看世界杯学网络安全—防御技术和红蓝对抗 大总结

Posted 2022-12-14 罗四强

目录

8.1. 团队建设

8.1.1. 人员分工

8.2. 红蓝对抗

8.2.1. 概念

8.2.2. 网络攻防演习

8.2.3. 侧重

8.2.4. 目标

8.2.5. 前期准备

8.2.6. 行动流程

8.2.7. 注意事项

---

8.1. 团队建设

8.1.1. 人员分工

• 部门负责人

  • 负责组织整体的信息安全规划
  • 负责向高层沟通申请资源
  • 负责与组织其他部门的协调沟通
  • 共同推进信息安全工作
  • 负责信息安全团队建设
  • 负责安全事件应急工作处置
  • 负责推动组织安全规划的落实

• 合规管理员

  • 负责安全相关管理制度、管理流程的制定，监督实施情况，修改和改进相关的制度和流程
  • 负责合规性迎检准备工作，包括联络、迎检工作推动，迎检结果汇报等所有相关工作
  • 负责与外部安全相关单位联络
  • 负责安全意识培训、宣传和推广

• 安全技术负责人

  • 业务安全防护整体技术规划和计划
  • 了解组织安全技术缺陷，并能找到方法进行防御
  • 安全设备运维
  • 服务器与网络基础设备的安全加固推进工作
  • 安全事件排查与分析，配合定期编写安全分析报告
  • 关注注业内安全事件， 跟踪最新漏洞信息，进行业务产品的安全检查
  • 负责漏洞修复工作推进，跟踪解决情况，问题收集
  • 了解最新安全技术趋势

• 渗透/代码审计人员

  • 对组织业务网站、业务系统进行安全评估测试
  • 对漏洞结果提供解决方案和修复建议

• 安全设备运维人员

  • 负责设备配置和策略的修改
  • 负责协助其他部门的变更导致的安全策略修改的实现

• 安全开发

  • 根据组织安全的需要开发安全辅助工具或平台
  • 参与安全系统的需求分析、设计、编码等开发工作
  • 维护公司现有的安全程序与系统

8.2. 红蓝对抗

8.2.1. 概念

红蓝对抗的概念最早来源于20世纪60年代的美国演习，演习是专指军队进行大规模的实兵演习，演习中通常分为红军、蓝军，其中蓝军通常是指在部队模拟对抗演习专门扮演假想敌的部队，与红军(代表我方正面部队)进行针对性的训练，这种方式也被称作Red Teaming。

网络安全红蓝对抗的概念就源自于此。红军作为企业防守方，通过安全加固、攻击监测、应急处置等手段来保障企业安全。而蓝军作为攻击方，以发现安全漏洞，获取业务权限或数据为目标，利用各种攻击手段，试图绕过红军层层防护，达成既定目标。可能会造成混淆的是，在欧美一般采用红队代表攻击方，蓝队代表防守方，颜色代表正好相反。

8.2.2. 网络攻防演习

比较有影响力的演习有“锁盾”(Locked Shields)、“网络风暴”等。其中“锁盾”由北约卓越网络防御合作中心(CCDCOE，Cooperative Cyber Defence Centre of Excellence)每年举办一次。“网络风暴”由美国国土安全部(DHS)主导，2006年开始，每两年举行一次。

和APT攻击相比，攻防演习相对时长较短，只有1~4周，有个防守目标。而APT攻击目标唯一，时长可达数月至数年，更有隐蔽性。

 

8.2.3. 侧重

企业网络蓝军工作内容主要包括渗透测试和红蓝对抗，这两种方式所使用的技术基本相同，但是侧重点不同。

渗透测试侧重用较短的时间去挖掘更多的安全漏洞，一般不太关注攻击行为是否被监测发现，目的是帮助业务系统暴露和收敛更多风险。

红蓝对抗更接近真实场景，偏向于实战，面对的场景复杂、技术繁多。侧重绕过防御体系，毫无声息达成获取业务权限或数据的目标。不求发现全部风险点，因为攻击动作越多被发现的概率越大，一旦被发现，红军就会把蓝军踢出战场。红蓝对抗的目的是检验在真实攻击中纵深防御能力、告警运营质量、应急处置能力。

8.2.4. 目标

• 评估现有防御能力的有效性、识别防御体系的弱点并提出具体的应对方案
• 利用真实有效的模拟攻击来评估因为安全问题所造成的潜在的业务影响，为安全管理提供有效的数据来量化安全投入的ROI
• 提高公司安全成熟度及其检测和响应攻击的能力

8.2.5. 前期准备

• 组织结构图
• 全网拓扑图
• 各系统逻辑结构图
• 各系统之间的调用关系
• 数据流关系

• 资产梳理

  • 核心资产清单
  • 业务系统资产
  • 设备资产
  • 外包/第三方服务资产
  • 历史遗留资产

• 业务资产信息

  • 业务系统名称
  • 业务系统类型
  • 服务器类型
  • 域名/IP地址
  • 服务端口
  • 版本
  • 系统部署位置
  • 开发框架
  • 中间件
  • 数据库
  • 责任人
  • 维护人员

• 设备资产信息

  • 设备名称
  • 设备版本号
  • 固件版本号
  • IP地址
  • 部署位置
  • 责任人
  • 维护人员

• 外包/第三方服务资产信息

  • 厂商联系方式
  • 系统名称
  • 系统类型
  • IP/URL地址
  • 部署位置
  • 责任人
  • 维护人员
  • 厂商联系方式
  • 第三方值班人员

• 风险梳理

  • 基础设施风险
  • 帐号权限梳理
  • 互联网风险排查
  • 收敛攻击面
• 应急响应计划
• 业务连续性计划
• 灾难恢复计划

8.2.6. 行动流程

• 攻击准备

  • 明确授权范围、测试目标、限制条件等
  • 报备与授权流程
  • 行动成本与预算

• 攻击执行

  • 备案的时间区间内
  • 备案的目标范围内
  • 备案的攻击IP与网络环境

• 攻击完成

  • 恢复所有修改
  • 移除所有持久化控制
  • 提交攻击报告与改进建议

8.2.7. 注意事项

• 测试前进行报备
• 有可能会影响到业务的操作时候提前沟通
• 漏洞和业务沟通确认后再发工单修复
• 漏洞闭环

 

 推荐学习

1、Windows专栏

Windows服务器各种骚操作及维护合集

https://blog.csdn.net/weixin_42350212/category_7702659.html

2、Windows AD域控/Exchange管理专栏

https://blog.csdn.net/weixin_42350212/category_10959170.html

3、PowerShell自动化专栏

https://blog.csdn.net/weixin_42350212/category_10649706.html

python你TM太皮了——区区30行代码就能记录键盘的一举一动

白帽SQL注入实战过程记录（2）——根据information_schema组装SQL注入语句

女神相册密码忘记了，我只用Python写了20行代码~~~

如何用ssh工具连接前台小姐姐的“小米手机”——雷总看了直呼内行！！！