一、网络安全现状与背景
十四五时期,信息化进入加快数字化发展、建设数字中国的新阶段,安全环境愈加严峻,需要通过红蓝对抗服务发现并整改企事业单位或机构内外网资产及业务数据深层次安全隐患,确保业务平稳运行的前提下,整合企事业单位或机构安全威胁监测能力、应急处置能力和防护能力,以企事业单位或机构真实网络环境开展红蓝对抗演练,提高并完善企事业单位或机构安全防护技术与管理体系,才能助力企事业单位或机构在数字化转型升级的浪潮下提升安全水位线,更好地享有数字经济的发展成果。针对全国范围的真实网络目标为对象的实战攻防活动自2016年开始,旨在发现、暴露和解决安全问题,检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。如果网络安全得不到保障,这将给生产、经营、个人资产、个人隐私等方面带来严重损害,甚至会使国防安全以及国家安全面临非常严重的危险。“对抗演练”是国家应对网络安全问题所做的重要布局之一。
二、企事业单位或机构面临的未知问题
现如今,时代发展迅速,正处于数字化转型热潮,计算机和网络给我们的生活和生产带来空前便利的同时,也带来了风险。俄乌战争、西工大事件等安全事件引发的思考,让大家已经有了共识,安全观念需跟上时代发展,不断推陈出新。
企事业单位或机构配备了防火墙等安全设备,内外网隔离,重要数据放在内网,但是不断有新的网络攻击或者百密一疏的漏洞被抓住,系统服务还是被攻破,这主要是因为公众的网络安全认知不足。随着数字资产的爆炸性增长,越来越多的数字入口暴露在互联网上,大量的数字资产无法及时关注,边角资产存在很多已知和未知的漏洞,这些漏洞都是攻击者眼中的突破点。每年举办的网络安全宣传周,让企事业单位或机构认识到防火墙等安全设备的重要性。不过,认识到网络安全重要是一回事,时刻认识到网络安全重要是另一回事,要时刻认识到网络安全的重要性,跟上时代的进步,才能安全永固。
网络安全是无价的,但是购买安全设备、提供安全服务都需企事业单位或机构付费。所以,企事业单位或机构一定也都会去想:应该投入多少来解决安全的问题?投入力度是否值得?安全的价值必须通过问题来体现,比如某企事业单位或机构今年在网络安全方面投入上百万,直到年底没有任何网络安全事件发生,那么该企事业单位或机构是赚了还是亏了?
我们上中学的时候学习物理、生物等课程的时候都接触过控制变量这个词语,而量子力学的科学发现,也提出了平行宇宙这个概念,比如现在大火的漫威电影《蜘蛛侠:平行宇宙》。那么我们不妨也采用控制变量的方法假设出一个平行宇宙,在这个平行宇宙中也有这家机构,没有在网络安全防护与宣传上进行一定的投入,结果遭受了网络攻击,除了最直接的经济损失,还有对于单位造成的负面形象,尤其是政府机构关乎国家安全与稳定,影响深远而且损失难以估算,二者一比较结论很明显,在网络安全建设上进行一定的投入效果非常显著。但是,问题难就难在没有那么一个可供比较的平行宇宙。再加上网络安全往往又有另一大特性,那就是要么不出事,要么出大事,无论哪一种情况,都容易会让企事业单位或机构的决策者感觉在安全方面的投入白费。
某些企事业单位或机构会选择定期做渗透测试以此解决这个问题,但是却仍无法完全避免网络安全风险,毕竟大部分渗透测试都是点到为止。渗透测试的流程基本是以发现漏洞为止,受服务条款的约束,很多企事业单位或机构都会要求渗透测试不得影响主营业务,这样就免不了会导致渗透测试束手束脚,所以渗透测试真的能够完全当作平行宇宙的挖掘品么?
此处总结企事业单位或机构面临的问题:
- 有一定的网络安全认知但是还是不足以应对现在千变万化的网络安全风险。
- 应该投入多少来解决的问题,这个投入值不值得。
- 比渗透测试更能解决企事业单位或机构难点的是什么呢?
