大家下午好,非常高兴今天能与大家进行技术分享。感谢组织者的精心组织,使我有机会与大家进行技术探讨、学习和交流。今天我要与大家分享的主题是《蓝军实战攻防战术演变》。
大家应该都知道,蓝军的工作从上至下分为8个阶段:最上面是目标,然后是整体战略,再往下是战术、技术、技术的实现过程、工具以及工具产生的主机和网络工件,最后是原子指标。
我们工作中更多关注工具以上层面。其中技术过程和工具,大家之前已经讲了很多,而且有些细,因此本次分享没有挑选这一部分。至于上面的目标与战略,我在之前的一些技术分享和BCS等其他会议上讲过,包括团队建设以及红蓝对抗量化指标等。所以这回,我挑选了中间一个环节,即战术层面,与大家进行技术探讨和分享。
围绕蓝军实战攻防战术,我认为整体作战套路上并未发生根本性变化,但在战术思路上的确有很多的演变。今天我们将分为三个章节:首先总结下“始终未变的”部分,然后我们将讲下最近3到5年蓝军在作战战术上的实际变化。
第三部分会介绍在蓝军的实战工作过程中,一些小噱头或者创新。我认为虽然它(噱头与创新)虽然不代表蓝军的主要实战攻防作战方向,但是可以会成为我们在实战过程中的润滑剂,并获得一定的效果。因此,(这部分)我将向大家介绍我们在工作过程中的实践与探索。
我们首先来看第一部分始终未变的。它大致分为主动和被动两个维度。
主动部分不变的是渗透的三个阶段和套路。渗透手法一直在不断迭代,但从近20年来看底层逻辑一直未发生太大变化。大致来说,第一步是进行信息收集或者叫情报收集,然后发现潜在的问题和利用点。接下来是利用潜在问题、漏洞和利用点获得初始访问权限或者立足点,即我们所谓的打点过程。接下来的阶段是利用这个点进一步扩大权限,实现内网漫游或者横向移动。我将这个整体攻防过程简单总结为:情报、打点和横向。
我们针对每个阶段进行细化来看:情报阶段主要关注资产、数据和人员。我们之所以关注这些,是因为在资产上可以发现漏洞的暴露面。在数据层面,我们可能发现代码和凭证等信息,人员层面可以辅助下一步的社工工作。在打点阶段,基本就是利用漏洞、凭据和社工。有人可能提到物理渗透、供应链等,但实际上也不外乎上面提到的这三种。横向阶段,你需要完成三件事情:一是本机信息收集、权限提升或者权限维持;二是进行网络结构绘制以及网络弱点发现;三是从本机移动到你想要移动的位置。
整体方法套路就是这些。
我在公司内部也进行过一些技术分享。我对此的评价是:“太阳底下没有新鲜事”。不过,话虽如此,站在宏观层面这个东西的确没有变化,但站在战术层面,其实还是有很大的改变(后面会提到)。
另一个“不变”是被动的原因造成的,是由于我们的工作底线和职业操守所导致。这使得蓝军的工作战术与实际模拟攻击者的战术有一定区别。我给蓝军设了两条工作底线:一是在任何时候不能影响业务正常运行,二是在任何条件下不能留存用户数据。虽然我们在整个工作过程中不可能完全看不到用户数据,但是只要不留存,就符合我们的工作底线。
基于这两条工作底线,实际上它会导致我们有很多战术不能使用或者很少使用。右边这张图中,标黄和标红的部分是我们最近一次在做背靠背实战攻防演练中所使用的战术和相关技术。可以明显看到“影响”这一块几乎没有。
在我们实际工作过程中,始终很少用到的战术有:长期的持久化。短期权限维持是有的。但长期的持久化,比如长年累月不掉线,这种我们基本上不会去做,因为这个时候必然会对业务造成影响。而且蓝军的实战背靠背工作具备一定的周期性,不能把这一次的控制权限带到下一次工作当中,这也是一个要求。
另外利用漏洞进行提权,这个也很少使用。主要原因在于,使用漏洞提权时,很可能导致主机蓝屏或者服务Crash。另外,劫持类的采集操作,比如内网的MiTM流量劫持,我们很少会使用或者不使用。
