者安全管理平台类系统,具备基本网络安全知识。
安全值守人员:对安全系统日志和操作日志进行实时监控,发现其中的不符合安全策略的行为,按照流程上报,上报主要包括对风险与突发事件信息的获知、收集与上报等工作。
系统维护值守人员:对系统日志和操作日志进行实时监控,发现其中的不符合安全策略的行为,按照流程上报。系统维护值守人员根据上报的信息资料尽快完成全面、有效的评估,评估内容包括造成影响的几率、影响程度、发展趋势情况等。
网络维护值守人员:对网络系统日志和操作日志进行实时监控,发现其中的不符合安全策略的行为,按照流程上报。网络维护值守人员在接到上报信息后,应首先对上报的信息进行核实,以判别风险及安全应急事件是否属实。同时结合各时段的保障需求,参见安全应急准备中的事件级别划分,进行事件级别的评估,以确定安全应急事件所对应的事件级别。
应用值守人员:对业务应用日志进行实时监控,发现其中的不符合安全策略的行为,按照流程上报(同系统维护值守)。
·技术分析组
技术分析组在前期阶段主要负责网络全面梳理、安全策略配置;在防护保障阶段主要执行对威胁的响应操作,如封堵攻击者IP等操作。根据监控预警组提供的信息,对威胁采取应用层和网络层防护。
技术分析组与监控预警组对应,由安全分析人员,网络安全分析人员,系统安全分析人员,应用安全分析人员组成,需要具有安全分析能力并能够熟练现有安全设备和网络设备的操作。
·应急处置组
在对抗阶段,应急处置组主要进行安全事件的响应,若发生重大事件,需要提交应急预案到领导中心请求决策,并根据决策结果进行安全应急处置。同时应急处置组对执行响应操作形成记录,记录内容包含操作元素内容、时间、操作。针对部分高风险事件,需要对入侵结果进行判断是否成功,采取渗透测试和现场排查确认。排查对象若涉及到多个部门系统,由值班领导进行协调安排。
应急处置组成员,对安全告警进行调查取证。在取证中需要指挥中心协调相关资源。如发现高威胁告警,提交给技术分析组及监控预警组进行及时处理。
·联络保障组
联络保障组在整个保障工作周期中,保障各组与领导中心及各组之间的保持联络可达,确保各组织之间协同合作。尤其在对抗阶段,保障各组能够及时对话领导中心,保障安全决策的及时下达,防止安全计划执行滞后。
·机动组
机动组为包含技术专家,组织方值班人员及其他相关人员的混合资源池,确保在整个项目,尤其在对抗阶段,能够灵活应对大型安全事件或突发情况,避免因为人员不足,影响应对能力及执行能力,并兼具溯源反制的任务。
6.3.防守资源组织
人员准备
根据企业(组织方)实际需求,对人员情况和投入进行评估,确认人员合理配置。
投入人员峰值参考,约16人,其中攻击队或厂商约8人,组织方投入约8人。
各阶段预计投入人员情况如下:
|
序号 |
项目阶段 |
周期 |
甲方人员 |
攻击队或厂商人员 |
工作内容概述 |
|
1 |
统筹阶段 |
1周 |
1人 |
1人 |
编写防守实施方案、组织职责、防守实施计划,人员协调准备,资源准备等 |
|
2 |
准备阶段 |
5周 |
2人 |
2人 |
资产梳理、漏洞扫描、渗透测试、基线加固、安全体系评估、设备策略梳理 |
|
3 |
演练阶段 |
2周 |
2人 |
2人 |
第一轮红蓝演练及整改,1周 第二轮红蓝演练及整改,1周 |
|
4 |
实战阶段 |
3周 |
2人 |
2人 |
7*24小时值守、应急处置、情报同步、追踪溯源、优化加固 |
|
5 |
总结阶段 |
1周 |
1人 |
1人 |
总结得失,持续优化 |
分工配备方案
领导小组:
负责领导、指挥和协调红蓝对抗工作开展,向企业(组织方)领导汇报攻防演习情况。
综合协调组:
一是负责制定《网络攻防演习防护方案》《攻防演习专项应急响应方案》;
二是负责指挥、协调攻防演习中的应急处置工作;
三是负责演习办公环境及相关资源准备,对目标系统、网络基础环境和安全产品可用性确认,负责确定预演习攻击队伍人员组成等相关工作;
四是负责与企业(组织方)领导演习指挥部联系沟通;
五是负责对本次攻防演习工作进行总结,编写总结报告。
防护监测组:
一是梳理现有网络安全监测、防护措施,查找不足,对全网应用系统、网络、安全监测与防护设备相关资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点,为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。
二是对全网系统资产进行安全检查,发现安全漏洞、弱点和不完善的策略设置,包括:
