安全狗談紅藍(lán)對抗：Red Team服務(wù)比傳統(tǒng)滲透測試好在哪？

最近圈內(nèi)關(guān)于紅藍(lán)對抗，red team服務(wù)的討論很熱烈，原因相信大家都是很清楚的。目前來看，很多企事業(yè)單位對“安全之痛”還缺乏體會(huì)，國內(nèi)安全防護(hù)水平的發(fā)展很大程度上仍然需要監(jiān)管部門來推動(dòng)。
筆者所在的公司（安全狗）在今年年初，也把原來做滲透測試的團(tuán)隊(duì)升級成為了可提供red team服務(wù)的隊(duì)伍，一方面是因?yàn)闈B透測試服務(wù)市場受到了眾測服務(wù)一定程度的沖擊，另外一方面是隨著攻擊手段隱蔽性和復(fù)雜性的逐年提升，國內(nèi)red team服務(wù)需求會(huì)大幅上升?，F(xiàn)在回過頭來看，我們的預(yù)判很準(zhǔn)確。
最近很多文章都在強(qiáng)調(diào)red team服務(wù)攻擊能力的重要性，由于我本人長年從事安全防護(hù)產(chǎn)品研究和設(shè)計(jì)工作，所以本文將從red team服務(wù)促進(jìn)安全體系改進(jìn)提升的角度進(jìn)行探討。
red team服務(wù)（國內(nèi)團(tuán)隊(duì)也稱為藍(lán)軍）旨在通過全場景、多維度的“真實(shí)”攻擊來檢驗(yàn)企業(yè)實(shí)際的安全防護(hù)水平和發(fā)現(xiàn)安全防護(hù)體系的缺陷。
red team服務(wù)與傳統(tǒng)滲透測試相比最大的區(qū)別在于：
1、傳統(tǒng)滲透測試目的在于盡可能找全某個(gè)系統(tǒng)的漏洞，對于漏洞的利用基本是點(diǎn)到為止（確認(rèn)其可利用性和危害）；red team服務(wù)的目的則不是為了找全漏洞，而是為了找到可利用的風(fēng)險(xiǎn)點(diǎn)，并繞過防護(hù)體系滲透到企業(yè)內(nèi)部，全面檢驗(yàn)企業(yè)各個(gè)維度的安全防護(hù)能力和安全感知能力；
2、傳統(tǒng)滲透測試的攻擊手段相對比較單一，比如針對web業(yè)務(wù)系統(tǒng)的滲透測試基本就是利用web攻擊的相關(guān)方法；而red team服務(wù)會(huì)利用多維度的攻擊方法（如web滲透、郵件釣魚、魚叉攻擊、無線攻擊甚至物理攻擊）；
3、傳統(tǒng)滲透測試一般會(huì)選用模擬測試環(huán)境進(jìn)行；而red team更傾向于在真實(shí)環(huán)境和場景中進(jìn)行真實(shí)的對抗，會(huì)有攻擊方和防守方甚至有裁判組，整個(gè)過程相對更加復(fù)雜。
我們的red team方案把整個(gè)攻擊鏈條總結(jié)為“從外到內(nèi)、從內(nèi)到內(nèi)和從內(nèi)到外”三個(gè)環(huán)節(jié)，從這三個(gè)環(huán)節(jié)基本能完整檢驗(yàn)一個(gè)企業(yè)的真實(shí)防守能力，如下圖所示：
“從外到內(nèi)”主要檢驗(yàn)企業(yè)的邊界防護(hù)能力、員工的安全意識以及供應(yīng)鏈上的安全風(fēng)險(xiǎn)等；這部分的攻擊方法會(huì)涉及到web攻擊、郵件釣魚、社工測試、第三方供應(yīng)鏈攻擊等。
“從內(nèi)到內(nèi)”主要檢驗(yàn)企業(yè)內(nèi)部安全的防護(hù)能力和內(nèi)部安全威脅感知能力等；這部分的攻擊方法會(huì)涉及到內(nèi)部的橫向滲透、系統(tǒng)提權(quán)攻擊、后門隱藏甚至?xí)玫揭恍?day漏洞，有點(diǎn)apt的味道。
“從內(nèi)到外”主要檢驗(yàn)企業(yè)對于安全威脅感知能力和信息數(shù)據(jù)外傳泄露的檢測能力等；這部分的攻擊方法會(huì)涉及隱藏的反彈shell（繞過防火墻）、隱蔽隧道數(shù)據(jù)傳輸?shù)取?br>從這個(gè)三個(gè)方面的攻擊鏈條來看，安全防護(hù)體系的縱深性、聯(lián)動(dòng)性和全面感知是非常重要的。由于red team能檢驗(yàn)的防守點(diǎn)很多，接下來我們結(jié)合對應(yīng)的產(chǎn)品，分別從三個(gè)階段給出提升防護(hù)體系的建議。
