写在前面的话
关于红蓝对抗这个话题本来是放在企业安全系列里面写的,当然也是放在后面部分了。不过某位大佬来点播了这个话题,想想这个话题也比较独立,就提前先写了。
另外由于各家企业对红蓝双方定义不同,为了避免误会还是用攻击组和防守组来行文。
因为文字太多,考虑到阅读感觉,还是切分上下两部来发。
关于红蓝对抗这件事
红蓝对抗这几年也算是企业安全的热点,很多企业的安全部门都打算开展红蓝对抗这项工作。但是真正要把红蓝对抗做出效果,持续运营起来,这还是需要花很多功夫在里面的。
写这篇文章也是对企业建设红蓝对抗工作做一个初步事项的罗列和简介,给需要的建设红蓝对抗的朋友一点参考,如果有不对请给予指正。
红蓝对抗的要怎么做
红蓝对抗的目标是什么
确定红蓝对抗的这项工作的目标是开始最重要的事情,因为目标不同对后面这项工作的计划安排还是有很大影响的。
红蓝对抗可以找出企业信息安全中最脆弱的环节,检查企业安全防御能力的完善性,检查公司安全人员的工作能力和应急响能力。
红蓝对抗的目标列举:
-
检验薄弱环节
红蓝对抗就是要模拟黑客视角对企业进行全面的检验,找出薄弱环节,帮助企业修补这些薄弱环节。不过这个薄弱环节并不局限漏洞,可以是架构问题,可以是业务漏洞。
-
检验防御能力
很多时候企业对自己防御能力并没有一个很完整的认识,需要进行红蓝对抗,来模拟黑客在真实环境下进行攻击,才能检验这些安全防御能力是不是能发挥应有的作用。
-
检验和锻炼应急响应能力
红蓝对抗中防守方是重点检验的环节,所以应急响应工作代表着安全部门最基础的安全能力,每次演练不仅要验证应急响应工作的完备性,还应该根据演练情况加强应急响应工作的准备,例如相关工具准备,相关人员安排等。
-
检验和锻炼安全人员工作能力
红蓝对抗是不仅检验攻击者的水平,还应重点检验防守方在处理安全事件的工作能力是否匹配岗位,安全事件并不是经常会出现的所以每次演练都是对防守组人员的工作的检查和锻炼,应该抓住机会对相关人员进行检验和锻炼。
红蓝对抗的场景
如何确定红蓝对抗的场景也是红蓝对抗的重要部分,很多时候默认红蓝对抗关注针对的都是线上信息系统或者信息系统。
其实红蓝对抗不应该仅仅关注信息系统,很多线下部分,业务安全,内容安全都应该是对抗的范围。另外需要注意不同的对抗场景,在团队组成上也需要有不同的。
-
线上部分
大部分红蓝对抗重点都在线上部分,但是线上部分也有很多区别,如正式环境测试环境,还有三方平台的,以及saas服务的,这些场景范围的选择对红蓝对抗规则制定以及后期
-
线下部分
线下业务/线下环境都是很多安全防护的盲点部分,而且随着线下信息化的普及很多原来线上的业务也在线下开展了。
线下也是红蓝对抗需要重点关注的部分,而且线下工作更多细分场景需要更多设计。
-
业务安全
业务越来越复杂,业务活动越来越多,很多业务如果存在安全问题或者缺乏保护,一样会给企业造成重大损失甚至比传统攻击危害更大。
企业在设置红蓝对抗场景时候不应该忽视业务安全方向的对抗。
-
信息内容安全
现在对内容合规要求越来越高了,业务中UGC业务都是高风险区域,这些地方如果管控不到位,很容易出现涉政涉黄问题,而且由于这些业务接入很多时候安全并没有参与,经常是安全防御的盲点。所以在红蓝对抗中也需要考虑针对内容安全的对抗场景。
红蓝对抗团队建设
红蓝对抗主要是模拟真实攻击,所以主要的工作重点是组建攻击团队。普通企业如果组建专门的对抗团队成本还是较大,现在乙方安全公司也对外出售这样的服务,没有条件组建团队的企业可以外部采购相关服务来进行对抗演练。
-
自建团队
自建团队最大的优势是企业对人员安全可控,毕竟对抗都是针对企业模拟黑客风险如果没有控制好,例如把核心数据流失到外部,可不是闹着玩的。
自建团队方式基本分为两种一种是专门服务红蓝对抗的团队,还有一种是临时团队,是从整个安全团队内抽调擅长相应技能的员工临时组成团队进行对抗演练,对抗结束组织解散。
-
专门团队
虽然专人专岗,工作相对稳定能专心于红蓝对抗工作。但是因为红蓝对抗演练需求岗位很多,不仅是攻击方面人员,还需要安全研究,安全开发等,如果专人专岗需要组织较大团队,长期维持大型团队比较困难。
-
临时团队
根据演练需要,从相关安全团队临时抽调相关人员,根据实际情况组建临时演练团队,演练结束团队解散人员回归原团队。
临时抽调团队优点是组建灵活,而且由于都是内部员工,没有维持团队的压力,可以根据演练不同抽调不同人员。
不过因为抽调人员对原有安全团队的正常运转有影响,而且攻击组的人员不稳定也让每次演练还需要人员磨合。
-
外采服务
外采服务最大的问题还是存在风险,因为毕竟演练目标都是针对企业的核心资产,真出问题可就不是小事情。
但是因为组建专门团队并不是一件容易的事情,为了能快速进行红蓝对抗演练可以通过采购外部服务来实现。
一般外采服务有乙方公司自营和众包两种模式。
-
乙方公司
乙方公司自己内部团队进行攻防服务,算是自营业务,相对来说风险更小一些。当然就算乙方公司雇员也是有不可能控的因素存在。
另外就是在考核方式分为有直接打包费用和按结果计费,两种方式各有利弊,需要企业根据自身情况和乙方具体协商。
-
众包模式(安全众测)
众包模式是这些年比较流行的方式,通过组织外部安全专家(白帽子)来对企业进行检测。主要优点是组织灵活,参与人员多检测点多,覆盖面相对全面,而且按结果计费相对成本会低。
众包模式一般也分两种一种是企业自己通过src这样部门自行进行组织,一种是通过第三方企业组织进行。
众包模式优点不少但是缺点也明显,除了之前说的风险问题,还有就是因为毕竟测试人员都是个体,因为漏洞评分问题很容易出现纠纷,从来闹出很多舆情上的风险。
原文始发于微信公众号(大海里的废话集合):企业安全之浅谈红蓝对抗--上
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论