·应用风险自查:重点针对弱口令、风险服务与端口、审计日志是否开启、漏洞修复等进行检查;
·漏洞扫描和渗透测试:对应用系统、操作系统、数据库、中间件等进行检测;
·安全基线检查:对网络设备(路由器、交换机等)、服务器(操作系统、数据库、中间件等)做安全基线检查;
·安全策略检查:对安全设备(WAF、防火墙、IPS、威胁检测等)做安全策略检查。
三是根据综合协调组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施;
四是利用已有(全流量安全监测系统、防火墙、IPS、网络审计、数据库审计、WAF、漏洞扫描系统、威胁检测系统)和新增监测技术手段对网络攻击行为进行监测、分析、预警和处置(封禁IP地址、应用系统漏洞修复、恶意特征行为阻断等),提供5*8小时的安全监测、防护处置服务;
五是对网络和应用系统运行情况、审计日志进行全面监控,及时发现异常情况。
应急处置组:
一是组织业务系统开发、运维人员成立安全事件处置团队;
二是在接到监测组反馈的安全事件后,第一时间开展安全问题整改,并将整改情况反馈;
三是由安全技术人员对整改情况进行复测检查,人工验证安全问题的整改情况,未完成整改的交由业务系统事件处置人员继续整改。
四是负责攻防演习攻击事件的应急响应处置工作。
第七章 技术角度
7.1.红队攻击技战术:
整个攻防活动周期一般在3周左右,红队需要在极短的时间内完成从情报收集、建立据点到横向移动三个阶段的任务,在此过程中蓝队有大量技战术的运用,但下面四种技战术被蓝队频繁使用。
7.1.1.利用弱口令获得权限
弱密码、默认密码、通用密码和已泄露密码通常是蓝队专家们关注的重点。实际工作中,通过脆弱口令获得权限的情况占据90%以上。
当一台服务器被攻陷并获取到密码后,进而可以扩展至多台服务器甚至造成域控制器沦陷的风险,为打开新的攻击面提供了便捷。
7.1.2.利用社工来进入内网
很多情况下,当蓝队专家发现信息系统难以进入时,通常会使用社工、钓鱼等手段寻找蓝队安全意识薄弱的员工开展攻势。
最常见的社工手段当属钓鱼邮件,很多员工对接收的钓鱼邮件没有防范意识。蓝队专家可针对某目标员工获取邮箱权限后,再通过此邮箱发送钓鱼邮件。大多数员工由于信任内部员工发出的邮件,从而轻易点击了夹带在钓鱼邮件中的恶意附件。一旦员工个人电脑沦陷,蓝队专家可以员工PC作为跳板实施横向内网渗透,继而攻击目标系统或其他系统、甚至攻击域控制器导致内网沦陷。
7.1.3.利用旁路攻击实施渗透
有时红队总部的信息系统防守得较为严密,蓝队专家很难直接撬开进入内网的大门。此种情况下,通常蓝队不会去硬攻城门,而是会想方设法迂回进攻。
例如很多企业忽视了总部与下属机构之间的安全边界,缺乏足够有效的网络访问控制,导致下属机构一旦被突破,蓝队可通过内网向上攻击到集团总部,漫游企业整个内网,攻击任意系统。
另外大部分企业对开放于互联网的边界设备较为信任,如VPN系统、虚拟化桌面系统、邮件服务系统等。考虑到此类设备通常访问内网的重要业务,为了避免影响到员工的正常使用,企业没有在其传输通道上增加更多的防护手段;再加上此类系统多会集成统一登录,一旦获得了某个员工的账号密码,就可以通过这些系统突破边界直接进入内网中来。
7.1.4.秘密渗透与多点潜伏
在情报收集阶段,蓝队一般不会大规模使用漏洞扫描器。目前主流的WAF、IPS等防护设备都有识别漏洞扫描器的能力,一旦发现后,可能第一时间触发报警或阻断IP。因此信息收集和情报刺探是蓝队工作的基础,在数据积累的基础上,针对性地根据特定系统、特定平台、特定应用、特定版本,去寻找与之对应的漏洞,编写可以绕过防护设备的EXP来实施攻击操作,可以达到一击即中的目的。
现有的很多安全设备由于自身缺陷或安全防护能力薄弱,基本上不具备对这种针对性攻击进行及时有效发现和阻止攻击行为的能力。导致即便系统被入侵,蓝队获取到目标资料、数据后,被攻击单位尚未感知到入侵行为。此外由于红队安全人员技术能力薄弱,无法实现对攻击行为的发现、识别,无法给出有效的攻击阻断、漏洞溯源及系统修复策略,导致在攻击发生的很长一段时间内对蓝队尚没有有效的应对措施。
蓝队专家在工作中,通常不会仅仅站在一个据点上去开展渗透工作,而是会采取不同的Webshell、后门,利用不同的协议来建立不同特征的据点。因为大部分应急响应过程并不能溯源攻击源头,也未必能分析完整攻击路径,缺乏联动防御。红队在防护设备告警时,大部分仅仅只处理告警设备中对应告警IP的服务器,而忽略了对攻击链的梳理,导致尽管处理了告警,仍未能将蓝队排除在内网之外,蓝队的据点可以快速“死灰复燃”;如果某些红队成员专业程度不高,缺乏安全意识,导致如针对Windows服务器应急运维的过程中,直接将自己的磁盘通过远程桌面共享挂载到被告警的服务器上行为,反而可以给蓝队进一步攻击的机会。
