终于有人解释了红色和蓝色的对抗。时代,不管叫什么名字,我觉得有一点已经成为共识,那就是我们的安全理念要跟上时代的发展。我们都知道重要的东西要好好保管,以前我们是怎么保管的呢?找一个结实的保险柜锁紧,再安装厚实的防盗门。如果条件允许,家里最好养一只恶犬。不敢说安全,至少大家都尽力了。但在当今时代,这种观念已经过时了。计算机和网络在给我们的生活和生产带来前所未有的便利的同时,也带来了前所未有的风险。当我们看一部大片时,间谍很难窃取文件,从飞机上跳下来,钻到车底下,最后做杂技躲避各种传感器。光是看着就能让人肾上腺素飙升。但在现实中,情况可能完全不同。“小偷”不需要承担任何个人风险。他舒服地坐在符合人体工学的椅子上,吹着空调,敲着键盘开始工作。我们也做这种贼。不陌生,那就是黑客。近些年,圈内有些同学会觉得黑客也物化了,不像过去那么纯粹了,但我觉得这也是时代的必然趋势。一开始,大多数黑客确实是把技术当成了一种爱好,不断追求技术突破,喜欢分享和“炫技”。然而,随着互联网时代和数据时代的到来,网络数据承载的有价值的东西越来越多,与此同时,网络攻击所能造成的破坏也越来越大。可以使用技术的地方越来越多。学技术的人自然会有各种各样的动机,大家也自然会把技术捂得严严实实的。打个形象的比方,二十年前我黑你的电脑,顶多盗个QQ密码,现在我可以把你以前的工作成果彻底抹去,连你的名声都一夜之间丢了。此类事件经常成为新闻,更不用说公司了。2018年,Facebook遭遇数据泄露,公司市值蒸发超过360亿美元。现在它已经改名了。我觉得有一些维护公司形象的考虑。in.1.安全的代价是什么当然有人说会被“黑”的都是安全意识差的企业。我们公司安装了高端防火墙,隔离了内外网。重要数据都存储在内网,除非有内鬼配合,否则,黑客再厉害也无能为力。这句话乍一看很有道理,但我们后面要介绍的“内网横向移动”,就是对独裁这种不满。在这里我想讨论另一个困扰网络安全的紧迫问题,那就是认知问题。说到网络安全意识,我们这几年确实进步很大。各方都在不遗余力地进行宣传。安全圈的同学应该不陌生。国家每年举办网络安全宣传周,企业对防火墙基本了解。和防盗门一样,是不可或缺的必要开支。但是,认识到网络安全的重要性是一回事,时刻认识到网络安全的重要性又是另一回事。但是还有一个问题,就是如何衡量安全的价值。都说安全无价,但安全服务是有价的。购买安保设备,聘请安保人员提供服务,这些都是市场化的渠道,需要企业花真金白银。因此,企业也要思考两个问题,一是思考我应该花多少钱去“买安全”,二是思考这笔钱买了之后是否物有所值。一旦企业开始思考安全的价值,马上就会发现另一个悖论:安全的价值必须通过问题来体现。简单来说,我是一家公司。今年安保花了三百万。到了年底,我发现什么都没有发生。那么,当我总结的时候,我应该说我发了财还是被利用了?谁说了算?不管别人怎么说,科学实验讲究的是控制变量。我们不妨想象一个平行世界。在那个世界,这家公司并没有花掉那三百万,却遭遇了网络攻击,一下子损失了两千万,而且还只是直接经济。至于此次事件给企业形象造成的负面影响,不仅影响深远,而且损失难以估量。两者对比得出的结论是显而易见的,我的三百万几乎是赚了。然而,困难在于没有平行世界可以比较。此外,网络安全往往还有另外一大特点,那就是不会发生意外或重大事故。无论哪种情况,企业的决策者都容易觉得安全投资白费了。2.红蓝对抗接下来我要说说红蓝对抗。