導讀:什麼是紅藍對抗?
作者:木羊同學
來源:大資料DT(ID:hzdashuju)
我們現在所處的時代,有人稱為網路時代,有人稱為資訊時代,也有人稱為資料時代,不管名字怎麼叫吧,我想有一件事已經成為了共識,那就是我們的安全觀念得要跟上時代發展。
都知道重要的東西需要好好保管,以前都怎麼保管呢?找一隻牢靠的保險櫃重重鎖上,然後再安裝厚厚的防盜門,如果條件允許的話最好再在屋裡養一隻惡犬,這樣不敢說萬無一失,至少大家盡了努力。
但在當下這個時代,這種觀念過時了。計算機和網路給我們的生活和生產帶來空前便利的同時,也帶來了空前的風險。我們看電影大片,間諜要偷個檔案什麼的非常費勁,又是跳飛機又是鑽車底,最後還要耍雜技一般躲過各種感應器,一個不留神就滿世界冒紅燈,觀眾光是看就能把腎上素都拉滿了。
但現實中可能完全是另一種畫面,“小偷”一點人身風險也不需要冒,舒舒服服地坐在人體工學椅上,吹著冷氣敲幾下鍵盤就把事辦了,這種小偷我們也不陌生,那就是駭客。
近年總有圈內的同學會感慨駭客也物化了,不像過去那麼純粹,我倒是覺得這也是時代的必然。最開始大多數駭客確實是把技術當作愛好,不斷追求技術上的突破,喜歡分享和“炫技”。
但隨著網路時代、資料時代的來臨,網路資料承載了越來越多有價值的東西,同時網路攻擊可以造成的損害越來越大。技術的可用武之處越來越多了,學技術的人動機自然五花八門,大家自然也就把技術捂得嚴嚴實實。
打個形象一點的比方,二十年前我黑了你的電腦頂多也就偷偷QQ密碼,現在完全可以讓你前段時間的工作成果付諸東流,甚至一夜之間身敗名裂。這類事件時常會上新聞,對於企業就更不用說了,2018年Facebook發生資料洩露,公司市值一下蒸發360多億美元,現在還改了名字,我想多少也有挽救公司形象的考慮在裡面。
01 安全何價
當然了,有人說會被“黑”的那都是安全意識不好的企業,我們企業裝了高檔防火牆還搞了內外網隔離,重要資料都存在內網裡,除非有內鬼配合,不然駭客再厲害也無計可施。這句話乍一聽很有道理,但我們後面馬上就要介紹的“內網橫向移動”,就是專治這種不服。這裡想先討論另一個困擾網路安全的急迫問題,這就是認識問題。
說到網路安全意識,近些年我們確實有了長足的進步,各方都在不遺餘力地宣傳,安全圈的同學應該都很熟悉,國家每年都會舉辦網路安全宣傳週,企業也基本都認識到防火牆和防盜門一樣是不可或缺的必要開支。不過,認識到網路安全重要是一回事,時刻認識到網路安全重要是另一回事。
但是還有一個問題,那就是怎麼衡量安全的價值。我們都說安全是無價的,但安全服務是有標價的,要購買安全裝置,要聘請安全人員提供服務,都是走的市場化渠道,都需要企業實打實地掏出真金白銀。所以,企業一定也都會去想兩個問題,一個是想我應該掏多少錢來“買安全”的問題,一個是買了以後又要想錢花得值不值的問題。
一旦企業開始思考安全的價值問題,馬上就會發現另一個悖論:安全的價值必須透過問題來體現。簡單來說,我是一家企業,我今年在安全方面花了三百萬,到了年底發現風平浪靜啥事沒有,那麼,做總結的時候我到底該說自己是賺翻了還是當了冤大頭?