7.2.蓝队防守技战术:
未知攻焉知防。如果蓝队不了解蓝队的攻击思路、常用手段,有效的防守将无从谈起。从攻击者实战视角去加强自身防护能力,是主流的防护思想。
蓝队一般会在前期搜集情报,寻找突破口、建立突破据点;中期横向移动攻击内网,尽可能多地控制服务器或直接打击目标系统;后期会删日志、清工具、写后门建立持久控制权限。针对蓝队的常用套路,红队应对攻击的常用策略可总结为:防微杜渐、收缩战线、纵深防御、核心防护、洞若观火等。
7.2.1.防微杜渐:防范被踩点
蓝队首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。前期防踩点,首先要尽量防止本单位敏感信息泄露在公共信息平台,加强人员安全意识,不准将带有敏感信息的文件上传至公共信息平台。
社工也是蓝队进行信息收集和前期踩点的重要手段,在攻防期内要更多关注钓鱼邮件和未验证身份的聊天。
7.2.2.收缩战线:收敛攻击面
门用于防盗,窗户没关严也会被小偷得逞。蓝队往往不会正面攻击防护较好的系统,而是找一些可能连红队自己都不知道的薄弱环节下手。这就要求红队一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位,哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被蓝队“声东击西”,最终导致红队顾此失彼,眼看着被攻击却无能为力。可从如下几方面收敛互联网暴露面。
1)攻击路径梳理
由于网络不断变化、系统不断增加,往往会产生新的网络边界和新的系统。红队(防守单位)一定要及时梳理自己的网络边界、可能被攻击的路径,尤其是内部系统全国联网的单位更要注重此项梳理工作。
2)互联网攻击面收敛
一些系统维护者为了方便,往往会把维护的后台、测试系统和端口私自开放在互联网上,方便维护的同时也方便了蓝队。蓝队最喜欢攻击的WEB服务就是网站后台,以及安全状况比较差的测试系统。红队须检测如下内容:开放在互联网的管理后台、开放在互联网上的测试系统、无人维护的僵尸系统、拟下线未下线的系统、疏漏的未纳入防护范围的互联网开放系统。
3)外部接入网络梳理
如果正面攻击不成,蓝队往往会选择攻击蓝队企业的供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位,通过这些单位直接绕到目标系统内网。蓝队应对这些外部的接入网络进行梳理,尤其是未经过安全防护设备就直接连进来的单位,应先连接防护设备,再接入内网。
4)隐蔽入口梳理
由于API接口、VPN、WiFi这些入口往往会被忽略,这往往是蓝队最喜欢打的入口,一旦搞定则畅通无阻。红队需要梳理WEB服务的API隐藏接口、不用的VPN、WiFi账号等,便于重点防守。
7.2.3.纵深防御:立体防渗透
前期工作做完后,真正的防守考验来了。蓝队在互联网上的冠名网站、接口、VPN等对外服务必然会成为蓝队的首要目标。一旦一个点突破后,会迅速进行横向突破,争取控制更多的主机,同时试图建立多条隐蔽隧道,巩固成果,使红队顾此失彼。
此时,战争中的纵深防御理论就很适用于网络防守。互联网端防护、内外部访问控制(安全域间甚至每台机器之间)、主机层防护、重点集权系统防护、无线网络防护、外部网络接入防护甚至物理层面的防护,都需要考虑进去。通过层层防护,尽量拖缓蓝队扩大战果的时间,将损失降至最小。如何开展纵深防护建设不再在本报告中赘述。
7.2.4.守护核心:找到关键点
核心目标系统是蓝队的重点攻击目标,是红队重点防护对象。上述所有工作都做完后,还需要重点梳理:目标系统和业务系统关联关系、目标系统的开放的服务或接口、传输方式等,梳理得越细越好。同时还须针对重点目标系统做一次交叉渗透测试,充分检验目标系统的安全性。专门对目标系统的进出流量、中间件日志进行安全监控和分析。
7.2.5.洞若观火:全方位监控
任何攻击都会留下痕迹。蓝队会尽量隐藏痕迹、防止被发现;而红队恰好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器。如何建立有效的安全监控体系不再在本报告赘述,可从全流量网络监控、主机监控、日志监控、情报监控等多方面进行。
第八章 管理要求
