关于红蓝对抗的名称起源就不多说了,在业界有两种说法,红军 & 蓝军、红队 & 蓝队,其中攻击方通常称为 蓝军 OR 红队,防守方通常称为 红军 OR 蓝队,对于这个名称,记住就行,没啥特别的。
红队 OR 蓝军
首先来说红队,也就是蓝军,主要工作是通过模拟实战的方式,针对目标发起攻击,使用手段原则上不受限制,但是作为职业人才,当然要有职业素养,不要因为模拟攻击让目标遭受损失是我们的底线,不要触犯法律法规,得不偿失。
关于红队技术,业界有多种框架,比如 kill chain,如图:
这是一个简易模型,也是一个针对目标攻击的七步法,简单了解一下,后面分享我自己画的脑图。
还有知名的 ATT&CK 框架,涉及 13 个步骤, 206 个技术子项,详细地址:
https://attack.mitre.org
我基于之前的工作学习经验,整理了自己的红队技术知识体系,也是本次红队训练营的参考体系,如图:
图片看不清晰,需要查看高清图请前往信安之路知识星球获取。
红队的目的就是通过各种手段,更贴近实战的技术来对目标进行攻击,尽可能多的获取权限和敏感内容,从而验证企业的整个安全体系是否健全,有无缺漏,给蓝队予以反馈,在薄弱环节进行加固处置,从而逐步提升企业的安全防御能力。
蓝队 OR 红军
对于防御者而言,通常用木桶原理来解释防御的原理,不在于木桶的最长板有多长,而在于最短的那块板子有多短,攻击者就在寻找最短的那块板子,而防御者就要加长最短的板子,提升攻击难度,增加攻击成本。
事前增加防御能力,如安全监控覆盖率、系统加固覆盖率、历史漏洞修复率等;事中提升入侵发现能力,如入侵事件发现率、安全事件处置率等;事后的事件复盘修复率等。
业界对于蓝队也有很多参考框架,比如 NIST 的 SCF(The Fundamentals of a Strong Cybersecurity Framework-强大的网络安全框架基础):
基于以上流程的详细拆分表如图:
还有基于 APT 的 kill chain 的防御框架,如图:
其他的就不多说了,大概看看就好,信安之路大致将企业安全工作划分为十八个部分,后续如果有新的思考在进行更新,详情如下:
最右侧的数字为相应的学习参考的文档,有兴趣查看请注册信安之路的成长平台。
最后
红蓝对抗的过程中,不同角色有不同的优势和劣势,比如攻击方只需攻破一个点,就能拿到部分权限,而在整个攻击链路中,有一个环节被防御者发现,那么整个攻击过程就算失败,权限被移除是小事,被溯源到就是大事儿了。信息安全领域,技术繁杂,更新变化快,需要投入大量的时间和精力去学习实践才能跟上时代的变化,信安之路,任重道远,一起加油,共勉。