前言
甲方从业人员,目前做企业蓝军相关工作,浅谈下自己对企业蓝军的工作内容和价值思考。
刚入职的时候,在内部做了一次主题为《企业蓝军的意义与价值》的分享,近两年的工作过去了,现在再看看那次分享的PPT,有了更多关于这方面的想法。
概念
蓝军这个概念,军事领域早已有之,指的是在部队模拟对抗时,专门成立一个扮演假想敌的部队(蓝军),专业化的学习模拟外军的思维、攻击方式,并与我方正面部队(红军),进行对抗性演练。
安全领域假想敌这个说法早先起于国外,但他们并不是红蓝军的称呼,而是红队、蓝队,红队为攻击方,蓝队为防守方,由于国内红色的特殊意义,顾蓝军为攻击方,红军为防守方。
企业安全蓝军即内部攻击方,通过多场景,多层次的攻击模拟,来衡量企业在面对真实攻击时的防护水平,为防御建设提供有价值的优先级和技术建议,帮助防守方建立纵深防御体系。
价值一:讲故事
安全是个成本部门,往往会陷入一个困境,没出事的时候,好像安全也没什么用,出了事的时候,要你们安全有什么用,在这种情况下,会讲故事,则应成为一个安全团队需要学习的技能,对上,需要争取资源支持,有了上级支持,安全推动会变得更简单,对业务,需要争取业务理解,有了同级理解,阻力会变得更小。
为什么安全要做,不做到底会产生什么样的结果,安全行业在互联网技术领域占比很小,很多人可能真的并不那么懂安全,当真的把一份体现出不做安全会产生极大影响的红蓝报告给他看,有些人会理解为什么安全需要做,这种情形下,就需要企业安全蓝军去体现安全的价值。
当然,也不应矫枉过正,我们要知道组织资产并不仅仅为了被保护而存在,其存在是为了创造价值,当组织资产的价值会因为不被保护而受到损失,才需要安全,安全与业务,需要一个大家都能接受的平衡。
对内,传统的安全宣传方式为过往发生的安全事件以及这些事件所造成的影响,其中的典型应该是某滴的下架,这些宣传是必要的,红蓝对抗的结果也可以作为宣传补充的一部分,当某些时候对内测试发现影响极大的安全问题,扩大到无法再扩大的安全影响后,就可以把这份report给到上级去看,争取上级支持,当真的看到通过一个漏洞打穿内网,可拿下大量敏感数据的报告,某些上级会直接把报告给到相应业务,那么业务方面也会重视问题,在之后的工作中就会有着大量便利。
价值二:做对抗
信息安全就是博弈和对抗,是一场人与人之间的战争,就如今,漏洞扫描、渗透测试、堆安全设备、纵深防御体系是很多厂商都具备的能力,资产多,安全人员少,是面临的现状,即使做了这些安全措施,我们的资产是否安全也无从得知,可能在过往,等真的到了信息泄露才知道自己的防护是不安全的,那已为时已晚,安全是动态发展的,企业蓝军的仿真测试可减少攻防之间的不对等,及时修补系统中潜在的安全风险。
仿真测试≠渗透+扫描,而是出具深度测试report,这份report要涵盖从外到内的攻防全过程,复盘的时候也要思考在不同的网段可以做什么相应的防护,现如今,除了被动挨打还可以加诱捕蜜罐,外网的反制蜜罐、内网的轻型蜜罐(触碰则告警),之前在内部出了一份深度report,发现了其中的代理转发、root用户添加、服务器权限管理混乱等问题,若仅仅给个POC,那么之后的潜在风险点都不会发现,我们应保持着边界总有被突破的意识。
价值三:BAS
根据Gartner的调查,97%的入侵行为发生在已经部署适当网络安全防护系统的公司,为什么部署了安全设备还是会被入侵,有一方面是因为攻防不对等,另一方面也是因为安全设备部署≠充分利用安全设备,在很多企业,人少设备多,那么往往会出现这么一种情况,安全设备买了放那,没有人去进行运维,或者一个人运维大量产品,导致对产品并不了解。
对于企业面临的这种困境,BAS应运而生。在Gartner的定义中,BAS(Breach and Attack Simulation)是通过不断模拟针对不同资产的攻击,验证安全防护的有效性。
对于这方面的需求,我认为在企业安全中也逐渐被重视,由此甚至还可以衍生更多的工作内容和成果,除了传统的NIDS、HIDS等安全设备对抗,我们还可以做邮件安全对抗、蜜罐对抗、数据防泄漏DLP对抗等安全对抗内容,在对抗过程中既提升了内部的反入侵水平,又可在对抗过程中了解内部的安全体系建设,其实更偏向一个双赢。
价值四:做溯源
在甲方做安全,往往会有被攻击、被钓鱼的情况,某些是广撒网,某些是针对性攻击,当企业被攻击时,企业蓝军也可站出来对攻击者做相应溯源,当溯源到真实攻击者,则可把该人信息提交公安,甚至可公告到官网,行业论坛,一方面,安全圈子很小,当其他攻击者想要攻击时,会考虑相应后果,这样也会减少攻击行为;另一方面,该行为保护了组织资产,也意味着体现了安全团队的价值,保护资产的安全。
路漫漫其修远兮,吾将上下而求索,谨在此思路输出,或许下一个两年对这个话题的观点又有所不同。
▼更多精彩推荐,请关注▼
原文始发于微信公众号(攻防有道):企业蓝军的意义和价值