除此之外,还有例如“捕鲸行动”。很多黑灰产、黑客可能会盯着公司的大鱼和高管进行社工。但作为蓝军,如果对他们采取行动,就可能会造成不必要的误判。
黑客在渗透到内网后,获得一定的内网服务权限时,通常会修改系统进行水坑攻击,这种情况蓝军也很少进行,主要怕难以控制攻击范围或对业务造成影响。
除此之外,在传统黑客攻击中,它会先攻击供应链,然后从供应链中找到跳板渗透企业内部。这种我们也基本不做,原因在于蓝军的攻防授权只在公司内部,不在外部。所以我们也不会用这种战术。
此外,目前阶段,我们对边界类漏洞利用较少,由于ASM攻击面管理的不断完善,边界类漏洞逐渐减少。此外,SRC(安全应急响应中心)的白帽子也在一直尝试发现这样的漏洞,他们第一时间的提交,使得这类漏洞的可暴露窗口期很短。
以上这些都是不太会变的,接下来我们观察发生变化的有哪些?
我对此进行了整理,包括7个部分:第一是社工方式有变化,第二是资产发现方式,第三是漏洞利用方式,第四是命令控制方式,第五是凭据利用方式,第六是针对集权系统的选择上。第七点是云渗透,它与前些年相比,近些年更多地被我们利用,后面我会与大家进行详细的说明和探讨。
在社工变化中,我们之前主要使用钓鱼方式,尤其是撒网式钓鱼。我记得我刚来公司时,他们在进行内部实战攻防时,对2000人进行钓鱼攻击,这可能会造成不必要的麻烦和影响,因此目前我们使用得较少。
目前我们主要进行鱼叉攻击。首先,我们先找这人是谁。上面提到情报收集阶段,我们会收集人员信息。在这个过程中,针对人员和角色,制定专门针对他的社工方案,然后实施鱼叉攻击。一是暴露面小,二是针对性强,最终成功率会更高。
除此之外,近一两年我们更多地采用混合式钓鱼方式。譬如通过小红书针对内部员工发布活动,或者通过微信、电话或者其他内部活动的方式开展钓鱼。
右侧这张图展示了我们近期开展的一次钓鱼攻击案例。我们看到它模拟了一个活动并放置一个二维码,这个二维码实际上是一个Evil Proxy,最终目标是获取经过MFA认证过的登录Token。
随着SSO和MFA的不断普及和覆盖,现在再通过社工库、撞库或者钓鱼等方式获得账密已经基本无用。因此我们更多使用Evil Proxy、聊天扫码等方式进行社工攻击。
除此之外,我们今年也进行了其他尝试。以前我们更多的是针对员工的公司邮箱来发起钓鱼邮件。但目前,SEG(安全邮件网关)已经相对成熟:首先,当外部人员给内部发送邮件时会有提示,表示邮件来自外部,需要小心。其次,SEG上面的安全策略和沙箱策略做得也相当不错,鱼叉攻击更容易被发现且难以规避。所以,今年我们尝试与对应的社工目标联系,诱使他们为我们提供个人或者外部的邮箱,然后我们进行鱼叉攻击。
除此之外,以往的横向操作更多的是当我们获得员工的邮箱权限后,通过他给别人发信息获得更多的权限。目前几乎每家公司都有自己的即时办公软件,例如企业微信、钉钉和京me等。我们现在更多通过即时办公软件进行横向操作,实际上它的效率和防御绕过的能力会更好。
这是社工上的一些变化。
第二是资产发现方面的变化。
我们以前基本是在设定目标后,就进行子域名爆破,发现IP、IP段,并进行端口扫描和漏洞扫描。
但目前,网络安全进入高强度防御阶段。首先互联网攻击暴露面变小,其次攻击动静也会很大(更容易被发现和处置)。因此,我们现在进行端口开发性测试,更多会以服务链接的方式代替端口扫描。针对漏洞,我们不会像很久之前那样使用类似于APPScan或者AWVS等进行批量化扫描:一方面很难再扫描出有价值的漏洞,另一方面很可能在扫描过程中被发现、识别和阻断。
