Question

企业内网部署了各种安全控制措施形成的纵深防御体系，仍然有被突破的可能。除了黑盒检测加白盒检测的方法之外，红蓝对抗也是一种经常采用的实战化安全检测手段。红蓝对抗一方面可发现内部更多安全问题，另一方面可检测现有安全防御手段是否有效，运营体系是否跟得上。红蓝对抗有两种玩法，一种是企业内部自己玩，即一组人负责攻，一组人负责防；还有一种玩法是请外部的机构来进行渗透，内部安全团队负责防守。

相比请外部专业机构来进行渗透，内部团队存在的优势包括两个方面：一是更了解企业现有安全防御措施以及可能存在的问题；二是掌握有更多内部资源包括企业组织机构、内部网络结构、内部应用系统等等。

本节内容更偏重于内部红蓝对抗的活动，蓝队表示攻击方，红队表示防守方。

1.人员基本素质

蓝队通常由渗透测试人员组成，需要具备一些基本素质，和一些企业招渗透测试人员的能力和素质要求基本类似，具体总结如下：

1）熟悉渗透测试的基本流程和基本原则，并在实际工作中严格遵守，这一点很重要。

2）熟悉常见的漏洞原理及其攻击技术，包括但不限于操作系统、Web 应用、数据库等领域。

3）熟悉编程语言，有编码能力，包括但不限于 C/C++/Java/PHP/Shell/Perl/Python 等。

4）对安全有浓厚的兴趣，了解安全的前沿问题和技术（这里一般有个隐性条件，英语阅读能力好会有优势）。

5）具备良好的团队协作意识和沟通能力，在大型企业里对这点要求还是有必要的。

红队负责防守，一般会包括安全系统建设、安全运营人员。由于纵深防御体系涉及的系统较多，还需要有人来做一些各系统协调相关的工作。红队的防守水平，除了依赖成员本身所积累的经验和技术水平外，更多还取决于企业安全建设能力特别是安全运营能力。

2.蓝队进攻基本流程

蓝队进攻基本流程跟渗透测试有很大类似之处，主要分为以下几步：明确目标、信息收集、漏洞探测（挖掘）、漏洞验证（利用）、提升权限、消除痕迹、事后消息分析、编写渗透测试报告。

1）明确目标。先观察和理解给定的目标网络环境或资产的范围；再确定规则，要渗透什么、怎么去渗透，渗透需要达到一个什么样的效果，有没有渗透测试时间限定等。

2）信息收集。信息收集阶段主要是收集一些基础信息，系统信息，应用信息，版本信息，服务信息，人员信息以及相关防护信息。信息收集大多是工具加手工进行收集信息，工具如 Nmap，相关终端命令，浏览器插件，在线工具等。

3）漏洞探测（挖掘）。主要是探测（挖掘）系统漏洞，Web 服务器漏洞，Web 应用漏洞以及其他端口服务漏洞，如 Telnet，SSH，VNC，远程桌面连接服务（3389）等，以及由于一些不安全配置带来的风险，如弱口令、未授权访问等。

4）漏洞验证（利用）。漏洞验证主要是利用探测到的漏洞进行攻击，方法主要有自动化验证（msf），手工验证，业务漏洞验证，公开资源的验证等。总的来说就是工具加手工，为了方便，可以将自己渗透常使用的工具进行封装为工具包。

5）提升权限。提升权限主要是在当前用户权限不是管理员的时候需要进行提升权限，提升权限可以是提升系统权限，Web 应用权限或是数据库权限等。提升权限也是为了方便进行进一步的渗透，如内网渗透，确定攻击者能入侵到什么程度与深度等，从而进行对脆弱性以及对应的风险进行分析。

6）清除痕迹。主要是清除渗透过程中操作的一些痕迹，如添加的测试账号，上传的测试文件等。这一步一般建议不做，除非出于对防守方保密的需要才会做。

7）事后信息分析。主要是对整个渗透过程进行信息分析与整理，分析脆弱环节，技术防护情况以及管理方面的情况进行一个现状分析以及提出相关建议。

8）编写渗透测试报告。根据渗透测试具体情况编写渗透测试报告，渗透测试报告必须简洁明了，说清楚渗透清单（范围），攻击路径，渗透成果，以及详细的漏洞详情（相关描述、漏洞危害等）及可行的修复建议，最后对整改渗透情况进行简单的总结和分析，说清楚目前资产的状况是什么样的，应该从哪些方面进行加强和提升。

3.蓝队进攻基本原则

进攻的基本原则如下：

·稳定性原则 是指在能够确保信息系统持续稳定运行的前提下进行进攻。通过合理选择测试工具、测试方法和测试时间，将蓝队进攻对系统正常运行的影响降到最小。

·可控性原则 是指在客户授权许可的范围内进行进攻，并通知客户提前做好系统备份，同时对进攻过程进行监控，记录进攻过程，确保一旦发生异常能够及时发现并恢复。

·保密性原则 是指参与进攻的蓝队工作人员应该对测试过程中收集到的信息以及对信息的分析结果严格保密，严格限制信息的传播范围。未经授权，不得泄露给工作以外的组织或个人。

4.心得体会

红蓝对抗设置两个衡量指标：攻防对抗成功率、攻防对抗检出率。对抗成功率指红队在规定时间内检测发现蓝队的比例，如 10 次攻防对抗，成功发现 9 次，攻防对抗成功率 90%。对抗检出率指每次攻防对抗中，在所有应该能检测发现蓝队攻击路径上的安全感知器成功检出的比例，比如 10 个应该告警且被红队运营成功识别的告警，最后成功识别是蓝队攻击的告警数量是 6 个，那么单次检出率为 60%。相比攻防对抗成功率，攻防对抗检出率更能说明红队防守质量，更值得投入去提升该指标。

笔者所在团队有一位非常优秀的渗透测试人员，内网各种系统基本上都被他成功突破过（既有 B/S 也有 C/S，既有内部开发的也有外购的商业系统），如入无人之境，可以说是蓝队中的佼佼者。其渗透测试报告会直接发给大 BOSS，大 BOSS 规定在收到其渗透测试报告 24 小时内，防守方（红队）必须提交报告并且事件出现在 SOC 风险展示平台才算成功发现。渗透目标不定，渗透时间不定，同时渗透人员长久以来积累了无数的资源包括各种弱密码、内部系统资料文件等，可想而知，红队压力会有多大，有时甚至根本不清楚它会攻击什么目标，更别说知道他什么时候提交了报告。在红队经历了屡战屡败后，内网的安全防御体系和常态化运营机制逐步建立，更加上对其过往的渗透测试报告进行复盘分析并在现有防御体系中加以优化，终于能成功发现几次，也不能保证每次都能成功发现（注意有事件不代表成功发现，还要运营好）。因为从发现安全事件到提交报告只有 24 小时，一些安全事件需要深入调查取证分析才能形成有说服力的报告。印象最深的是某个周末下着大雨，我来到被渗透的某机构现场，从一个线索到最后的结论报告提交，等我出来的时候已经是深夜。其中艰辛可想而知，也从侧面说明攻防对抗严重不对称。建议有条件的企业，红蓝对抗可以将目标朝提升整体安全防护能力方向引导。