写在前面的话
接昨天的文章,提纲配图在文末。
红蓝对抗演练各团队职能规则确定
红蓝对抗和军事演习一样,在确定目标和场景以后,就要确定演练参与团队的职能和规则。虽然要模拟真实的黑客攻击,但也必须要有完善的规则。规则不仅对防守方需要遵守,攻击方也需要遵守。
红蓝对抗演练设定和职能规则要看各企业各自要求,这里按照最基本的职能划分成三个不同组织,并且做一些规则和职能汇总作为参考。
-
攻击组
-
攻击组的职责
攻击组的职责是红蓝对抗演练里的模拟攻击,对企业的进行相应攻击来检验企业是否能有效防御攻击(找到进入内网入口),企业在防守失败以后以后有什么损害(获取数据/权限),检验企业安全部门能否发现攻击(对抗后门/入侵的检测)。
-
攻击组的规则
-
信息管控
红蓝对抗演练中争议较大的环节是攻击者能否了解内部信息,因为如果攻击组能拿到例如防护策略,内部代码,内部防护部署这些信息,这些会让防守组非常被动。还有是否能获取资产信息(域名/ip/应用)。
-
攻击限制
红蓝对抗演练中虽然是模拟真实攻击但是不能因为模拟就随便来,还是要控制很多破坏性很大的手法避免损失,例如限制攻击方式(大规模社会工程的手法获取员工账户),限制攻击技术(ddos攻击),攻击源头限制(限制反弹shell的部署位置)。
-
策略限制
在红蓝对抗演练中比较有争议点是攻击组是否可以在演练中绕过安全策略,如waf限制扫描访问频次的拦截策略。
-
防守组
-
防守组职责
理论上红蓝演练中防守组不应该是特别组建的部门,因为防守组就是企业为了应对黑客攻击才设立的,所以防守组作为安全部基本组织部门职责就是承担演练的防守职责。
-
防守组规则
-
信息管控
和攻击组一样,防守组也应该保持对信息执行应有的管控,模拟真实环境,不能去了解到内部信息,而做很多特别应对措施。
-
演练应对强度
红蓝对抗演练为的就是检验企业安全建设的效果,既然要贴近实战就不应该出现因为演练就出现特别应对的情况(比如,加强值班,加强策略,临时下限机器)。应该按照正常环境正常状态来应对,这样才能检验出防守组的真正能力。
-
指挥部
-
指挥部职责
红蓝对抗中攻防双方各自执行任务,不会有交集的,这样在很多应急事件处理上就存在沟通问题,因此需要设置一个指挥部,前期协调攻防双方就演练问题达成共识,中间协调信息同步和紧急问题处理,后期对双方结果进行评分和裁判。
-
演练的周期
红蓝对抗演练需要前期准备和成果消化时间,所以有一个良好的运转周期可以让红蓝对抗发挥应有的效果,让攻守双方能有时间消化吸收每次演练的成果。
-
演练的目标
确定目标也应该量力而行,目标太大很容易导致周期过长,或者根本无法完成预定目标。建议在制定目标时候需要多考虑攻守双方资源问题,如果需要演练对抗的目标很多,可以考虑切分目标,分多次演练进行。
-
制定演练的规则
在演练开始前很多规则应该先在攻防双方都认可的情况下确定下来,特别是外购的对抗演练服务,不然后期因为某些问题认知不统一导致扯皮,会带来很大的麻烦。例如一个webshell从上传到被发现到多久发现算是防守有效。
-
信息同步
演练开始以后攻防双方都会处于信息不通的状态,因此指挥部需要扮演一个信息交互的渠道,例如突然出现某些故障需要同步指挥部进行判断,如果是演练导致,应该通知相关演练部门进行处理。
-
应急处理
演练中可能出现一些因为攻击产生的事件需要应急处理,组织部应该在演练进行时就确定攻防双方联络人,在突发情况出现时候应该能马上联系到相关人员进行处理。
-
复盘
演练结束以后,指挥部应该组织攻防双方进行复盘,当然复盘要考虑到攻守双方信息同步规则,比如是否泄露会影响攻守对抗上的信息,这部分信息管控需要指挥部来把控。
-
红蓝对抗运营
红蓝对抗演练准备工作做完就要正式开始运营了,这里把每次演练分为两个阶段,第一阶段为演练进行阶段,第二阶段为演练复盘阶段。
-
演练进行
-
演练开始
演练开始主要是安排人员和具体任务时间分配,根据定好的规则,攻击组人员在规定的时间内进行攻击演练任务。防守组进行正常应对,在规定时间内