我们现在一般通过服务连接方式确定资产类型和版本,并进行POC概念性验证。之后我们再编写具体的EXP,根据防御规则和手段进行最终实际利用。
此外,我们原本主要采用扫描方式获取资产,现在更多采用资产爬取方式,然后对内容进行解析和进行有限字典枚举等。
在漏洞上这些年有很大变化。
以前更多是通过漏洞利用,进行外网打点来获得WebShell,或者对一些外部系统进行Get Shell。但现在想获得这种Shell的难度很大,防守方出现百密一疏,即某个资产不在他掌控范围内,你才有可能有这样的机会。否则,很难有这样的机会。因为新爆发的0day、1day,只要在他掌握的资源范围内,漏洞就会很快被修复。对于短期难以被修复的,他也会很快采用WAF和RASP策略拦截阻断。这导致我们漏洞的发现和利用与以前有很大不同。我们现在更多地利用权限控制漏洞或者配置错误漏洞。
偶尔我们也会使用一击必杀,主要针对自研软件。针对一击必杀,我们主要发现这么几类漏洞:首先是凭证伪造类,利用凭证设置或者置换不合理,可以伪装成其他人。其次还包括RCE以及其他权限类问题等。
第四是控制方面也发生了一些变化。
以前我们基本是获得Webshell,获得C2,或者打下点以后做一个反代,基本上是这样一个方式。这种控制方式大家都比较熟悉,现在这种方式不太可行。因为Webshell可能会被第一时间发现,C2可能很快被NIDS、HIDS所发现。反代的话,模拟成HTTPS会好一点,纯TCP、UDP被发现概率也很大。现在我们更多采用如下策略:
第一种是LOTL,这是国外的名词说法,称为Living Off The Land,指在土地上生存的意思,我认为将其翻译成中文可能类似于以战养战,或者因粮于敌(孙子兵法)。即,在进一步横向过程中,并不使用自己的攻击工具,而是利用现成的系统工具。大部分使用方式包括以下几种:
一种是无恶意软件活动,我使用正常系统的功能和命令。第二,目前每个系统、容器等都会有一些内部运营工具,我可以复用这些工具开展攻击活动。第三,每台机器上可能都有各种Agent,包括OP Agent和安全Agent。我们可以通过挖掘Agent功能性漏洞实现内网横向。
此外,许多业务系统为方便对线上系统进行管理,会留存业务级别的后门。这种后门的鉴权能力会差很多,并且一些鉴权方式具备一定的通用性。例如,一旦获得某个内置的口令和密钥,就可以实现一打一大片的效果。因此LOTL是目前我们使用较多的一种手段。
其次,在获得立足点并进行横向过程中,我们更加关注NHI,即非人类身份。我曾经查阅相关报告,报告中提到对于一个中大型企业而言,非人类身份远大于人类身份。人类身份一般指以ERP为主的身份,非人类身份一般要十数倍或数十倍于人类身份。而,我刚才提到的MFA主要防护的是人类身份,而非人类身份主要以Token、密钥、key为主,缺乏MFA防护。针对非人类身份的凭据复用对我们进一步的攻击非常有帮助,它也成为我们有效的权限控制的一种手段。
针对PC机,在以前我们一般会钓到一个人,给他中一个马,并进一步控制他的PC去钓其他人,或进行针对IDC的一些穿透性的漫游。但随着EDR、UEM能力的不断提升,如果有一个可执行文件落地,基本上会很快被发现。因此在近一两年内,我们在对PE的控制上也做了一些其他方面的尝试。例如,我们不再控制终端,而是以获得终端上所登录的凭证为主。
刚才提到终端可能会有譬如VPN Agent、零信任Agent,以及办公即时通讯软件等,那么这些软件或Agent上一般带有登录态,我们将登录态抠出来后可以复用这个人的身份,进一步开展内外渗透。这种终端的登录态一般还有一个好处,即可以进行登录态置换。当你进行登录态置换时,可以换成一大堆其他动态,这是控制上的一些变化。
