红蓝攻防 构建实战化网络安全防御体系.pdf
《红蓝攻防 构建实战化网络安全防御体系.pdf》由会员分享,可在线阅读,更多相关《红蓝攻防 构建实战化网络安全防御体系.pdf(351页珍藏版)》请在冰点文库上搜索。
红蓝攻防:
构建实战化网络安全防御体系奇安信安服团队著ISBN:
978-7-111-70640-3本书由机械工业出版社华章分社授权北京世纪卓越信息技术有限公司在全球范围内制作与发行。
版权所有,侵权必究目录作者简介作者名单前言第一部分红蓝对抗基础第1章认识红蓝紫1.1实战攻防演练1.1.1为什么要进行实战攻防演练1.1.2实战攻防演练的发展现状1.2蓝队1.2.1什么是蓝队1.2.2蓝队演变趋势1.3红队1.3.1什么是红队1.3.2红队演变趋势1.4紫队1.4.1什么是紫队1.4.2紫队演变趋势1.5实战攻防演练中暴露的薄弱环节1.6建立实战化的安全体系第二部分蓝队视角下的防御体系突破第2章蓝队攻击的4个阶段2.1准备工作2.1.1工具准备2.1.2专业技能储备2.1.3人才队伍储备2.2目标网情搜集2.2.1何为网情搜集2.2.2网情搜集的主要工作2.2.3网情搜集的途径2.3外网纵向突破2.3.1何为外网纵向突破2.3.2外网纵向突破的主要工作2.3.3外网纵向突破的途径2.4内网横向拓展2.4.1何为内网横向拓展2.4.2内网横向拓展的主要工作2.4.3内网横向拓展的途径第3章蓝队常用的攻击手段3.1漏洞利用3.1.1SQL注入漏洞3.1.2跨站漏洞3.1.3文件上传或下载漏洞3.1.4命令执行漏洞3.1.5敏感信息泄露漏洞3.1.6授权验证绕过漏洞3.1.7权限提升漏洞3.2口令爆破3.2.1弱口令3.2.2口令复用3.3钓鱼攻击3.3.1外网钓鱼3.3.2内网钓鱼3.3.3钓鱼应急措施3.4供应链攻击3.4.1网络或平台提供商3.4.2安全服务提供商3.4.3产品或应用提供商3.5VPN仿冒接入3.6隐蔽隧道外连3.7社会工程学攻击3.8近源攻击第4章蓝队攻击的必备能力4.1实战化能力与传统能力的区别4.2实战化蓝队人才能力图谱4.2.1基础能力4.2.2进阶能力4.2.3高阶能力第5章蓝队经典攻击实例5.1正面突破:
跨网段控制工控设备5.2浑水摸鱼:
社工钓鱼,突破系统5.3偷梁换柱:
冒充客户,突破边界5.4声东击西:
混淆流量,躲避侦察5.5迂回曲折:
供应链定点攻击5.6李代桃僵:
旁路攻击,搞定目标5.7顺手牵羊:
巧妙种马,实施控制5.8暗度陈仓:
迂回渗透,取得突破5.9短兵相接:
近源渗透,直入内网第三部分红队视角下的防御体系构建第6章红队防守的实施阶段6.1备战阶段:
兵马未动,粮草先行6.2临战阶段:
战前动员,鼓舞士气6.3实战阶段:
全面监测,及时处置6.4总结阶段:
全面复盘,总结经验第7章红队常用的防守策略7.1信息清理:
互联网敏感信息7.2收缩战线:
收敛互联网暴露面7.3纵深防御:
立体防渗透7.4守护核心:
找到关键点7.5协同作战:
体系化支撑7.6主动防御:
全方位监控7.7应急处突:
完备的方案7.8溯源反制:
人才是关键第8章红队常用的防护手段8.1防信息泄露8.1.1防文档信息泄露8.1.2防代码托管泄露8.1.3防历史漏洞泄露8.1.4防人员信息泄露8.1.5防其他信息泄露8.2防钓鱼8.3防供应链攻击8.4防物理攻击8.5防护架构加强8.5.1互联网暴露面收敛8.5.2网络侧防御8.5.3主机侧防御8.5.4Web侧防御8.5.5App客户端安全第9章红队常用的关键安全设备9.1边界防御设备9.1.1防火墙9.1.2入侵防御系统9.1.3Web应用防火墙9.1.4Web应用安全云防护系统9.1.5邮件威胁感知系统9.2安全检测设备9.2.1互联网资产发现系统9.2.2自动化渗透测试系统9.2.3开源组件检测系统9.2.4运维安全管理与审计系统(堡垒机)9.3流量监测设备9.3.1流量威胁感知系统9.3.2态势感知与安全运营平台9.3.3蜜罐系统9.4终端防护设备9.4.1终端安全响应系统9.4.2服务器安全管理系统9.4.3虚拟化安全管理系统9.4.4终端安全准入系统9.4.5终端安全管理系统9.5威胁情报系统第10章红队经典防守实例10.1严防死守零失陷:
某金融单位防守实例10.1.1领导挂帅,高度重视10.1.2职责明确,全员参战10.1.3全面自查,管控风险10.1.4顽强作战,联防联控10.2厘清现状保核心:
某集团公司防守实例10.2.1明确核心,总结经验10.2.2合理规划,全面自查10.2.3纵深防御,全面监控10.2.4联动处置,及时整改10.3准备充分迎挑战:
某政府单位防守实例10.3.1三项措施,演练前期充分备战10.3.2三段作战,破解演练防守困境第四部分紫队视角下的实战攻防演练组织第11章如何组织一场实战攻防演练11.1实战攻防演练的组织要素11.2实战攻防演练的组织形式11.3实战攻防演练的组织关键11.4实战攻防演练的风险规避措施第12章组织攻防演练的5个阶段12.1组织策划阶段12.2前期准备阶段12.3实战攻防演练阶段12.4应急演练阶段12.5演练总结阶段第13章组织沙盘推演的4个阶段13.1组织策划阶段13.2推演准备阶段13.3沙盘推演阶段13.4总结评估阶段作者简介奇安信安服团队团队以攻防技术为核心,在云端大数据支撑下聚焦威胁检测和响应,具备咨询规划、威胁检测、攻防演练、持续响应、预警通告、安全运营等一系列实战化服务能力,是一支能够为客户提供全周期安全保障服务的专业网络安保和应急响应团队。
团队是国内规模领先的安全服务团队,业务范围覆盖全国,服务对象包括网络安全监管机构以及党政、金融、运营商、能源、央企、传媒、民航等各行业各领域的头部企业和行业单位。
团队拥有大量经验丰富的网络安全攻防专家,聚集了国内优秀网络安全人才,创造了数量位于业内前列的重要保障案例,并连续多年在实战攻防演练中取得了辉煌的攻防战绩,已成为攻防演练服务的领军团队。
团队拥有专注于互联网应用漏洞挖掘和攻防研究的观星实验室团队,以及在实战攻防演练中扮演重要角色、擅长组织实施渗透攻击的Z-TEAM团队,为网络安全服务工作提供强有力的技术支持。
Z-TEAM团队在实网对抗的不断锤炼中研发出多套实用技战法和配套工具,尤其在Web攻防、社工渗透、内网渗透、模拟APT攻击等方面技术实力扎实、技战法灵活,实战能力受到业内高度认可。
作者名单张翀斌刘敬群顾鑫袁小勇龚玉山张铁铮黄敬磊初雪峰李世杰李绪彬刘丽锋刘新强秦学薛克伟闫绍鹏杨朋浩于晓堃策划人刘洋尹磊前言在全球信息技术不断推陈出新、数字化转型不断加速的大背景下,我国各个领域也在加快技术创新、数字化转型的步伐,信息化、数字化、智能化等方面正在发生不同程度的变革。
新发展不仅带来新机遇,也带来了新风险。
网络安全是技术创新、数字化转型的重要基础保障,但当前国内外网络安全形势日趋严峻,数据泄露、供应链攻击、勒索病毒、APT(高级持续性威胁)攻击等网络安全事件频发,网络安全所面临的威胁愈加多样、复杂、棘手。
在互联互通的数字化链条中,任何一个漏洞隐患都有可能破坏已有的网络安全防护,给企业、机构等带来信息安全风险、不良影响甚至财产损失等。
网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较量。
2020年以来,国家规模的实战攻防演练已成为检验各领域政企机构网络安全防护水平的重要手段。
因此,若要全面了解网络安全防护水平和薄弱环节,那么定期组织高质量的实战攻防演练,在真实业务环境下开展“背靠背”的攻防对抗,是一种必然且卓有成效的选择。
攻防演练不仅可以发现已存在的安全漏洞隐患并及时修补,还可以检验安全技术人员的监测预警、分析研判和处置溯源能力,提升人员专业技能和安全意识,更可以检验各组织、各部门间的协同响应能力,提升上下和内外之间的联防联动能力,对完善网络安全监测预警和应急响应机制、强化安全防护能力、切实提高网络安全防御水平具有重要意义。
本书内容全面,从什么是实战攻防演练到如何分别站在红队(防守方)、蓝队(攻击方)和紫队(组织方)视角开展演练工作都进行了详细介绍,明确了各方演练的内容与要点,旨在向广大政企机构和网络安全从业人员分享红蓝实战攻防演练经验,并提供基础性的参考方案。