红蓝对峙可以从不同的角度说起。不过,我想顺着上面的问题谈谈自己的思考。为什么安全必须如此被动?因为没有别的办法。网络安全自然有攻击者和防御者之分,而无论在哪个领域,防御者自然都是被动的。更严重的被动是防守方的心理被动。对于大多数企业来说,安全并不能直接创造利润,是一个纯粹的成本高昂的工程。既然是“花钱买安全”,那么在公司高层乃至其他部门肯定有很多人没有考虑到网络安全的重要性。那是你的本分,不遵守也是你的责任。外人很难理解进攻端的对抗有多激烈,自然也很难认可安全部门的努力和成绩。这种消极心理无疑会造成更多的负面影响。有一个很熟悉的词来形容这种感觉,那就是委屈。防守者自然不是很委屈吗?这不,在历史上成名的历史人物有很多。不过,首先要有一个前提:那就是所有人都承认自己面前有危机。力挽狂澜,助推楼倒,首先要让大家明白,潮水已经到了,楼要倒了,再坚持下去,就能自保。.然而,网络安全往往是隐藏的。别说事发前,就是事发后,很多公司的名字出现在新闻头条后,仍然惊讶地发现自己存在安全问题。来不及了,来不及了!当企业意识到自身安全出现重大问题时,往往意味着各部门将进入相互扯皮、互踢的环节。有什么办法可以改变这种网络安全的被动性,至少让公司在制定明年的网络安全预算时,有信心要钱,愿意付出?我认为那是红色和蓝色之间的对抗。说到红蓝对抗,就不得不说到蓝军。早年间,“蓝军”还是一个比较陌生的词。这几年我接触了一些公司,知道很多公司都组建了自己的蓝军,红蓝对峙在公司内部已经开始了。那么,什么是蓝军?红蓝对抗如何改变网络安全的被动?对军事有一定了解的同学应该对红军和蓝军的名词不陌生。在对抗性军事演习中,一般会设置两个阵营,称为红军和蓝军,然后让双方对峙或进行攻防演练。过去,红军和蓝军是临时组建的,用来演习。后来,他们逐渐演变成职业蓝军,被称为职业“打脸”部队。解放军“朱日和”军演有专业的蓝军分队。据说,在朱日和,许多平时浓妆艳抹的红军部队都被狠狠地撤掉了。朱日和活捉了满广智。”不过,蓝军打耳光并不是给红军丢脸,重点是评估级别和曝光问题。在网络安全中,红蓝对抗是红军与蓝军之间的对抗。redteamandtheblueteam.红队是防御者,蓝队扮演类似于黑客的攻击者角色。有时还会成立“紫队”来承担组织工作。蓝队只有一个目标,就是用实际的攻击来回答你们公司的网络安全问题有多严重,企业的安全措施没有到位,还有哪些漏洞可以被利用,这些只有在平行的情况下才能知道过去的世界,现在可以用红蓝对抗来讲述了。3、蓝队发展计划的同学可能会问,我公司会定期做渗透测试,能不能代替红蓝对抗?真的不行吗?tw工作。不同的公司对渗透测试有不同的理解,但基本上都遵循一个大原则,那就是止步于此。虽然很多渗透测试都声称是从黑客的角度审视企业安全问题,但发现漏洞的过程几乎是一样的。毕竟渗透测试也是一种服务,同样受到服务条款的约束。许多公司要求渗透测试不影响主要安全问题。业务,这个看似自然的需求,其实必然会导致渗透测试。当然,最重要的还是钱。但是黑客有一个特点就是“野道”。他们没有任何服务条款,他们只有一个目标,那就是窃取最有价值的东西或造成最大的破坏。出发点不同,效果就完全不同。另外,网络安全领域的木桶效应明显,贵公司最短的木头可能不是技术,而是人。技术看似牢不可破的认证体系,黑客发送钓鱼邮件就能破解。类似场景下的安全问题往往需要红蓝对抗才能充分暴露。最后说一下如何培养蓝队。