接下来我们看凭证利用上的一些变化。
在以前,我们主要以获取账密为主,当通过钓鱼、社工等获得账密以后,我们再通过账密去进一步获得这个人的凭证。
现在,首先因为有了MFA,很难绕过MFA直接获得登录凭证。其次,在进行账密登录过程中,也会有一些异地登录告警或拦截等防御方式,意味着账密攻击变得越发困难。
目前我们主要通过以下手段解决问题。首先我们不再直接钓账密,而是通过在整个MiTM或BiTM过程中获得登录态信息,绕过MFA登录验证。第二,我们在获得SSO Token后,因为单点登录通常具备对其他应用系统的Token置换能力,可以让员工无感登录不同系统。当获得一个人的Token后,就基本上具备了这个人在各个不用应用和系统上的访问权限。
在我们的历史实战攻防案例中,我们最多通过A Token置换B Token,B Token置换C Token等,置换过4次Token来达成对目标系统的访问。
除此之外,我们会用心收集ak/sk、ssh key等信息,并进行Open API的提取和使用。
不过账密也并非完全不使用,更多针对数据库、运维、运营及日志类系统。之所以它仍然可用,第一,是因为这些系统缺乏一定的安全管控能力或者存在安全管控不到位的情况。第二,这类系统属于开发运营人员之间的系统,并非属于业务系统或者前端应用系统范畴。它对接入SSO没有强制性要求,所以给攻击者留出来较大的可攻击空间。同时它可能也不会去接零信任,日志系统在正常操作过程中可能会存储一些Token或ak/sk,即存在数据未脱敏情况,这些都是我们可以进一步利用的方面。
第六方面是集团系统的控制和选择发生了很大变化。
以前,我们更多地是将譬如域控或者企业主站之类作为渗透目标来开展工作。但从最近几年,随着蓝军工作的不断深入。我们认为之前所谓的目标并非真正的目标,它只是过程性的指标,而非结果性目标。
结果性目标,它一定是跟黑客、黑灰产最终要达成的目的相同。
例如,黑客的目标可能是为了获得数据、导致系统瘫痪,或某种其他的系统控制。而如果我们围绕这些目标来看,并不一定要控制唯一的信息系统,我们有太多的点可以利用。我们从DevOps的各个阶段来看,每个阶段都有相应的系统。只要相应系统能够达成你的目标,就可能成为你最终的控制目标。
因此,我们现在不仅控制集权系统,还可能控制集权系统的外延。例如,如果我们将线上业务系统数据作为最终目标,那我们可能不会选择去直接控制它,因为它的防护可能会很强,我们可能会尝试控制与它同样接线上数据的预发系统。针对预发系统,它的安全策略可能并不严格,安全防护能力也不强。这就可能成为我们的一种新的工作方式。
另外,我可能为了获取数据,不选择控制业务系统,而选择直接控制数据库、日志系统或者数据分析系统,以及寻找整个数据在流转过程中的一些调用链,例如mq、缓存等,这些都是我们可以使用的新的方法。
除此之外,在横向过程中,我们现在更加关注对DevOps和CI/CD阶段的相关系统控制。包括:代码管理的相关平台、系统部署的相关平台应用、配置服务器、镜像存储的相关服务器、线上实际容器以及相关日志等,这些都将成为我们的控制目标。
这是在横向阶段以及对集权目标系统的选择和控制上的变化。
第七部分是云渗透,(照比前些年)它有更多被使用。
在三、五年之前,我们并不十分关注云渗透。主要原因在于当时云渗透的整体安全性能力,与当时企业系统外网攻击暴露面和内外的实际防护情况相比,安全性相对较高。