本书分为四部分共13章。
第一部分介绍红蓝实战攻防演练的基本概念、发展现状、演变趋势及常暴露的薄弱环节等。
第二四部分分别介绍蓝队视角下的防御体系突破、红队视角下的防御体系构建、紫队视角下的实战攻防演练组织,描述了在不同视角下各阶段如何具体开展相关工作,并提供必备能力、重点策略、风险规避措施等实践干货,以及剖析了多个经典案例。
本书适合网络安全从业人员、企业信息化负责人及对网络攻防演练有兴趣的读者学习和参考。
由于笔者写作时间和水平有限,书中难免存在疏漏及不妥之处,敬请各位批评斧正。
第一部分红蓝对抗基础在网络实战攻防演练中的防守和攻击两方分别称为红队和蓝队。
通常在攻防演练中,除了红蓝双方外,还需要有站在中立角度进行演练组织、评判等的第三方,即紫队。
本部分详细介绍了实战攻防演练的概念、意义和现状,对近几年国内实战攻防演练中红蓝紫三方的定位和发展趋势进行了分析,同时描述了攻防演练中暴露的主要安全问题,并讲解了如何建立实战化的安全体系。
第1章认识红蓝紫1.1实战攻防演练1.1.1为什么要进行实战攻防演练军事上的实兵演练是除了实战之外最能检验军队战斗力的一种考核方式,可有效提高防御作战能力,以应对外部势力发起的攻击和袭扰,更好地维护国家主权和安全。
同样,在网络安全上,真实环境下的网络攻防演练也是网络安全中最能检验安全团队防御能力、发现当前网络环境中存在的安全风险的方式之一。
1.政策要求驱动2017年6月1日,随着我国第一部网络安全法中华人民共和国网络安全法(下简称网络安全法)的正式实施,我国网络安全管理迈入法治新阶段,网络空间法治体系建设加速开展。
网络安全法就网络安全应急演练工作明确指出,关键信息基础设施的运营者应当“制定网络安全事件应急预案,并定期进行演练”,国家网信部门应当统筹协调有关部门“定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力”,“负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练”,要求关键信息基础设施的运营者、国家网信部门等定期组织开展应急演练工作。
2018年全国网络安全和信息化工作会议于4月20日至21日在北京召开,会议强调,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。
要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。
要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。
”“关口前移”是对落实网络安全防护的方法提出的重要要求,而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求,即要求用更为积极主动、行之有效的方式来应对网络安全问题。
在做好“关口前移”的基础上,进一步加强网络安全防护运行工作,除了采用定期检查和突发事件应急响应等偏被动的常规机制外,还需提升安全防护工作的主动性,根据网络安全法的规定定期开展安全应急演练工作。
网络实战攻防演练便是在新的网络安全形势下,通过攻防双方之间的对抗演练,实现“防患于未然”。
2020年7月,公安部印发贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见(下简称意见),意见明确了网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”要求,而实战攻防演练是推动和检验“三化六防”水平的重要手段。
意见提出:
“关键信息基础设施运营者和第三级以上网络运营者应定期开展应急演练,有效处置网络安全事件,并针对应急演练中发现的突出问题和漏洞隐患,及时整改加固,完善保护措施。
行业主管部门、网络运营者应配合公安机关每年组织开展的网络安全监督检查、比武演习等工作,不断提升安全保护能力和对抗能力。
”该文件明确了组织开展实战化演练的责任主体和演练目的,即通过实战化比武演练不断提升安全保护能力和对抗能力。