這誰說了算?誰說都不算,科學實驗講究控制變數,我們不妨設想有個平行世界,在那個世界中這家企業沒花這三百萬,結果遭受網路攻擊,一下損失兩千萬,而且還只是直接經濟損失,至於事件對企業形象造成的負面形象,不但影響深遠而且損失難以估算,二者一比較結論很明顯,我這三百萬簡直賺翻了。
但是,問題難就難在沒有那麼一個可供比較的平行世界。再加上網路安全往往又有另一大特性,那就是要麼不出事,要麼出大事,無論哪一種情況,都容易會讓企業的決策者感覺在安全方面的投入打了水漂。
02 紅藍對抗
接下來我想聊聊紅藍對抗。紅藍對抗從不同角度可以有很多種聊法,不過,我想順著上面的問題談談我自己的思考。為什麼安全會非得這麼被動呢?因為別無他法。網路安全天然就劃分成攻方和守方,而無論什麼領域,守方天然就帶有被動性。
更嚴重的被動性是守方心理上的被動性。對於大部分企業來說,安全是無法直接創造利潤的,是一個純花錢的專案。既然是“花錢買平安”,企業的高層甚至其它部門肯定有很多的人心裡想的不是網路安全有多重要,公司應該加大在安全方面的宣傳和投入,而是對於安全部門,守住了那叫你的本分,守不住那是你的責任。
外人很難了解攻方的對抗有多激烈,自然很難承認安全部門的努力和成績。這種心理上的被動性,毫無疑問會造成更多消極的影響。有一個很熟悉的詞可以形容這種感覺,那就是憋屈。
守方不是天然就得憋屈呢?不是,歷史上就有很多一守成名的歷史人物。不過,首先得有一個前提:那就是大家都承認眼前存在危機。挽狂瀾於既倒,扶大廈之將傾,首先得讓大家明白眼下已經到了狂瀾既倒、大廈將傾的時候,然後守住就能守出名堂。
但是,網路安全又往往具有隱蔽性,別說是事發之前,哪怕是事發以後,很多企業還是在新聞頭條上刷到了自己的名字,才驚訝地發現自己出現了安全問題。遲了,太遲了!當企業認識到自己的安全存在大問題的時候,往往也意味著接下來要進入各個部門互相扯皮踢皮球的環節。
有沒有辦法轉化網路安全的這種被動性,至少讓公司在做明年網路安全預算的時候,要錢的理直氣壯,掏錢的也心甘情願呢?
我想,那就是紅藍對抗。說到紅藍對抗,就要說說藍軍。早些年“藍軍”還是個比較陌生的詞,近年我接觸過一些企業,知道不少已經組建了自己的藍軍隊伍,企業內部自己就搞起了紅藍對抗。
那麼,什麼叫藍軍?紅藍對抗又能怎樣轉化網路安全的被動性呢?
對軍事有所瞭解的同學對紅軍、藍軍的用詞應該不陌生,對抗性的軍事演習一般會設兩個陣營,分別叫紅軍和藍軍,然後讓雙方對抗或演練攻防。過去紅軍藍軍是為了搞演習臨時設定的角色,後來慢慢演化出職業藍軍,人稱專業“打臉”部隊。
解放軍的“朱日和”軍演就有一支專業的藍軍部隊,據說不少平時濃妝豔抹的紅軍部隊在朱日和被狠狠地卸了妝,大家都憋著一股怒氣,要“踏平朱日和,活捉滿廣志”。
不過,藍軍打臉不是為了讓紅軍丟臉,重點還是評價水平和暴露問題。在網路安全中,紅藍對抗是紅隊和藍隊對抗,紅隊是防守者,藍隊則扮演類似駭客的攻擊者角色,有時候還要設定一個“紫隊”,承擔組織工作。
藍隊目標只有一個,那就是用實戰攻擊回答你家企業存在多嚴重的網路安全問題。企業的安全措施做得到不到位,還有哪些漏洞能被利用,這些過去平行世界才能知道的事,現在交由紅藍對抗就可以告訴你。
03 藍隊養成計劃
有同學可能要問,我家企業會定期做滲透測試,是不是可以替代紅藍對抗呢?