然而,随着企业安全能力和水位的不断提升,通过企业内外网直接打点的难度已经变得相当高。与此同时,我们回顾云服务发现,它由原来的长板变成新的短板,因此现在反而在实际过程中会更多地被使用。
而云服务目前看,暴露的问题非常多。从右侧两张图可以看出,对于云服务而言,提供的服务及应用实在太多,很多应用又涉及到对内网IDC的服务调用。最终导致云服务的服务众多、网络复杂和应用多而繁杂。例如京东云、腾讯云、阿里云,这种细分的应用普遍超过200个,有的甚至可以达到300个左右。这么多应用意味着只要某个应用出现问题,都可以成为进一步利用的点。
在实际的攻防渗透过程中,我们发现可以利用的点包括以下几个方面:首先是内部新孵化的应用。许多应用并非从创建的第一天就为C端用户使用,最初可能是做内部孵化项目或者作为内部提效的生产工具。在这个工具的使用过程中,它们会不断成熟完善,直到某天具备一定的成熟条件,它们可以挪到外部,作为一个对外的应用。而在应用从内到外的迁移过程中,可能保留原有的配置、权限和痕迹,这些痕迹很可能成为我们的利用点。这种问题在实际工作中也有所发现。
另外是网络隔离问题。我刚才提到云有很多复杂应用,这些应用会进行内网服务调用,导致整个隔离变得越发复杂。除此之外,每个服务都有相关的Agent、容器、K8S,这也暴露了很多问题。随着AI的发展,各个云服务都有上新的能力,譬如LLM、MCP、AI Agent等,从我们的实际掌握情况来看,都存在安全问题。
第三部分是噱头与创新。
在工作中,除了上面提到的,有板有眼地以目标为导向开展一些工作外,我们还会进行一些创新性或者趣味性的尝试。
例如,除了上面提到的对AI相关的攻击,我们也做过一些WiFi攻击和物理渗透。右侧是我们在某次物理渗透中将员工制卡机黑掉,并通过这个初始访问点进行内网渗透。
另外我们也做了一些AI+攻的尝试和利用,包括自动化代码分析、漏洞挖掘、钓鱼文案编写,以及员工在社交媒体上的社会化分析等。不过,从目前的实际情况来看,想要使用AI+攻实现蓝军全链路的无接管攻防不太现实,它对人员思路创新性的要求实在太高了。
在对抗形式上也有一定的变化。
以前更多的是限制时间,限制手段,会提前告知防守方什么时间段,采取何种形式对什么靶标开展工作。在整个过程当中,他们一直在监控我们,导致整个攻防激烈。很多时候我们的攻击可能会搞到后半夜,目的是为了实现一个不对称性对抗。
现在,随着防守侧防御能力的不断提升,他们的信心也在提升,并且整个攻防和安全运营也步入到常态化阶段。目前我们与他们基本上是背靠背的实战攻防过程,不会限制时间和手段,也不会提前告知。
在我们的工作过程中,以前以靶标为导向,因此我们采取短平快的策略。当我拿下靶标后,你发现我就发现我了,我已经完成了我的工作目标。现在,我们会把时间拉长,尽可能少触发或不触发告警,降低被发现概率,整体以绘制路径为导向。
右边这张图经过我打码的,主要想跟大家展示我们目前是以控制对企业造成重大影响的系统或数据为目标,并绘制攻击路径,会以这样的形式展现。
除此之外,在演练形式上有一定的探索和更新,可能也太不能算做创新。
例如,除了背靠背的实战攻防演习外,我们还会开展针对具体的安全防御能力的红蓝对抗,如人脸识别的红蓝对抗,大模型的安全评估,身份盗用对抗,针对NIDS、WAF的对抗,接口签名对抗等等。
我们也会借鉴国家级HW开展沙盘推演。
除此之外,在近一、两次背靠背实战攻防演习中,我们加入了溯源演练。之前攻击完成后形成报告即可结束。
最近一两次攻防结束后,我们会将一些数据以匿名方式提供给情报中心,让情报中心以正常情报的方式为安全运营做成输入,查看他们在数据溯源方面的情况。账号接管是在我们获得权限后,通过一定形式将少了账户接管信息同步给防守方,让他们去溯源账号是如何被接管的?手段是什么?能否及时止损和处置?是否还有其他被接管账号等等。这样的溯源演练更有利于防守侧检验和提升溯源方面的安全能力。