近年随着国家对网络安全工作的越发重视,尤其是关键信息基础设施安全保护条例等关键信息基础设施保护有关政策法规和标准的陆续出台,实战演练已成为国家各个重要行业用于检验网络安全保护水平的重要手段。
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。
相信随着国家在网络安全方面政策文件的不断完善,“实战练兵”将成为提高抵御网络攻击能力、检验网络安全措施有效性的重要举措。
2.安全威胁驱动关键信息基础设施,指的是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统。
这些系统一旦发生网络安全事故,可能会对重要行业正常运行产生较大影响,对国家政治、经济、科技、社会、文化、国防、环境及人民生命财产造成严重损失。
当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网站平台大规模数据泄露事件频发,生产业务系统安全隐患突出,甚至有的系统长期被控,面对高级持续性的网络攻击,防护能力十分欠缺。
近几年,针对我国的网络窃密、监听等攻击事件频发,网络空间的网络安全攻防对抗日趋激烈。
目前,我国面临的网络安全威胁主要有以下几点。
1)针对我国重要信息系统的高强度、有组织的攻击威胁形势严峻。
2020年,据不完全统计,奇安信威胁情报中心共收录了高级威胁类公开报告642篇,涉及151个命名的攻击组织或攻击行动,其中,提及率最高的5个(高级持续性威胁)组织分别是Lazarus(10.3%)、Kimsuky(7.8%)、海莲花(5.4%)、Darkhotel(4.8%)和蔓灵花(3.2%)。
监测显示,高级威胁攻击活动覆盖了全球绝大部分国家/地区,其中,提及率最高的5个受害国家分别为中国(7.4%)、韩国(6.6%)、美国(4.9%)、巴基斯坦(3.2%)和印度(3.2%)。
中国首次超过美国、韩国、中东等国家/地区,成为全球APT攻击的首要地区性目标。
医疗卫生行业首次超过政府、金融、国防、能源、电信等领域,成为全球APT活动关注的首要目标。
2020年,新冠肺炎疫情信息成为APT活动常用诱饵,供应链和远程办公成为切入点,定向勒索威胁成为APT活动新趋势。
海莲花依旧是东南亚地区最为活跃的APT组织。
2)工业互联网面临的网络安全威胁加剧。
2020年,根据我国国家信息安全漏洞共享平台(CNVD)统计,通用软硬件漏洞为19964个,其中,Web应用漏洞占总比为27.7%,操作系统漏洞占总比为10.3%,网络设备漏洞占总比为6.8%,数据库漏洞占总比为1.4%,电信行业漏洞占总比为4.4%,移动互联网占总比为7.3%,工控漏洞占总比为3.2%,物联网终端设备占总比为2.1%,其他类型占比为36.8%。
工控漏洞虽然在2020年全年漏洞中占总比相对较小,但其重要性不可忽视,涉及西门子、施耐德、研华科技等在中国广泛应用的工控系统产品。
2021年5月7日,美国燃油管道公司ColonialPipeline管网遭受攻击,攻击者窃取这家公司的重要数据文件,燃油管道运输管理系统也遭遇“劫持”,一度致使美国东部沿海各州的关键供油管道被迫关闭。
3.国外实战演练开展情况2017年11月中旬北美举办了第二轮“GridEx-IV”网络战演练,来自美国、加拿大、墨西哥的450家组织和机构的6300人共同参与了北美电网故障场景的演练。
该演练由美国政府与各电力企业合作开展,于2011年首次举办之后,每两年举办一次。
主要参与对象有电力企业、地区(地方、州、省)和联邦政府执法机构、第一响应和情报机构、关键基础设施跨部门合作伙伴(公共事业单位等)、能源供应链企业等,规模较大。
该演练的目的是:
证明各参与方应如何应对物理安全威胁事件并恢复演练中的模拟协调网络,从而让各参与方加强危机意识,并彼此交流经验教训;协调各方资源、努力筹备与提出应对举措,解决国家层面的灾难或针对关键基础设施的安全威胁。
2018年4月23日至27日,来自30个国家/地区的1000多名“战士”在一个虚拟国家Berylia进行了为期5天的“战斗”,最终北约队折桂,法国队和捷克队分获亚军和季军。