還真不行。不同企業對滲透測試的理解不一樣,不過基本遵循一個大原則,那就是點到為止。
雖然滲透測試很多都自稱是要以駭客的角度審視企業安全問題,不過流程走到發現漏洞也就差不多了,畢竟滲透測試也是服務,也受服務條款的約束,很多企業都會要求滲透測試不得影響主營業務,這個看起來理所當然的要求,其實免不了會導致滲透測試束手束腳。當然,更關鍵的還是錢。
但是駭客這邊有一個特點那就是“路子野”,人家可沒什麼服務條款約束,目標只有一個那就是偷最值錢的東西,或者造成最大的破壞,出發點不一樣,效果也就截然不同。
再加上網路安全領域木桶效應明顯,而你家企業最短的那條木板可能不是技術而是人,技術看來牢不可破的認證體系,駭客發封釣魚郵件就全搞掂了。類似場景下的安全問題往往需要紅藍對抗才能充分暴露出來。
最後說一點藍隊怎麼培養的問題。其實這個問題很簡單,駭客怎麼培養藍隊就怎麼培養,二者越像效果越好。譬如說藍隊應該怎樣開展攻擊呢?很簡單,駭客怎麼攻擊你就怎麼攻擊,你就是掛了工牌的駭客。
說到駭客我想多說兩句。有人說駭客是壞人,有人說駭客是牛人,也有人說駭客是道德敗壞的技術牛人。我不想標籤化地描述這個人數相當可觀的群體,駭客所使用的技術五花八門,這裡不妨簡稱為駭客技術,技術是中立,駭客技術也不例外,就好比菜刀,有人用菜刀來切菜,也有人用菜刀來傷人,我們可以把這些人都被籠統地稱為“拿菜刀的人”,而駭客也不過就是“使用駭客技術的人”。
說到駭客技術,自然就說到另一個問題。現在有駭客角色的影視作品越來越多,我能理解編劇為了凸顯角色的不同,非要給劇裡的駭客安排一些怪異的癖好,但這也很容易讓外人產生一個誤解,覺得駭客都是一群怪人,非要用野路子才能培養。
這是不對的,前面已經說了,駭客技術也是技術,是技術就能學習掌握,只要方法適當,普通人也能學會駭客技術,再說了,我知道不少駭客也追劇呢,你說這群人是普通人還是怪人?
04 藍隊如何攻擊
藍隊是怎樣攻擊的呢?一般分四個階段,準備階段、資訊收集階段、外網突破階段和內網橫向移動階段。這個過程看起來和滲透測試挺像的,實際上也確實是八九不離十,但差就差在那一二上。
準備階段和資訊收集階段很簡單,就是你要拉起一支隊伍,準備好相關的工具裝置,然後收集要攻擊目標的各類資訊,也俗稱“踩點”。接下來就是外網突破階段,首先肯定是要發現一些漏洞,滲透測試做到這一步基本就可以收工了,但對於藍隊來說這只是開始。
滲透測試好比是博物館聘請的安全檢查組,檢查組的任務是發現安全隱患,比如說檢查發現二樓排氣口的鐵柵欄生鏽了,他就會在報告中記錄這件事,然後建議儘快更換,檢查組的任務也就到此為止。
但是駭客不同,駭客好比是小偷,他也發現鐵柵欄生鏽了,不過鐵柵欄生鏽對小偷來說毫無價值,所以他就會接著琢磨怎麼利用生鏽的鐵柵欄製造機會溜進博物館,然後七拐八拐偷了館裡最值錢的那顆寶石。
這也是藍隊要做的事。藍隊發現了外部漏洞,首先要想的同樣是怎樣利用外部漏洞進入內網,然後在內網的各個節點中來回跳躍,直到達到儲存了重要資料或者運行了重要系統的那個節點。這個過程也稱為“內網橫向移動”。
駭客也好,藍隊也好,都需要保持一顆“總想要溜進去偷點什麼”的心。我們上面說的差那一二,就差在這一點上。有些企業自身防護確實做得不錯,光從企業自身很難發現漏洞,對於滲透測試來說,出一份漂亮的報告工作也就可以告一段落。但對於藍隊來說,這仍然是一個需要攻克的問題。
電影裡經常也能看到類似的情節,敵方總部防守嚴密,主角想要溜進去怎麼辦呢?藏在送飯菜的車隊裡面。在網路安全裡,這叫“供應鏈攻擊”。
說實話,駭客入侵,紅藍對抗也罷,除了需要掌握各種工具方法,還需要很多靈光閃現的創作,這是技術,也是藝術。畢竟軍事裡面有句話叫“出其不意攻其不備”,這句話放在這裡同樣適用,網路安全不是比力氣,想要取得最大的攻擊效果,就要找到防守者意想不到的地方。
這種既有技術又有藝術的領域,層次不夠講不清楚,層次夠了又基本都是大牛,容易嫌麻煩。不過,最近華章出了一本很難得的書叫《紅藍攻防》,裡面系統地介紹了這部分內容,包括藍方怎麼攻,紅方怎麼守,以及紫方怎麼組織,還有實戰案例,想要深入瞭解這部分內容的同學,不妨讀讀這本書。
關於作者:莫凡,網名木羊同學。娛樂向機器學習解說選手,《機器學習演算法的數學解析與Python實現》作者,前沿技術發展觀潮者,擅長高冷技術的“白菜化”解說,微信公眾號“睡前機器學習”,個人知乎號“木羊”。
延伸閱讀👇
點選上圖瞭解及購買
關鍵詞
駭客
網路安全
技術
企業
資料