-
运行监控
演练开始以后,应该加强监控不仅是业务方向的,其他关键信息也需要加强关注,避免因为演练给企业的业务造成不良影响。如果是外购的攻防服务,关键节点和敏感数据更特别需要关注,如果条件允许可以增加额外的监控手段。
-
演练复盘
复盘是算整个对抗演练中最重要的环节,攻防演练中产生的成果需要在复盘里面进行总结归纳,然后在后续改进中将演练的成果消化吸收,所以整个攻防双方应该都应该很重视这个环节。
复盘主要根据演练情况对整个演练中出现的问题进行总结分析,并且在后续工作中解决这些问题。
-
原因总结
演练结束后攻防双方各自上交最终报告给指挥部,指挥部组织双方对所发现各自问题进行归类总结。这里简单分了三类问题。
-
技术类问题
此类问题主要因为安全在技术层面存在缺陷导致出现问题。
如代码存在漏洞,waf策略配置不当导致绕过防护弱口令。
-
流程类问题
此类问题主要为因为流程处理不当导致出现的问题。
例如系统报警却未按流程及时响应处理,导致没有发现入侵。
-
管理类问题
此类问题主要因为管理不当导致发生的问题。
如资产没有录入,导致没有及时进行安全检查,
-
后续
演练中各自问题总结完,就需要相关团队进行修复和改善,这个阶段虽然只是正常推进流程就可以了,但是这时候还是不能过于掉以轻心,很多修补和改进都需要进行验证和确认,保证工作都被正确落地执行生效。
红蓝对抗的一些经验分享
走马观花把整个红蓝对抗的过程给写完了,这些主要是过程上的事情,后面这部分内容算是过去积累工作经验的一些分享吧,未必适合所有读者,权当凑个字数。
-
开展红蓝对抗之前期准备
虽然红蓝对抗开展对企业安全上有不少帮助,但是红蓝对抗建设成本也很高。如果没有多少安全基础的企业开展,很容易出现难以消化红蓝对抗的成果,做完以后对企业安全实际帮助很小。
特别是开展一些类似众测项目,如果基础安全工作都没做好,会出现漏洞满天飞的情况,而且太多漏洞出现会让整个其他相关部门不堪重负,没法完成本来的目标。
-
红蓝对抗之外购问题
现在企业对红蓝对抗需求很大,乙方安全公司也都有这样的业务,基本都是开包即用,而且在定价方面也很灵活。
不过还是回归红蓝本身的价值问题,越是高端的对抗价格就越不便宜,想要对方拿出压箱底的本事自然钱不能少了。
如果采用众测模式,和白帽子沟通上一定要注意方式方法,因为很多因为双方的认知差距很容易产生误会,误会处理不好会产生很多不必要的风险。
-
红蓝对抗之武器库建设
说起来红蓝对抗很多时候也是需要各种武器,但是建设武器库是一笔很大的投入,但是如果没有武器库支持很多工作需要每次演练都进行这样消耗太大了,如果有条件还是应该建设武器库。
不过武器库前期建设可以考虑主要投入放在例如扫描工具,远控工具这样的通用型的武器,特定例如0day利用可能因为太过场景化性价比不够高。
另外例如信息资产库,社工库这些需要长期积累的基础信息库也不应该忽视,如果想进行长期对抗演练,基础信息库建设不容忽视
-
红蓝对抗之对抗幅度控制
红蓝对抗说起来是模拟真实黑客攻击,可是实际上还是企业内部的演习,很多手段例如社工或者针对个人电脑,控制不好很容易上火,发生真人pk,这样的情况还是需要注意的。
-
红蓝对抗收尾
很多时候对抗完成不是完成复盘就算结束了,还要注意清理攻击残留的代码和相关程序,很多攻击代码虽然生效了但是因为某些原因没能终止,可能会一直运行,如果不清理干净会导致被其他攻击者利用,或者产生不必要的误会。
写在最后的话
红蓝对抗演练组织运行总体来说没有太多技术问题,就算企业无法自己组织实现也可以通过外采实现。
但是红蓝对抗困难的地方也是如何维持对抗演练的持续有效运行。可以说开一次简单,能坚持长期有效运行就非常不容易,如何保证红蓝对抗演练长期进行并且发挥作用是一件非常复杂的工作。
附图
原文始发于微信公众号(大海里的废话集合):企业安全之浅谈红蓝对抗--下
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论