⑴ 安全之紅藍對抗簡介
文章源自安全脈搏專欄作者發文,原文作者:[email protected],原文鏈接: secpulse.com/archives/1...
什麼是紅藍對抗
在軍事領域,演習是專指軍隊進行大規模的實兵演習,演習中通常分為紅軍、藍軍,演習多以紅軍守、藍軍進攻為主。類似於軍事領域的紅藍軍對抗,網路安全中,紅藍軍對抗則是一方扮演黑客(藍軍),一方扮演防禦者(紅軍)。在國外的話,進行滲透攻擊的團隊經常稱做紅隊,在國內稱為藍軍實際上應該是比較准確的叫法。
紅藍對抗的目的
安全是一個整體,正如木桶定律,最短的木板是評估木桶品質的標准,安全最薄弱環節也是決定系統好壞的關鍵。而網路紅藍軍對抗的目的就是用來評估企業安全性,有助於找出企業安全中最脆弱的環節,提升企業安全能力的建設。
紅藍對抗關注點
其實紅藍對抗點沒有統一的標准,因為很多會涉及到業務以及內網攻擊的場景,所以個人認為紅藍團隊比較適合甲方團隊自己組建,這樣信息資源比較可控,做的也會更細致。例如曾經在中小型互聯網公司做的紅藍對抗點:
這邊web安全的關注點會不同於滲透測試的團隊,例如紅藍團隊就會關注一些敏感文件泄漏、管理後台暴露、waf有效性、waf防禦效果、違規使用的框架等。再例如辦公網安全紅藍團隊還會關注安全助手的一些問題,也就是說紅藍團隊關注的不僅是應用服務的漏洞,各個安全組件的效果、漏洞都會關注到。
上面都是按照一個個大項來進行,其實還有的紅藍團隊是按項目來分,比如說xx支付業務紅藍對抗,給你域名或者ip,讓你自由發揮,不限方法拿到目標flag(例如xx支付的數據或者機器許可權等),這個過程不要求測的全,以結果為導向。然後紅隊(防禦方)盡可能復盤補漏,把不完善的地方都補齊。
後面可以繼續進行對抗演練,繼續找出薄弱點,這邊很考驗紅隊的技術和業務的了解程度,能從藍隊的攻擊鏈路中,找出盡可能多的脆弱點,做出防禦策略。所以,我覺得紅藍對抗還是得根據公司的規模、安全人員的比例、技術人員的素養做制定,都按同一套標準是不會適用所有公司的。
我的建議就是中小規模公司的紅藍對抗點盡可能覆蓋全,盡可能找出全量的脆弱點讓紅隊的人員進行修復後進行新一輪對抗。而大公司就可以不用考慮面面俱到,以奪取目標結果為導向,脆弱點由紅隊自己發現,紅隊自己修復,而後周期的進行紅藍對抗。
可以看出大公司的紅藍對抗更類似於APT攻擊,這也正是大公司藍隊喜歡招APT人員的關系。
紅藍對抗測試的方法
如果是中小型的互聯網企業的話,我的方法是先預先討論好並記錄下腦圖,然後
因為中小型企業個人認為還是以全為主,盡可能把漏洞修復完。大型公司可以大量的人力投入,業務也繁多,還是以結果導向,漏洞的薄弱點由紅隊確認,所以方法就沒有統一的標准。
紅藍對抗注意事項
這邊需要注意的是測試需要提前報備,免得事後被業務捅,更要注意的是測試千萬不要影響到業務。 還有經常有點大家會忽略的是,一定要進行漏洞閉環,發現漏洞而不去解決漏洞等於無效漏洞。
紅藍對抗所需技術
紅藍對抗不同於滲透測試,紅藍對抗測試的范圍很廣泛,不僅需要滲透技術,還需要逆向、腳本編程、各種繞過黑魔法等。所以,紅藍對抗不僅需要滲透測試的人才,也需要逆向的工程師,甚至是區塊鏈安全工程師、數據安全方向的工程師等,所以說其實在大公司更容易開展紅藍對抗,因為大公司人才更加齊全。紅藍對抗也需要團隊的協作,一個人是比較難完成的,更好的方式,不同的團隊進行紅藍對抗,每個團隊攻擊的方法思路也不盡相同,更能模擬真實的場景攻擊,對於紅隊查缺補漏也更有幫助。如下,是用到的一小部分工具:
總結:
紅藍對抗一定要區別於滲透測試,滲透測試這是每個公司的標配。紅藍對抗的價值在於挖掘滲透測試不關注的漏洞或者滲透測試無法覆蓋的點,並且持續的對抗,不斷幫助業務提升安全能力,完善自己的安全防禦。
根據自己做的紅藍對抗經驗來說,我們發現辦公安全助手的漏洞、waf的部署缺和繞過缺陷以及HIDS一些缺陷等。
其實這些東西滲透測試很少會去涉及和考慮,而紅藍對抗的作用就顯現,這些風險的發現對於自身的安全防禦是有很大的幫助的,因為你挖漏洞只是修修補補,而做這些紅藍對抗發現的問題,則是解決一類的問題。
對於這種方式的對抗,老大也認可,自己也有很有滿足感,所以對於紅藍對抗,其實是很適合互聯網安全團隊去嘗試組建的。
附上紅藍對抗腦圖:
⑵ 2024年HW攻防技術總結(珍藏版)
2024年的HW攻防技術回顧(精華收藏)
這一年,護網行動繼續發揮著國家網路安全防護的核心作用,已經歷了八個年頭。對於企業來說,隨著需求增長,護網期間的網路安全人才需求尤為突出,無論是對新人還是准畢業生,都是提升技能和就業競爭力的寶貴機會。紅隊和藍隊在角色和技能要求上有所不同:紅隊作為攻擊方,需要扎實的web打點和內網滲透經驗,日薪起步高達4000元,甚至可達萬元;藍隊則是防守方,涉及日誌分析和安全設備管理,薪資范圍從1500元到5000元不等。
要在這個領域脫穎而出,提升自身素質至關重要。對於網路安全的初學者或進階者,我提供了豐富的入門資料,涵蓋基礎知識和實戰技巧,無論你是新手還是有一定經驗的從業者,都能從中獲益。同時,歷年大廠的護網面試題目集錦,可以幫助你了解行業面試的常見問題和技巧。
攻防技術的學習不能忽視,即便護網不是全職工作,但安全漏洞處理、應急響應和運維知識必不可少。經典的安全書籍是提升專業素養的基石,不容忽視。而對於安全知識的理解和學習,思維導圖和學習路徑圖能讓你事半功倍。
網路安全行業正處於快速發展階段,護網經歷無疑是求職者的一大亮點,短短半個月的日薪上千,甚至預示著高薪職業的可能性。如果你正在尋找職業方向或考慮轉型,網路安全是明智的選擇,參加護網挑戰,無疑能為你的簡歷添上亮麗的一筆。
獲取以上全部內容,請關注公眾號【網路安全實戰】,在後台回復「111」即可免費領取。