三、解决办法就是红蓝对抗
众所周知,网络安全充满被动性,因为网络安全天然就划分成攻方和守方,守方天然就带有被动性。对于大部分企事业单位或机构来说,安全无法直接创造利润,企事业单位或机构的其它部门甚至高层会意识不到网络安全的重要性,认为不应该加大在安全方面的宣传和投入,而对于安全部门,守护网络安全则是本分与责任。
外行人很难了解攻防的对抗有多激烈,自然很难承认安全部门的努力和成绩。这种心理上的被动性,毫无疑问会造成更多消极的影响,会让安全部门的人员非常地憋屈。
怎么样才能不憋屈?自然是让外行人也了解事情的严重性,让大家都承认眼前存在危机。挽狂澜于既倒,扶大厦之将倾,首先需让大家明白此刻已然是存亡危机时刻,守住网络攻击造就网络安全才能打出名声。
但是,网络安全又往往非常具有隐蔽性,别说是事发之前,哪怕是事发以后,很多企事业单位或机构都还不知道自己出现了重大的安全问题。网络安全厂商非常了解这种情况,在一些安全服务中发现企事业单位或机构客户已经被网络攻击勒索了,但是企事业单位或机构自己却完全不知道。当企事业单位或机构认识到自己的安全存在大问题的时候,已然太迟。
图1 勒索攻击
这时候就要想办法转化网络安全的这种被动性,让企事业单位或机构再做网络安全预算的时候,不再优柔寡断,能够明确眼前的危机情况,不会像平行宇宙里的那样损失惨重。这种办法就是红蓝对抗。在网络安全中,红蓝对抗是红队和蓝队对抗,红队是防守者,蓝队则是攻击者,除了红蓝双方进行对抗,还有一支队伍用来承担组织工作。
图2 红蓝对抗
在这几只队伍里,蓝队尤其重要,通过攻防实战能够发现问题并对当前安全水平进行评价。蓝队目标只有一个,那就是用实战攻击回答企事业单位或机构存在多严重的网络安全问题。企事业单位或机构的安全措施做得到不到位,还有哪些漏洞能被利用,而且不影响企事业单位或机构的正常业务,以获取企事业单位或机构资产权限、业务数据、业务控制权为目的,并能够展示击杀链,最后还能够结合当前网络安全体系,提出可落地的改进建议;红队则作为防守者,考察企事业单位或机构的防护与应急体系,优化安全策略,挖掘并处置安全事件,分析蓝方成果,最后结合当前网络安全体系,提出可落地的改进建议,这些过去在平行宇宙才能知道的事,现在交由红蓝对抗就可以知悉。
综上所述,红蓝对抗带给企事业单位或机构客户的价值基本分为7大块:
- 企事业单位或机构高层视角评估安全体系:CSO、CIO视角的企事业单位或机构安全评估观点及解决方案;
- 威胁可视化:将脆弱点转化为威胁,展示真实入被侵的结果;
- 解决木桶效应:尝试利用任何可以利用的风险点并深入挖掘;
- 提升机构团队能力:通过对抗识别防护流程障碍,提升团队实战经验;
- 引导防御姿态转变:防御姿态由告警运营转向异常挖掘甚至攻击复现;
- 检测 APT 防御能力:模拟APT组织TTPs检验企事业单位或机构的常态化防御能力。
四、总结与展望
红蓝对抗发展到现在,无论从团队规模还是攻防理念都在向更高级别的攻防演练靠近,越来越具有实践性,蓝队制定详细作战计划,木马病毒、APT攻击、生产网攻击、内网渗透、漏洞挖掘,用尽各种攻击手段及攻击路径,设计详细的时间计划表,无论哪种攻击,对技术能力和团队协作要求都很高。红队方也基于各种强大的网络安全产品,提升入侵门槛,并在应急响应中进行溯源,增加诱捕反制环节,会有很强的溯源分析能力和诱捕反制能力,红方蓝方不同角色有不同的优势和劣势,比如攻击方只需攻破一个点,就能拿到部分权限,而在整个攻击链路中,有一个环节被防御者发现,那么整个攻击过程就算失败,权限被移除是小事,被溯源到就是大事儿了。“‘攻’和‘防’在机制上的本质不同是,‘攻’遵循木桶原理,只要攻击单点,找到最短的板就能突破;但‘防’是需要每块板都做到足够长,把防御水位线做高,它考验的是安全团队的综合能力。网络安全领域,技术繁杂,更新变化快,需要投入大量的时间和精力去学习实践才能跟上时代的变化,正如习近平总书记在网络安全和信息化工作座谈会上的讲话所说:“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护,都要有本清清楚楚的账。攻防力量要对等,要以技术对技术,以技术管技术,做到魔高一尺、道高一丈”。总而言之,网安之路,任重道远。
原文始发于绿盟技术博客(杜烨初):红蓝对抗|发现并解决平行宇宙里的危机