红蓝军护网行动对抗的一些经验之谈




      蓝军的价值在于站在进攻方的立场,从实战角度帮助防守方发现问题,避免安全建设中以自

我为中心的纸上谈兵。蓝军的实战技巧很重要。本文是腾讯蓝军团队两名成员经常参加各种红蓝

对抗事件的经历。欢迎和大家探讨。近年来,各种大规模的红蓝对抗事件方兴未艾,更加注重实

战。红队和蓝队的打法逐渐完善和成熟,不再是单方面的攻防,而是演变成了攻防对抗游戏和几

乎无限的对抗演习。与过去的网站渗透测试相比较,这类高强度的红蓝对抗显著不一样,乃至不

单单是是技巧,更是战术打法、心态和体力的考验。

 
可追溯性和反可追溯性。
 
 
 
追根溯源,使得攻防演练的交流成为可能,这是防守方的重要任务之一。攻击者不能肆无忌惮

地输出。首先要考虑的是隐藏自己,这样才能让练习更接近真正的进攻。这里讨论的可追溯性

不单单是是分析攻击技术和定位源IP,还需要与真实的参与者相关,所以攻击者使用匿名资源

是必要的:
 
 
VPN,匿名代理。
 
纯渗透环境,虚拟机。
 
匿名邮箱,手机号,VPS等。
 
纯移动设备,无线设备等。
 
实名资源变得不靠谱并不夸张。维权者可以通过各种渠道追踪攻击者,乃至使用“社工”等攻击手

段,包括但不限于博客、实名认证的社交账号、手机号码、服务器等。在攻防基础设施相对完

善的前提下,可追溯性和反可追溯性之间的许多 对抗会下移到关键点方面。比如,当攻击者通

过社交工具传输一个目标的可疑URL时,如果误点击通过系统默认浏览器打开,就有可能被JS

ONP社交账号或真实导出IP的蜜罐所捕获。当然,这也是对防御方可追溯性分析能力的考验,

从海量的攻击数据中提取有效的关键信息。目前,蜜罐等大量主动防御措施取得了良好的效果

。需要注意的是,蜜罐的安全措施要适当隔离,避免潜在的安全隐患。作为回应,攻击者必须

使用一个纯粹的、特殊的渗透环境进行攻击,完全脱离日常工作环境,定期恢复测试环境。识

别蜜罐后,可以馈入大量的脏数据,乃至伪造一个反向蜜罐,可以诱导防御方进入,误导可追

溯性,或者消耗防御方的能量。这也是防守方需要识别和解决的问题。在练习中,可追溯性和

反可追溯性的故事一直在继续。
 
 
 
 
预定的演习对抗和现实世界的攻击还是有一定区别的。防御方有足够的时间提前构筑防御工事

,比如收敛外网入口,关闭不重要的商业网站,限制关键系统的访问来源,降低安全设备的拦

截门槛,乃至降低用户体验来提高安全性。但由于演习前攻击者目标不明,战时临时收集信息

和扫描检测的效果势必打折扣,容易被拦截封杀,因此往往难以定位关键资产。这时候整个网

络数据和被动信息的收集会变得非常有价值,比如DNS历史解析记录、Whois历史信息、历史

开埠情况、网络流量信息等。这些数据可以帮助您。
分享: