蓝军的价值在于站在进攻方的立场,从实战角度帮助防守方发现问题,避免安全建设中以自
我为中心的纸上谈兵。蓝军的实战技巧很重要。本文是腾讯蓝军团队两名成员经常参加各种红蓝
对抗事件的经历。欢迎和大家探讨。近年来,各种大规模的红蓝对抗事件方兴未艾,更加注重实
战。红队和蓝队的打法逐渐完善和成熟,不再是单方面的攻防,而是演变成了攻防对抗游戏和几
乎无限的对抗演习。与过去的网站渗透测试相比较,这类高强度的红蓝对抗显著不一样,乃至不
单单是是技巧,更是战术打法、心态和体力的考验。
可追溯性和反可追溯性。
追根溯源,使得攻防演练的交流成为可能,这是防守方的重要任务之一。攻击者不能肆无忌惮
地输出。首先要考虑的是隐藏自己,这样才能让练习更接近真正的进攻。这里讨论的可追溯性
不单单是是分析攻击技术和定位源IP,还需要与真实的参与者相关,所以攻击者使用匿名资源
是必要的:
地输出。首先要考虑的是隐藏自己,这样才能让练习更接近真正的进攻。这里讨论的可追溯性
不单单是是分析攻击技术和定位源IP,还需要与真实的参与者相关,所以攻击者使用匿名资源
是必要的:
VPN,匿名代理。
纯渗透环境,虚拟机。
匿名邮箱,手机号,VPS等。
纯移动设备,无线设备等。
实名资源变得不靠谱并不夸张。维权者可以通过各种渠道追踪攻击者,乃至使用“社工”等攻击手
段,包括但不限于博客、实名认证的社交账号、手机号码、服务器等。在攻防基础设施相对完
善的前提下,可追溯性和反可追溯性之间的许多 对抗会下移到关键点方面。比如,当攻击者通
过社交工具传输一个目标的可疑URL时,如果误点击通过系统默认浏览器打开,就有可能被JS
ONP社交账号或真实导出IP的蜜罐所捕获。当然,这也是对防御方可追溯性分析能力的考验,
从海量的攻击数据中提取有效的关键信息。目前,蜜罐等大量主动防御措施取得了良好的效果
。需要注意的是,蜜罐的安全措施要适当隔离,避免潜在的安全隐患。作为回应,攻击者必须
使用一个纯粹的、特殊的渗透环境进行攻击,完全脱离日常工作环境,定期恢复测试环境。识
别蜜罐后,可以馈入大量的脏数据,乃至伪造一个反向蜜罐,可以诱导防御方进入,误导可追
溯性,或者消耗防御方的能量。这也是防守方需要识别和解决的问题。在练习中,可追溯性和
反可追溯性的故事一直在继续。
段,包括但不限于博客、实名认证的社交账号、手机号码、服务器等。在攻防基础设施相对完
善的前提下,可追溯性和反可追溯性之间的许多 对抗会下移到关键点方面。比如,当攻击者通
过社交工具传输一个目标的可疑URL时,如果误点击通过系统默认浏览器打开,就有可能被JS
ONP社交账号或真实导出IP的蜜罐所捕获。当然,这也是对防御方可追溯性分析能力的考验,
从海量的攻击数据中提取有效的关键信息。目前,蜜罐等大量主动防御措施取得了良好的效果
。需要注意的是,蜜罐的安全措施要适当隔离,避免潜在的安全隐患。作为回应,攻击者必须
使用一个纯粹的、特殊的渗透环境进行攻击,完全脱离日常工作环境,定期恢复测试环境。识
别蜜罐后,可以馈入大量的脏数据,乃至伪造一个反向蜜罐,可以诱导防御方进入,误导可追
溯性,或者消耗防御方的能量。这也是防守方需要识别和解决的问题。在练习中,可追溯性和
反可追溯性的故事一直在继续。
预定的演习对抗和现实世界的攻击还是有一定区别的。防御方有足够的时间提前构筑防御工事
,比如收敛外网入口,关闭不重要的商业网站,限制关键系统的访问来源,降低安全设备的拦
截门槛,乃至降低用户体验来提高安全性。但由于演习前攻击者目标不明,战时临时收集信息
和扫描检测的效果势必打折扣,容易被拦截封杀,因此往往难以定位关键资产。这时候整个网
络数据和被动信息的收集会变得非常有价值,比如DNS历史解析记录、Whois历史信息、历史
开埠情况、网络流量信息等。这些数据可以帮助您。
,比如收敛外网入口,关闭不重要的商业网站,限制关键系统的访问来源,降低安全设备的拦
截门槛,乃至降低用户体验来提高安全性。但由于演习前攻击者目标不明,战时临时收集信息
和扫描检测的效果势必打折扣,容易被拦截封杀,因此往往难以定位关键资产。这时候整个网
络数据和被动信息的收集会变得非常有价值,比如DNS历史解析记录、Whois历史信息、历史
开埠情况、网络流量信息等。这些数据可以帮助您。