其实这个问题很简单。蓝队可以像黑客一样培养。两者越相似,效果就越好。比如蓝队应该怎么进攻?很简单,你可以像黑客攻击一样攻击,你就是有徽章的黑客。说到黑客,我想多说几句。有人说黑客是坏人,有人说黑客是好人,有人说黑客是道德败坏的技术好人。我不想给这一大群人贴上标签。黑客使用各种各样的技术。这里可以简称为黑客技术。技术是中性的,黑客技术也不例外。就像一把菜刀。有些人用菜刀切菜,有些人我们可以把这些人统称为“拿菜刀的人”,他们用菜刀伤人,而黑客就是“使用黑客技术的人”。说到黑客技术,自然要谈另一个问题。如今,以黑客为角色的影视作品越来越多。我能理解编剧为了突出人物的不同,硬要给剧中的黑客们安排一些稀奇古怪的爱好,但也很容易让外人产生误会,认为黑客都是一群怪人可以只能通过野生方法种植。这是错误的。前面说过,黑客也是一门技术,是可以学习和掌握的。只要方法得当,普通人也能学会黑客。另外,我知道很多黑客也在追剧。你怎么认为?人群是正常的还是奇怪的?4.蓝队如何进攻?蓝队如何进攻?一般分为四个阶段,准备阶段、信息收集阶段、外网突破阶段和内网横向移动阶段。这个过程看起来和渗透测试很像,实际上也差不多,只不过相差一二而已。准备阶段和信息收集阶段很简单,就是要拉起一个队伍,准备好相关的工具和设备,然后收集被攻击目标的各种信息,也就是俗称的“踩点””。接下来就是外网的突破阶段。首先,我们必须找到一些漏洞。完成渗透测试这一步后,我们基本上就可以收工了,但是对于蓝队来说,这只是一个开始。渗透测试就像是博物馆聘请的安检队。检查组的任务是发现安全隐患。比如检查发现二楼排风口的铁栅栏生锈了,他就会把这件事记在报告上,然后尽快推荐。更换,检查组的任务也就到此为止了。但是黑客不同。黑客就像小偷。他还发现铁栅栏生锈了,但是生锈的铁栅栏对小偷来说一文不值,所以他会继续思考如何利用生锈的铁栅栏创造机会潜入博物馆。然后他偷了博物馆里最值钱的宝石。这也是蓝队所做的。当蓝队发现外部漏洞时,他们首先想到的是如何利用外部漏洞进入内网,然后在内网各个节点之间来回跳转,直到到达自己所在的节点存储重要数据或运行重要系统。此过程也称为“Intranet横向移动”。无论是黑客还是蓝队,都需要保持一种“总想偷偷溜进去偷点东西”的心态。我们上面说的是一两短,这就是区别。有的企业自我防卫做得很好,很难从企业自身找漏洞。对于渗透测试来说,一份漂亮的报告就可以告一段落了。但是对于蓝队来说,还是一个需要攻克的难题。电影中经常可以看到类似的情节。敌司令部戒备森严。主角想潜入应该怎么办?躲在送餐车队里。在网络安全领域,这被称为“供应链攻击”。说实话,无论是黑客攻击还是红蓝对抗,除了要掌握各种工具和方法外,还需要很多华而不实的创作。这就是技术和艺术。毕竟军中有句话叫做“出其不意,出其不意”。这句话在这里也适用。网络安全与实力无关。想要达到最大的攻击效果,就必须找到防御者没有想到的地方。这种技术和艺术兼备的领域,水平不够就不够清晰,水平够了基本就是大牛了,很容易找麻烦。不过,华章最近出了一本名为《红蓝攻防》的珍本书,系统地介绍了这部分内容,包括蓝方如何进攻,红方如何防守,紫方如何组织,还有实战案例。对这部分内容有深入了解的同学不妨阅读本书。作者简介:莫凡,网络昵称沐阳。娱乐机器学习评论员,公众号作者,前沿技术发展观察者,擅长高冷技术“白菜化”评论,微信公众号“睡前机器学习”,个人知乎账号“木羊”.
