渗透测试不够用？红蓝对抗如何精准击穿企业安全体系的深层弱点

什么是红蓝对抗在军事领域演习是专指军队进行大规模的实兵演习演习中通常分为红军、蓝军演习多以红军守、蓝军进攻为主。类似于军事领域的红蓝军对抗。网络安全中红蓝军对抗则是一方扮演黑客蓝军一方扮演防御者红军。在国外的话进行渗透攻击的团队经常称做红队在国内称为蓝队实际上应该是比较准确的叫法。红蓝对抗的目的安全是一个整体正如木桶定律最短的木板是评估木桶品质的标准安全最薄弱环节也是决定系统好坏的关键。而网络红蓝军对抗的目的就是用来评估企业安全性有助于找出企业安全中最脆弱的环节提升企业安全能力的建设。红蓝对抗关注点其实红蓝对抗点没有统一的标准因为很多会涉及到业务以及内网攻击的场景所以个人认为红蓝团队比较适合甲方团队自己组建这样信息资源比较可控做的也会更细致。例如曾经在中小型互联网公司做的红蓝对抗点外网web安全办公网安全IDC主机安全DB专项这边web安全的关注点会不同于渗透测试的团队例如红蓝团队就会关注一些敏感文件泄漏、管理后台暴露、waf有效性、waf防御效果、违规使用的框架等。再例如办公网安全红蓝团队还会关注安全助手的一些问题也就是说红蓝团队关注的不仅是应用服务的漏洞各个安全组件的效果、漏洞都会关注到。上面都是按照一个个大项来进行其实还有的红蓝团队是按项目来分比如说xx支付业务红蓝对抗给你域名或者ip让你自由发挥不限方法拿到目标flag例如xx支付的数据或者机器权限等这个过程不要求测的全以结果为导向。然后红队防御方尽可能复盘补漏把不完善的地方都补齐。后面可以继续进行对抗演练继续找出薄弱点这边很考验红队的技术和业务的了解程度能从蓝队的攻击链路中找出尽可能多的脆弱点做出防御策略。所以我觉得红蓝对抗还是得根据公司的规模、安全人员的比例、技术人员的素养做制定都按同一套标准是不会适用所有公司的。我的建议就是中小规模公司的红蓝对抗点尽可能覆盖全尽可能找出全量的脆弱点让红队的人员进行修复后进行新一轮对抗。而大公司就可以不用考虑面面俱到以夺取目标结果为导向脆弱点由红队自己发现红队自己修复而后周期的进行红蓝对抗。可以看出大公司的红蓝对抗更类似于APT攻击这也正是大公司蓝队喜欢招APT人员的关系。红蓝对抗测试的方法如果是中小型的互联网企业的话我的方法是先预先讨论好并记录下脑图然后按专项测试每个专项包含很多点按点排期测试报告撰写漏洞闭环例行扫描持续跟进复盘测试因为中小型企业个人认为还是以全为主尽可能把漏洞修复完。大型公司可以大量的人力投入业务也繁多还是以结果导向漏洞的薄弱点由红队确认所以方法就没有统一的标准。红蓝对抗注意事项测试前提前报备有可能会影响到业务的操作时候务必提前沟通漏洞的确认按照公司的规范制度制定漏洞和业务沟通确认后再发工单修复漏洞闭环这边需要注意的是测试需要提前报备免得事后被业务捅更要注意的是测试千万不要影响到业务。 还有经常有点大家会忽略的是一定要进行漏洞闭环发现漏洞而不去解决漏洞等于无效漏洞。红蓝对抗所需技术红蓝对抗不同于渗透测试红蓝对抗测试的范围很广泛不仅需要渗透技术还需要逆向、脚本编程、各种绕过黑魔法等。所以红蓝对抗不仅需要渗透测试的人才也需要逆向的工程师甚至是区块链安全工程师、数据安全方向的工程师等所以说其实在大公司更容易开展红蓝对抗因为大公司人才更加齐全。红蓝对抗也需要团队的协作一个人是比较难完成的更好的方式不同的团队进行红蓝对抗每个团队攻击的方法思路也不尽相同更能模拟真实的场景攻击对于红队查缺补漏也更有帮助。如下是用到的一小部分工具PythonIDAJEBMasscanNmapMetasploit搜集的各类样本总结红蓝对抗一定要区别于渗透测试渗透测试这是每个公司的标配。红蓝对抗的价值在于挖掘渗透测试不关注的漏洞或者渗透测试无法覆盖的点并且持续的对抗不断帮助业务提升安全能力完善自己的安全防御。根据自己做的红蓝对抗经验来说我们发现办公安全助手的漏洞、waf的部署缺和绕过缺陷以及HIDS一些缺陷等。其实这些东西渗透测试很少会去涉及和考虑而红蓝对抗的作用就显现这些风险的发现对于自身的安全防御是有很大的帮助的因为你挖漏洞只是修修补补而做这些红蓝对抗发现的问题则是解决一类的问题。对于这种方式的对抗老大也认可自己也有很有满足感所以对于红蓝对抗其实是很适合互联网安全团队去尝试组建的。附上红蓝对抗脑图网络安全学习路线对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供学习资源如果你也是零基础想转行网络安全却苦于没系统学习路径、不懂核心攻防技能光靠盲目摸索不仅浪费时间还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造01内容涵盖这份资料专门为零基础转行设计19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进攻防结合的讲解方式让新手轻松上手真实实战案例 落地脚本直接对标企业岗位需求帮你快速搭建转行核心技能体系这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击02 知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。03 谁需要掌握本知识库负责企业整体安全策略与建设的CISO/安全总监从事渗透测试、红队行动的安全研究员/渗透测试工程师负责安全监控、威胁分析、应急响应的蓝队工程师/SOC分析师设计开发安全产品、自动化工具的安全开发工程师对网络攻防技术有浓厚兴趣的高校信息安全专业师生04部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 ***安全链接放心点击**本文转自网络如有侵权请联系删除。