一、起源
世界上本没有信息安全,挖漏洞、搞破坏的多了,也就促生了信息安全。 ——鲁迅
红蓝对抗的概念源于军事领域,专指军队进行大规模的实兵演习。进入国内信息安全领域后前期主要活跃于学术理论和课题研究。近几年随着hw活动等因素(尤其是今年)开始逐步落地,开花......
红队(攻击者)和蓝队(防御者)两者之间就如同太极中的阴阳,阴阳是相互作用、同时存在的。正所谓:阴阳相参,如影随形。
(注:红队≠红军,蓝队≠蓝军。)
1ight叫兽结合自己的研究和经验通俗易懂地总结色彩斑斓的战队概念如下:
-
红队:组织内或外部雇佣的安全测试团队,持续以攻击者思维对组织系统进行不限于漏洞利用、社会工程的类APT的深度“战役式”安全攻击测试。
-
蓝队:可以为组织真正抵御攻击者的团队,致力于不断改善其组织的安全状况。需要具备安全事件与威胁情报的研判和响应、安全策略和防御体系的优化、攻击识别和溯源等基本能力。
-
紫队:通过整合红队攻击手法和蓝队防御策略来最大化红队和蓝队的安全效率。紫队最佳形态是促进红蓝两队之间的持续整合的活动,不一定是实体团队。
二、建设
蓝队安全架构应该至少包含:蓝队平台/工具、蓝队情报库和蓝队技术三个层次,三个层次的能力有机结合、相互赋能。
蓝队平台主要借助大数据平台、APT平台、EDR、蜜罐等,要求能够通过合理的部署和策略配置提供可靠的安全数据基础。
蓝队情报库一方面要更多的吸取红队的“兵器库”,一方面要积极收集在野Nday,为蓝队平台提供高时效性的策略保障。
讲蓝队技术之前,我们先引入一个模型:PPRD
PPDR又称“自适应攻击保护架构”,是基于经典的PDR模型,引入Predict(预防)阶段优化而来。模型包括预防、保护、检测、响应四个阶段,可以有效测量面对威胁时的安全防御能力。
传统安全运维服务主要能力集中在上线前后的安全测试、设备防护和事后的应急上。1ight叫兽认为蓝队建设要更全面的覆盖PPDR四个阶段,且有效解决响应被动、防护缺失等问题。蓝队技术对应PPDR四个阶段分别为:
-
安全基线:基线、边界梳理,安全态势监控
-
防御强化:系统加固、网络隔离,对抗演练
-
威胁狩猎:结合APT、大数据、蜜罐等平台对攻击行为展开识别、跟踪、引导、诱捕
-
威胁分析:调查分析、策略优化
对应红队技术路径:
三、不提不上档次的MITRE ATT&CK
今年最火的框架非MITRE(没错,就是运营CVE那个组织)的ATT&CK 框架莫属了,PPT、文章里不写这个都不好意思说自己是搞安全的......
ATT&CK框架提供了所有威胁行为的分类,说白了就是结合当下流行手法的、标准化的、非常详细的梳理了一遍以前安全测试经常提的“信息搜集——服务探测——漏洞扫描——渗透测试——权限提升——权限维持.....”那一套测试步骤。前段时间还看到一些圈内大佬在激烈争论这个框架的新意和价值......1ight叫兽认为在不要过度神化的前提下,这些标准化框架对我们信息安全研究还是很有参考价值的。
ATT&CK框架包含战术、技术、过程(TTPs)三个维度:
-
战术:在行动期间对目标可能使用的战术
-
技术:为实现其目标所采取的技术手法
-
过程:行动执行过程中具体的技术步骤
所谓“知己知彼,百战不殆”,这些详细到具体攻击步骤的标准化框架对我们蓝队建设非常有意义:
四、最后一点
相对于传统安全运维,蓝队更考验面对真实威胁的响应和处理能力。引用一句敏捷开发原则:
响应变化高于遵循计划
【完】
篇幅有限,很多内容没有具体展开,感兴趣的朋友欢迎在评论区展开讨论,或邮件联系我:
本文始发于微信公众号(WhiteCellClub):浅谈企业蓝队建设
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论