这场没有硝烟的虚拟网络战,每年都要开战一次,这便是全球最具影响力、规模最大、最复杂的国际性实战网络防御演练锁盾(LockedShields)。
锁盾演练的主办方为北约,具体操办机构为北约网络防御中心(CCDCOE,成立于2008年),自2010年始,每年举办一次。
该演练的目的是为各国/地区网络防御专家提供保护国家/地区信息技术IT系统和重要基础设施的演练机会,同时评估大规模网络攻击对民用和军事领域的IT系统所造成的影响。
2020年8月13日,为期三天的美国“网络风暴2020”(CyberStorm2020)演练落幕,在美国网络安全和基础设施安全局(CISA)的组织下,近2000名来自政府机构和私营企业的人员参加了演练。
本次演练汲取了往届的经验,跟进了当今网络安全的格局变化,并以此为基础,对网络响应方面取得的成绩进行评估和改进。
本次演练促进并加强了公私伙伴关系,对新的关键基础设施合作伙伴进行整合,不仅强调了信息共享和分析机构的关键作用,还强调了实体有必要充分了解自己对第三方服务的依赖。
2021年11月15日至20日,美国网络司令部举行了“网络旗帜21-1”演练。
此次演练是美国网络司令部规模最大的跨国网络演练,以网络空间集体防御为重点,加强了来自23个国家/地区的200多名网络作战人员的防御技能。
演练利用“国家网络靶场”测试了参与人员检测敌人、驱逐敌人和确定解决方案的能力,以加强其模拟网络的技能。
此次演练是美国对SolarWinds渗透攻击的回应举措之一,旨在加强网络空间集体防御,确认开放、可靠和安全的互联网的重要性。
1.1.2实战攻防演练的发展现状1.实战攻防演练向规模化演变我国实战攻防演练的发展分为两个阶段:
第一阶段是试验阶段,以学习先进实战经验为主,参演单位少,演练范围小;第二阶段是推广阶段,实战演练发展飞速,参演单位数量暴增,演练走向规模化。
2016年中华人民共和国网络安全法的颁布,标志着我国的网络安全攻防演练进入试验阶段。
当年,我国在举行第一场实战攻防演练后,迅速将网络安全实战演练推上日程,为日后发展打下了坚实基础。
在试验阶段,世界上著名的“网络风暴”“锁盾”等网络攻防演练行动为我国实战攻防演练发展提供了参考。
在各部门的高度重视下,演练范围越来越广,参演单位数量和涉及行业逐年增多,我国实战攻防演练开始走向规模化。
时至今日,监管机构和各行业都已开展了实战攻防演练,在实战演练中诞生了一大批网络安全尖兵。
2.演练规则向成熟化演变随着国内实战攻防演练的规模逐渐扩大,演练规则也在逐年完善,覆盖面更广,内容更贴合实战,在发展过程中渐渐成熟。
从规则设置看,数量逐年增加,规则进一步细化,要求更严。
对攻击方而言,要尽可能地找出系统中存在的所有安全问题,穷尽所有已知的攻击方法,达到让终端、边界、目标系统失陷的目的;对防守方而言,要进行网络安全监测、预警、分析、验证、处置等一系列工作,并在后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据。
从具体内容看,规则制定紧贴网络安全发展形势,向实战化倾斜。
比如,针对APT攻击,要求防守方做到在攻击发生后,不仅要保证损失降到最低,更要掌握是谁、通过何种方式进入系统、做了什么。
同时,针对网络安全“一失万无”的特性,除了保护目标系统外,也要保证相关的业务安全运营,在演练中培养从业者的全局意识。
3.演练频度向常态化演变在监管部门、政企机构的高度重视下,实战攻防演练逐渐走向常态化,影响力进一步扩大。
一年一度的实战攻防演练周期逐渐拉长。
同时,更多政企机构开始利用攻防演练检测自身的网络安全能力,从而为后续网络安全建设指路。
网络攻击突破空间限制,攻击速度快,随时可能发生。
应实战要求,攻防演练对抗周期逐年拉长。
在贴合实战的攻防博弈中,防守方必须进行全天候、全方位的网络安全态势感知,增强网络安全防御能力和威慑力。
实战攻防演练成为政企机构网络安全防御能力的常态化检查手段。
只有打一遍,在攻防对抗中发现问题并解决问题,才能针对特定问题进行建设规划,全面提升网络安全能力。