最后跟大家做一个总结。
我认为,目前的实战攻防,整体处于道高一尺、魔高一丈的状态。攻击技术的不断演变是由于防守方的不断进化所导致。例如:EDR的普及,使我们减少可疑文件落地,使用多阶段C2的次数增多;SBCP安全文件升级,使社工向多平台及定向深度伪造进行进化;SEG的提升,使我们会以外部邮箱为目标,抛弃常规钓鱼附件的方案;MFA的全覆盖,使得我们使用Evil Proxy和凭证复用成为一种更主流的突破方式;SSO的覆盖和办公便捷化,使得多平台Token置换成为可能性;漏洞的事前、事中、事后的检查,使得常规性漏洞逐渐减少。我们使用逻辑漏洞和配置漏洞更多;攻击面管理的升级也使我们转向云原生、研发、运营周边或者AI应用。
最后,总结一下蓝军的未来和演变趋势。
我觉得,虽然整个对抗仍然处于不断升级和进化的过程中,但蓝军肯定可以始终处于一个能不断发现安全运营和安全防护风险的过程当中。
原因主要有以下几点:
第一,万物皆变,人是安全的尺度,这是ISC 2017年的主题。老周也提到网络安全的本质是人与人的对抗。我加了一句“而,世界是一个巨大的草台班子”。我们发现防守侧人员的安全能力以及研发侧人员的安全能力并不一定是持续提升的,随着人员流动会有起伏变化,尤其每当一个新系统上线就会面临新的问题。
第二,有人的地方就有漏洞。虽然实战攻防过程中没有引弹,但是安全遵“水往低处流”的原则。刚才我也提到云安全最初属于一个长板,随着其他安全能力的提升,它反而会变成一个短板。而,新事物带来新的挑战。上面提到MCP、AI Agent、大模型等新技术都带来了新的问题。
第三,顶层越来越猥琐,底层越来越变态。这句话是在08、09年左右与大风(刺)聊天时提到的,目前依然奏效。顶层方面,我在关注近期国际APT组织的变化中,发现譬如Lazarus、暴风雪等组织都在使用ClickFix攻击技巧,虽然这是一种非常猥琐的社工方式,但是十分有效,反而使得这种攻击有愈演愈烈的趋势。底层方面也是如此,像接口验签最开始只是简单的加密和哈希,然后开始加入算法白盒化、代码混淆、VMP、WASM等,目的就是通过让自己更变态来不断增加对方破解成本。
所以,我认为实战攻防未来更多的是对脑力和体力的挑战。譬如你能不能想到一些新的突破点,能不能坚持完成防守方给你留下的变态挑战。这可能是未来的演变和变化。
以上就是我要与大家分享的内容,谢谢。
Q & A
Q1:可反哺企业安全建设的红蓝对抗可量化观测指标有哪些,如何将红蓝对抗和企业安全建设形成一个有效闭环
A1:我们在整个红蓝对抗过程中一直在考虑这个问题。例如当蓝军将红军打败或者打穿时,究竟是蓝军强还是红军弱,我认为这在很久以前一直是个问题。我加入公司后创建了一个名为“红蓝对抗评分框架”的系统(rtass.jd.army),这是一个能够明显观察红蓝对抗过程中各方面能力水平的指标。这是可量化指标方面。
在对防守赋能方面,每次红蓝对抗并不意味着工作结束,除此之外我们还会进行问题分析和复盘。最近,老板给了我们一个新的角色和定位:不仅要复盘,还要跟进防守侧的治理进度,最终实现验收。我认为这可能就解决你刚才提到的问题:通过红蓝对抗发现问题,通过复盘将问题变成治理项、行动项,跟进治理项的实施,通过验收Close问题,形成闭环,这样已有发现的问题可能被解决。然后,蓝军可以进入下一个循环,去发现一些不在现有掌握范围内的新问题。
Q2:这种token控制 如果遇到失效或者过期怎么处理 有没有备用方案?