一、從外到內(nèi)
這個(gè)階段重點(diǎn)推薦rasp（應(yīng)用運(yùn)行時(shí)自保護(hù)），這是針對web安全的縱深防護(hù)手段。目前大部分企業(yè)在邊界上都部署了云waf、硬件waf，但如果出現(xiàn)一個(gè)未知web中間件漏洞或應(yīng)用系統(tǒng)漏洞，直接繞過邊界上的waf是相當(dāng)容易的（如各種java中間件的反序列化漏洞）；而如果此時(shí)web后端有個(gè)rasp模塊進(jìn)行保護(hù)，就可以輕松地發(fā)現(xiàn)這些高級攻擊，如：web進(jìn)程執(zhí)行命令、web進(jìn)程敏感文件讀寫行為、web進(jìn)程對系統(tǒng)賬號的修改行為、web進(jìn)程對外網(wǎng)絡(luò)連接行為等；對這些行為再加以分析基本就可以判斷系統(tǒng)是否已經(jīng)被攻陷并快速采取處置動(dòng)作。
具體的原理如下圖：
當(dāng)然這類產(chǎn)品優(yōu)點(diǎn)雖然很明顯，但缺點(diǎn)也很突出，就是侵入性太強(qiáng)。對于業(yè)務(wù)連續(xù)性要求很高的行業(yè)，一般不敢輕易嘗試。從我們實(shí)際部署的經(jīng)驗(yàn)看，可以考慮從一些邊緣的系統(tǒng)開始測試，穩(wěn)定后逐步覆蓋到關(guān)鍵系統(tǒng)。在部署安裝的時(shí)候可利用多節(jié)點(diǎn)負(fù)載備份和選擇非工作時(shí)段，同時(shí)要求rasp安全策略和自身模塊支持熱更新模式，無需重啟服務(wù)。
二、從內(nèi)到內(nèi)
從去年的某大型攻防演練中可以看到，很多大型企業(yè)內(nèi)部防護(hù)基本是空白的（大部分單位認(rèn)為內(nèi)部網(wǎng)絡(luò)隔離就是安全的），因此今年企業(yè)對這方面也特別重視。這個(gè)階段重點(diǎn)推薦兩種類型產(chǎn)品：
第一類是 （云）服務(wù)器主機(jī)edr產(chǎn)品。edr（終端檢測和響應(yīng)）是gartner針對終端安全提出的下一代產(chǎn)品，連續(xù)四年進(jìn)入gartner的年度安全技術(shù)榜單。筆者在實(shí)際的產(chǎn)品研究過程中發(fā)現(xiàn)edr的能力要求更適合（云）服務(wù)器主機(jī)環(huán)境：
edr要求agent輕量化：很多甲方客戶不敢在服務(wù)器上裝安全agent，就是擔(dān)心安全agent占用資源影響到業(yè)務(wù)，由此導(dǎo)致內(nèi)部主機(jī)大面積裸奔的情況，而edr的agent輕量化正好符合服務(wù)器場景的要求；
edr要求檢測能力：pc終端安全的大部分問題在于容易感染病毒，而服務(wù)器主機(jī)更多問題在于如何發(fā)現(xiàn)入侵和違規(guī)行為，因此服務(wù)器場景對于檢測能力的要求高于殺毒能力，所以edr的檢測能力非常適合在服務(wù)器場景上應(yīng)用；
edr要求快速響應(yīng)能力：主機(jī)agent可以滿足阻斷、隔離、還原等快速響應(yīng)的要求。
綜上，服務(wù)器主機(jī)edr產(chǎn)品在內(nèi)部安全威脅檢測中可以起到很好的效果，既可以彌補(bǔ)內(nèi)部檢測能力的不足，同時(shí)也很適用于云的場景，不受網(wǎng)絡(luò)區(qū)域限制。
第二類是欺騙防御產(chǎn)品。欺騙防御系統(tǒng)也是這幾年比較新興的一種產(chǎn)品品類，由原來的蜜罐產(chǎn)品升級而來，但又不同于傳統(tǒng)意義上的蜜罐。我們認(rèn)為欺騙防御產(chǎn)品是對安全檢測體系一個(gè)很好的補(bǔ)充，很適合在一些特殊的內(nèi)網(wǎng)進(jìn)行部署。
欺騙技術(shù)分為不同層次，需具備真實(shí)網(wǎng)絡(luò)的所有特征，包括真正的數(shù)據(jù)和設(shè)備。這種欺騙技術(shù)可以模仿并分析不同類型的流量，提供對賬戶和文件的虛假訪問，更為神似地模仿內(nèi)部網(wǎng)絡(luò)，同時(shí)還要求可以自動(dòng)部署，讓攻擊者被耍得團(tuán)團(tuán)轉(zhuǎn)，陷入無窮無盡追逐更多信息的循環(huán)中。欺騙防御產(chǎn)品按既定意圖運(yùn)作時(shí)，黑客會(huì)真的相信自己已經(jīng)滲透到了受限網(wǎng)絡(luò)中。