现在很多大型政企机构希望专业的网络安全服务商先做一次实战攻防演练,之后再根据演练结果进行定制化的网络安全规划与设计服务。
只有不断进行网络攻防演练和渗透测试,才能不断提升安全防御能力,从而应对不断变化的新型攻击和高级威胁。
4.攻击手段向多样化演变随着演练经验的不断丰富和大数据安全技术的广泛应用,攻防演练的攻击手段不断丰富,开始使用越来越多的漏洞攻击、身份仿冒等新型作战策略,向多样化演变。
2016年,网络实战攻防演练处于起步阶段,攻防重点大多集中于互联网入口或内网边界。
从演练成果来看,从互联网侧发起的直接攻击普遍十分有效,系统的外层防护一旦被突破,横向拓展、跨域攻击往往都比较容易实现。
2018年,防守方对攻击行为的监测、发现能力大幅增强,攻击难度加大,迫使攻击队全面升级。
随着部分参与过演练的单位的防御能力大幅提升,攻击队开始尝试更隐蔽的攻击方式,比如身份仿冒、钓鱼Wi-Fi、供应链攻击、邮箱系统攻击、加密隧道等,攻防演练与网络实战的水平更加接近。
2020年,传统攻击方法越来越难取得成效,攻击队开始研究利用应用系统和安全产品中的漏洞发起攻击。
比如:
大部分行业会搭建VPN(VitualPrivateNetwork,虚拟私人网络)设备,可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞展开攻击;也可以采取钓鱼、爆破、弱口令等方式来取得账号权限,绕过外网打点环节,直接接入内网实施横向渗透。
2021年,攻防对抗进一步升级,防守方攻击监测防护能力的大幅提升以及攻防技术的快速提高,使得攻击队攻击成本和攻击难度也快速提高。
于是,攻击队开始大量使用社工攻击手段,从邮件钓鱼发展到微信等多种社交软件钓鱼,甚至到物理渗透、近源攻击,力求有效绕过防护壁垒,快速进入内网。
网络安全实战演练是攻防对抗的过程,攻击手段多样化的最终目的是提升网络安全防护能力,应对不断变化的网络安全威胁。
5.安全防御向体系化演变近几年的实战攻防演练充分证明,没有攻不破的网络,没有打不透的“墙”。
面对多样化的网络攻击手段,不能临阵磨枪、仓促应对,必须立足根本、打好基础,用系统思维开展体系化的网络安全建设。
网络安全防护思路,急需从过去的被动防御走向主动防御。
被动防御可以理解为“事后补救”,采用隔离、修边界等技术方法,是局部的,针对单点的,安全产品之间缺乏联动。
这种“头痛医头,脚痛医脚”“哪里出问题堵哪里”的防御思路,已经不再适应当前的网络安全形势。
主动防御可以理解为“事前防控”,将关口前移,防患于未然。
在实战演练后,应对现有安全架构进行梳理,以安全能力建设为核心思路,重新设计企业整体安全架构,通过多种安全能力的组合和结构性设计,形成真正的纵深防御体系。
1.2蓝队1.2.1什么是蓝队在本书中,蓝队是指网络实战攻防演练中的攻击一方。
蓝队一般会针对目标单位的从业人员以及目标系统所在网络内的软件、硬件设备执行多角度、全方位、对抗性的混合式模拟攻击,通过技术手段实现系统提权、控制业务、获取数据等渗透目标,从而发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。
蓝队人员并不是一般意义上的黑客,黑客往往以攻破系统、获取利益为目标,而蓝队则是以发现系统薄弱环节、提升系统安全性为目标。
此外,对于一般的黑客来说,只要发现某一种攻击方法可以达成目标,通常就没有必要再去尝试其他的攻击方法和途径;而蓝队的目标则是尽可能找出系统中存在的所有安全问题,因此蓝队往往会穷尽已知的所有方法来完成攻击。
换句话说,蓝队人员需要的是全面的攻防能力,而不仅仅是一两项很强的黑客技术。
蓝队的工作与业界熟知的渗透测试也有所区别。
渗透测试通常是指按照规范技术流程对目标系统进行安全性测试;而蓝队攻击一般只限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。
渗透测试过程一般只要验证漏洞的存在即可,而蓝队攻击则要求实际获取系统权限或系统数据。
此外,渗透测试一般都会明确要求禁止使用社工手段(通过
升级会员 