建立合理有效的安全组织架构,明确工作职责,建立具体的工作小组,同时结合工作小组的责任和内容,有针对性地制定工作计划、技术方案及工作内容,责任到人、明确到位,按照工作实施计划进行进度和质量把控,确保管理工作落实到位,技术工作有效执行。
建立有效的工作沟通机制,通过安全可信的即时通讯工具建立实战工作指挥群,及时发布工作通知,共享信息数据,了解工作情况,实现快速、有效的工作沟通和信息传递。
如红蓝对抗中,攻击方使用了第三方服务,应向服务商提出不得使用非团队成员。
成立防护工作组并明确工作职责,责任到人,开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作,加强安全技术防护能力。完善安全监测、预警和分析措施,建立完善的安全事件应急处置机构和可落地的流程机制,提高事件的处置效率。
同时,所有的防护工作包括预警、分析、验证、处置和后续的整改加固都必须以监测发现安全威胁、漏洞隐患为前提才能开展。其中,全流量安全威胁检测分析系统是防护工作的重要关键节点,并以此为核心,有效地开展相关防护工作。
攻守双方在实战阶段正式展开全面对抗。防护方须依据备战明确的组织和职责,集中精力和兵力,做到监测及时、分析准确、处置高效,力求系统不破,数据不失。
演习的结束也是防护工作改进的开始。在实战工作完成后应进行充分、全面复盘分析,总结经验、教训。应对准备、预演习、实战等阶段工作中各环节的工作进行全面复盘,复查层面包括工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练和注意事项等多方面。
针对复盘中暴露出的不足之处,如管理层面的不完善、技术层面需优化的安全措施和策略、协调处置工作层面上的不足、人员队伍需要提高的技术能力等各个方面,应进行立即整改,整改加固安全漏洞隐患,完善安全防护措施,优化安全策略,强化人员队伍技术能力,有效提升整体网络安全防护水平。
第九章 注意事项
·测试前进行人员及资产报备
·有可能会影响到业务的操作时候提前沟通
·漏洞和业务沟通确认后再发工单修复
·漏洞闭环跟踪
第十章 参考资料
下列文件中的内容,可能被本文引入作为必要内容或有引用参考,特此说明。
《实战攻防演习之红队视角下的防御体系突破》奇安信安服团队2019.08
《实战攻防演习之蓝队视角下的防御体系构建》奇安信安服团队2019.08
GB/T 29246 信息技术 安全技术 信息安全管理体系 概述和词汇
JR/T 0213-2021 金融网络安全 Web应用服务安全测试通用规范
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
附件一:样例表
|
单位名称 |
||||
|
测试时间 |
xxxx年xx月xx日(生效)至xxxx年xx月xx日(截止); 测试时间段 --:--至--:-- |
|||
|
测试单位 |
企业内部自模拟 外部服务机构对抗 (外部引入机构名称) |
|||
|
蓝方负责人 |
姓名 |
单位 |
||
|
职务 |
联系方式 |
|||
|
红方负责人 |
姓名 : |
|||
|
联系方式: |
||||
|
攻击目标 |
限制目标 不限制目标 |
|||
|
限定目标的范围 |
站点 |
|||
|
IP |
||||
|
服务器环境 |
||||
|
风险报告需包含 |
漏洞统计、漏洞URL、漏洞类型、漏洞等级、漏洞描述、漏洞危害、漏洞证明、修复建议等必要项 |
|||
|
参考标准或依据 |
||||
公众号
oldhand
团队成立于2016年,我们的目标是,让您的数字系统更加安全,更加稳定;诚信真心为您服务,成就你我!
团队理念:
【理念】
-
1、社会价值
深深嵌入社会价值的生物链中,成为社会价值链中“不可缺少”的一环,实现企业自身社会价值的最大化! -
2、向死而生
企业自成立伊始起,败是天经地义的宿命,所以,每一分钟我们都需要如履薄冰、 求最好!
【文化】
-
1.明白人:知其然,知其所以然!不要迷惑于表象而要洞察 事务的本质,要有文盲学习知识的心态,有时我们的学历,是我们学习过程中 最大的障碍。
2.出品人:本人出品,必属上品!有自我荣誉意识、追求卓越意 识。乔布斯:人这辈子没法做太多事情,所以每一件都要做到精彩绝伦。
3.成功人:能挑重担的人就是成功的人!闪掉你的责任,就是闪掉你的光芒。
原文始发于微信公众号(oldhand):红蓝对抗通用规范研究V2.0
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论