“锁”出问题了给防守工作带来极大挑战。每年攻防演习都会爆出某某安全设备自身存在某某漏洞利用、被控制,反映出安全设备厂商自身安全开发和检测能力没有做到位,而作为用户又缺乏必要的安全检测流程及工作的开展,给蓝队人员留下了“后门”,最终形成新的风险点。
第一章 什么是红队
红队,在本书中是指网络实战攻防演习中的防守一方。
红队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。红队的主要工作包括演习前安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据等。
实战攻防演习时,红队通常会在日常安全运维工作的基础上,以实战思维进一步加强安全防护措施,包括提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度、增强溯源反制能力、建立情报收集利用机制等,提升整体防守能力。
需要特别说明的是:红队并不仅仅由实战演习中目标系统运营单位一家独立承担,而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍。组成红队的各个团队在演习中的角色与分工情况如下。
目标系统运营单位:负责红队整体的指挥、组织和协调。
安全运营团队:负责整体防护和攻击监控工作。
攻防专家:负责对安全监控中发现的可疑攻击进行分析研判,指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作。
安全厂商:负责对自身产品的可用性、可靠性和防护监控策略是否合理进行调整。
软件开发商:负责对自身系统安全加固、监控和配合攻防专家对发现的安全问题进行整改。
网络运维队伍:负责配合安全专家对网络架构安全、出口整体优化、网络监控、溯源等工作。
云提供商(如有):负责对自身云系统安全加固,以及对云上系统的安全性进行监控,同时协助攻防专家对发现的问题进行整改。
其他:某些情况下还会有其他组成人员,需要根据实际情况具体分配工作。
特别强调,作为红队,了解对手(蓝队)的情况非常重要,正所谓知彼才能知己,从攻击者角度出发,了解攻击者的思路与打法,了解攻击者思维,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和响应机制,才能在防守过程中争取到更多的主动权。
第二章 红队演变趋势
2016年和2017年,由于监管单位的推动,部分单位开始逐步参与监管单位组织的实战攻防演习,这个阶段各单位主要是作为防守方参加演习。到了2018年和2019年,实战攻防演习不论是从单场演习的参演单位数量、攻击队伍数量,还是攻守双方的技术能力等方面都迅速增强。实战攻防演习已经成为公认的检验各单位网络安全建设水平和安全防护能力的重要手段,各单位也从以往单纯的参与监管单位组织的演习,逐渐演变成自行组织内部演习或联合组织行业演习。
进入2020年,随着实战攻防演习中真刀实枪的不断对抗和磨砺,攻守双方在相互较量中都取得了快速发展和进步,迫于攻击队技战法迅速发展带来的压力,防守方也发生了很大的变化。
1) 防守重心扩大
2020年之前的实战攻防演习,主要是以攻陷靶标系统为目标,达到发现防守队安全建设和防守短板,提升各单位安全意识的目的。攻击队的主要得分是拿下靶标系统和路径中的关键集权系统、服务器等权限,非靶标系统得分很少。因此,防守队的防守重心往往会聚焦到靶标系统及相关路径资产上。
对于大部分参加过实战攻防演习的单位来说,对于自身的安全问题和短板已经有了充分认识,也都开展了安全建设整改工作。对于这些单位,急需的是通过实战攻防演习检验更多重要系统的安全性,发现更全面的安全风险。因此,2020年开始,不论是监管单位还是单位自身,在组织攻防演习时,都会逐渐降低演习中靶标系统的权重,鼓励攻击更多的单位、系统,发现更多的问题和风险。同样,防守队的防守重心也就从靶标系统为主,扩大到所有重要业务系统、所有重要设备和资产、所有的相关上下级单位。
2) 持续加强监测防护手段