三、從內(nèi)到外
這個(gè)階段對于數(shù)據(jù)外傳的檢測是相當(dāng)重要的，這里重點(diǎn)推薦流量威脅檢測類型的產(chǎn)品。不少人認(rèn)為流量威脅檢測產(chǎn)品是ids的下一代升級版，這樣認(rèn)為有一定道理（都是旁路流量檢測）但又不完全準(zhǔn)確，筆者認(rèn)為好的流量威脅檢測產(chǎn)品須具備以下特性：
不依賴威脅情報(bào)情況下對于反彈外聯(lián)的檢測能力（依賴檢測算法）；
依賴威脅情報(bào)對于c＆c的快速檢測能力；
依賴ai模型對于隱蔽傳輸通道的識別能力；
元數(shù)據(jù)的采集、存儲(chǔ)和分析能力，同時(shí)能對接給態(tài)勢感知平臺(tái)；
威脅事件的溯源取證能力（存儲(chǔ)原始的package）
當(dāng)然，介紹了這么多的防護(hù)產(chǎn)品，最終還是需要聯(lián)動(dòng)起來才能發(fā)揮作用，這就要依靠安全大數(shù)據(jù)分析和響應(yīng)平臺(tái)（也就是大家常說的態(tài)勢感知平臺(tái)或安全大腦）。在缺乏有效的全局安全威脅情報(bào)共享聯(lián)動(dòng)作支撐的情況下，不同廠商、不同類型的傳統(tǒng)安全產(chǎn)品難以協(xié)同，容易發(fā)生安全威脅和整體態(tài)勢研判誤報(bào)、漏報(bào)的現(xiàn)象。
而依托安全大數(shù)據(jù)分析和響應(yīng)平臺(tái)，部署的各類防護(hù)軟件和系統(tǒng)既可以針對目標(biāo)進(jìn)行實(shí)時(shí)防護(hù)，同時(shí)又可將攻擊數(shù)據(jù)匯總至態(tài)勢感知平臺(tái)，全面展示安全態(tài)勢，實(shí)現(xiàn)對全局的安全風(fēng)險(xiǎn)可視和可預(yù)測，為安全決策提供可靠的依據(jù)和手段，這也是我們發(fā)展此類平臺(tái)的重要意義。
“九層之臺(tái)起于壘土”，安全防護(hù)體系的建設(shè)也需要一個(gè)過程，這個(gè)過程中，既考驗(yàn)甲方的安全規(guī)劃和安全運(yùn)營能力，也挑戰(zhàn)乙方的產(chǎn)品能力和服務(wù)能力。相信隨著國內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)不斷地向前發(fā)展，我們整體的安全防護(hù)水平也會(huì)不斷提升到新的高度。

---

---

張店月子中心前十,助您產(chǎn)前產(chǎn)后無憂無慮
火鍋哪里有培訓(xùn)學(xué)費(fèi)是多少火鍋的教學(xué)流程
富氫水機(jī),漢陽富氫花灑如何安裝
樂廚仕聚熱節(jié)能不粘鍋 廠家批發(fā)直銷 批發(fā)價(jià)格多少
熱熔膠涂布機(jī)熱載體加熱器
安全狗談紅藍(lán)對抗：Red Team服務(wù)比傳統(tǒng)滲透測試好在哪？
天津真石漆批發(fā)商 天津真石漆 薪申邦涂料有限公司
轉(zhuǎn)讓二手封邊機(jī)二手木工機(jī)械寶邁木工機(jī)械9成新華力封邊機(jī)
汽車制造專用工具——DRIVETEST/PCB/MICRONEXT/篇
管道直徑500mm的復(fù)合材料拍門鑫川水利
下沙專業(yè)彩妝培訓(xùn)學(xué)習(xí)班歡迎咨詢下沙濃情學(xué)校！
專業(yè) 不銹鋼冰桶 香檳桶 Ice bucket
長期供應(yīng)柔軟劑口碑好，創(chuàng)造化學(xué)新作用
xc60沃爾沃配件都是進(jìn)口嗎，欣睿豪原廠保證
高溫高壓殺菌鍋 諸城神龍機(jī)械食品殺菌鍋的選擇因素
進(jìn)口數(shù)控刀具伊斯卡肯納
Nicoler等離子空氣消毒機(jī) Nicoler動(dòng)態(tài)空氣消毒機(jī)
邁皋橋暖氣片10大品牌 免費(fèi)上門調(diào)試
衣戀陽光晾衣架怎么樣 衣戀陽光晾衣架質(zhì)量好
樂清少兒國學(xué)學(xué)習(xí)班-中西合璧 少兒國學(xué)