“船停在码头是最安全的,但那不是造船的目的。”
当我们讨论0Day时,我们在讨论什么?
红队的视角
对于红队来说,常态化演练时间的延长既是机遇也是挑战。一方面,时间的延长为红队带来了更多实施复杂和隐蔽攻击策略的机会。例如,广义及狭义的供应链攻击在长期演练中变得可操作化,红队可以通过对供应商系统实施水坑攻击、植入后门等手段,借助供应链系统的漏洞或污染供应链代码来间接渗透目标。
蓝队的视角
对于防守方,常态化演练时间的延长同样带来了巨大的挑战。首先,长时间的演练对防守方的人力和技术资源提出了更高要求。团队成员需要轮班工作,以保持长时间的持续防御,这不仅增加了人员的疲惫度,还需要更多的技术和设备支持,导致资源消耗、预算消耗的显著增加。因此,不太可能再像以前一样简单堆人同时7*24小时的值守来提升防护效果。
其次,在长时间的演练中,简单粗暴的关闭一些系统的策略无法一直生效。防守方无法随意关闭风险业务系统,同时必须确保这些系统在运行中的安全性。尤其是核心业务和边缘系统,防守方需要找到有效的防御措施,避免系统在演练期间被攻破。
长期的高强度防御对防守团队的心理状态也构成了巨大挑战。团队成员需要在高压环境下工作,保持高度的警惕性,这可能导致心理疲劳和工作效率下降。
然而,常态化演练也为防守方提供了建立长效安全机制的机会。通过长时间的演练,防守方能够建立一套全面的安全防护机制。这不仅包括技术层面的提升,还涉及到团队协作、应急响应和心理支持等方面,为组织的整体网络安全防御能力提供保障。
常态化演练还强调应急响应能力的提升。长时间、多样化的攻击手段要求防守方具备高效的应急响应能力,并能够迅速应对各种突发事件。随着演练时间的延长,防守方有更多时间考虑广义及狭义的供应链安全问题。通过全面评估和加强供应链各环节的安全措施,防守方可以建立更加稳固的防御体系,防止通过供应链进行的间接攻击。
监管的视角
大家习惯性地讨论攻防双方的思路,但演练中监管方的视角也是一块重要的视角。从监管角度来看,常态化演练的引入并非仅仅为了增加攻击和防御的难度,而是为了真正提升整体的网络安全防护能力。当前的运动式演练通常依赖于短期内的高强度防御措施,如临时关闭非核心业务系统,尽管这种方法在短期内有效,但它并没有解决根本问题。监管方意识到,网络边界防护并非无懈可击,持续的攻击总会找到突破口。因此,常态化演练旨在推动防守方从被动防御转向主动防御,实现“以攻促防,以攻促改”。
通过长时间的实战演练,防守方能够持续检测和应对攻击,发现系统中的深层次漏洞和薄弱环节。这样不仅可以提升防御系统的整体安全性,还能在实战中验证和改进现有的防御策略。实战演练的持续性和复杂性,迫使防守方在实际环境中面对真实威胁,逐步提升应对复杂攻击的能力。
此外,常态化演练还强调应急处置能力的完善。长时间、多样化的攻击手段要求防守方具备快速响应和灵活调整的能力。通过不断的演练和调整,防守方能够建立起一套高效的应急响应机制,在突发事件中迅速恢复系统的正常运行。这不仅提升了单个单位的防护能力,也为整个网络安全生态系统的稳定和安全提供了保障。
往期 · 推荐
原文始发于微信公众号(边界无限):常态化演练下的各方分析