A2:其实Token这个东西很明显是指一类的登录态或者一类的凭证,所以Token本身就分成长期和短期等不同种类。我们在工作过程中,各类Token都会获取,也会去做Token的一些状态维护和刷新。
Q3:实战过程中经常被员工顶掉登录态,没办法太好维持
A3:我认为针对只能在单个设备登录的情况,一种方法是获得更高的动态。刚才我也提到在整个Token的置换过程中,我们为了获得目标系统权限,一共置换了4次登录态。即使某个登录态被踢掉,也不会导致接下来的3个登录态全部被踢掉,因此在这个过程中你可以控制不同阶段的登录态。第二,我们不会将用户的登录态作为长期持久化的方案,我们获得登录态的最终目标是获得系统权限。获得系统权限之后,再去获得NHI的身份,它的登录态可以被自己获得或者维持,这样会更好。
我们也遇到过登录态被踢掉的情况。我认为如果将其作为长期策略,那么确实不是一个非常好的方案。最好的方式是在登录态尚且有效的情况下及时横向移动出去,或者及时置换成其他登录态或权限。
Q4:演练不通知防守方的话,是由蓝军来控制演练的进度吗?演练的周期和范围怎么选择?每次是对集团开展演练,还是会聚焦在业务线上。
A4:是的,演练由蓝军主动发起,控制进度,以及确定最终结束。演练周期方面:你可以确定一个大且宽泛的周期,例如每半年或者每个季度为一个周期。范围的话,我们会把公司所有资产都作为演练范围。
然后针对每个季度或每半年这个大的背靠背的实战攻防演练,我们是针对集团展开的,不会聚焦在业务线上。不过,有时业务线会找到我们或者我们主动想要评估某个业务线的安全性,我们会进行具体的红蓝对抗或者开展一次小型演练。
Q5:在甲方的红蓝对抗中,如何能够整体化、连贯性去看待,避免总是围绕攻防项目走?
A5:这个跟我刚才回答的Q1的问题是一样的。我们不能将红蓝对抗视为一个单点,因为红蓝对抗是有目标的,这个目标是:以攻促防。是为了发现短板去提升最终的防护能力和水平的,所以最终还是要实现闭环,原则的话,就像我Q1中提到的方式。
Q6:蓝军团队除了各种定期的演练、专项工作外,团队成员在非演练期间的日常工作一般是如何安排,还有如何对蓝军团队成员进行考核呢?
A6:考核这个有点大,今天时间有限我就不细说了,如果有机会,我们可以单独讨论。关于非演习期间的工作安排,我之前提到除了实战攻防演习模式外,我们还可以开展红蓝对抗和沙盘推演。我们还可以针对重要信息系统开展风险评估,开展溯源对抗演练等。除此之外,公司有时会有一些战略项目,这些战略项目既重要又紧急。蓝军可能会充当渗透测试工程师,针对这些战略项目开始渗透。
好的,由于时间关系,今天的交流就到这里,谢谢大家。
(PPT点击“原文链接”下载)
原文始发于微信公众号(梦之光芒的电子梦):近年蓝军实战攻防战术演变
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论