蓝队浅析一

admin
admin
admin
101095
文章
87
评论
2021年9月1日20:08:32评论158 views字数 2285阅读7分37秒阅读模式

第一章 什么是蓝队

蓝队,是指网络实战攻防演习中的防守一方。

蓝队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括演习前安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据等。

实战攻防演习时,蓝队通常会在日常安全运维工作的基础上,以实战思维进一步加强安全防护措施,包括提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度、增强溯源反制能力、建立情报收集利用机制等,提升整体防守能力。

需要特别说明的是:蓝队并不仅仅由实战演习中目标系统运营单位一家独立承担,而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍。组成蓝队的各个团队在演习中的角色与分工情况如下。

目标系统运营单位:负责蓝队整体的指挥、组织和协调。

安全运营团队:负责整体防护和攻击监控工作。

攻防专家:负责对安全监控中发现的可疑攻击进行分析研判,指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作。

安全厂商:负责对自身产品的可用性、可靠性和防护监控策略是否合理进行调整。

软件开发商:负责对自身系统安全加固、监控和配合攻防专家对发现的安全问题进行整改。

网络运维队伍:负责配合安全专家对网络架构安全、出口整体优化、网络监控、溯源等工作。

云提供商(如有):负责对自身云系统安全加固,以及对云上系统的安全性进行监控,同时协助攻防专家对发现的问题进行整改。

其他:某些情况下还会有其他组成人员,需要根据实际情况具体分配工作。

特别强调,作为蓝队,了解对手(红队)的情况非常重要,正所谓知彼才能知己,从攻击者角度出发,了解攻击者的思路与打法,了解攻击者思维,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和响应机制,才能在防守过程中争取到更多的主动权。


第二章 蓝队演变趋势

2016年和2017年,由于监管单位的推动,部分单位开始逐步参与监管单位组织的实战攻防演习,这个阶段各单位主要是作为防守方参加演习。到了2018年和2019年,实战攻防演习不论是从单场演习的参演单位数量、攻击队伍数量,还是攻守双方的技术能力等方面都迅速增强。实战攻防演习已经成为公认的检验各单位网络安全建设水平和安全防护能力的重要手段,各单位也从以往单纯的参与监管单位组织的演习,逐渐演变成自行组织内部演习或联合组织行业演习。

进入2020年,随着实战攻防演习中真刀实枪的不断对抗和磨砺,攻守双方在相互较量中都取得了快速发展和进步,迫于攻击队技战法迅速发展带来的压力,防守方也发生了很大的变化。

1) 防守重心扩大

2020年之前的实战攻防演习,主要是以攻陷靶标系统为目标,达到发现防守队安全建设和防守短板,提升各单位安全意识的目的。攻击队的主要得分是拿下靶标系统和路径中的关键集权系统、服务器等权限,非靶标系统得分很少。因此,防守队的防守重心往往会聚焦到靶标系统及相关路径资产上。

对于大部分参加过实战攻防演习的单位来说,对于自身的安全问题和短板已经有了充分认识,也都开展了安全建设整改工作。对于这些单位,急需的是通过实战攻防演习检验更多重要系统的安全性,发现更全面的安全风险。因此,2020年开始,不论是监管单位还是单位自身,在组织攻防演习时,都会逐渐降低演习中靶标系统的权重,鼓励攻击更多的单位、系统,发现更多的问题和风险。同样,防守队的防守重心也就从靶标系统为主,扩大到所有重要业务系统、所有重要设备和资产、所有的相关上下级单位。

2) 持续加强监测防护手段

随着近几年攻防技术的快速发展,实战攻防演习中各种攻击手段层出不穷、花样百出,各单位在演习中切实感受到了攻击队带来的严重威胁以及防守的巨大压力,防守队的监测和防护体系面临巨大挑战。防守队对于在攻防对抗中确实能够发挥重大作用的安全产品趋之若鹜,投入大量资金来采购和部署。

2018-2019年,除了传统产品外,全流量威胁监测类产品在攻防对抗中证明了自己,获得了各单位的青睐,到了2020年,主机威胁检测、蜜罐以及威胁情报等产品服务迅速成熟并在演习中证明了对主流攻击的监测和防护能力,防守队开始大规模的部署使用。除此之外,钓鱼攻击、供应链攻击等还没有有效的防护产品,不过随着在实战中快速打磨,相应产品也会迅速成熟和广泛使用。

3) 被动防守到正面对抗

要说变化,2020年防守队最大的变化应该是从被动挨打迅速转变为正面对抗、择机反制。之前,演习中的大部分防守队发现攻击后基本就是封锁IP、下线系统、修复漏洞,之后接着等待下一轮攻击。敌在暗、我在明,只能被动挨打。2020年开始,大量的防守队加强了溯源和反制能力,跟攻击队展开了正面对抗,也取得了很多战果。

要具备正面对抗能力,需要重点加强以下几个方面。

快速响应。实战中讲究兵贵神速,在发现攻击时,只有最快速地确认攻击方式、定位受害主机、采取处置措施,才能够有效阻止攻击,并为下一步的溯源和反制争取时间。

准确溯源。俗话说知己知彼百战百胜,要想和攻击队正面对抗,首先要找到攻击队的位置,并想办法获取攻击队的足够信息,才能有针对性的制定反制策略开展反击。

精准反制。反制其实就是防守队发起的攻击。防守队在准确溯源的基础上,需要攻击经验丰富的人员才能够有效精确的实施反制。当然,也有些单位会利用蜜罐等产品埋好陷阱,等着攻击队跳进来之后,利用陷阱中的木马等快速攻陷攻击队系统。

 


本文始发于微信公众号(盾山实验室):蓝队浅析一

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月1日20:08:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝队浅析一http://cn-sec.com/archives/371797.html

发表评论

匿名网友 填写信息