摘要：在網(wǎng)絡(luò)安全“實(shí)戰(zhàn)化、常態(tài)化、體系化”的背景下，金融業(yè)在網(wǎng)絡(luò)安全建設(shè)中呈現(xiàn)出實(shí)戰(zhàn)與合規(guī)并重的趨勢(shì)，“紅藍(lán)對(duì)抗”可有效評(píng)估企業(yè)網(wǎng)絡(luò)安全防御體系有效性，已逐步在金融行業(yè)進(jìn)行應(yīng)用。本文介紹了網(wǎng)絡(luò)安全領(lǐng)域“紅藍(lán)對(duì)抗”定義，以及對(duì)抗中紅軍、藍(lán)軍、紫隊(duì)等角色的職責(zé)和對(duì)抗開展的流程，并從對(duì)抗場(chǎng)景構(gòu)建、風(fēng)險(xiǎn)控制、引入ATT&CK框架、應(yīng)急響應(yīng)、復(fù)盤總結(jié)等方面介紹金融業(yè)進(jìn)行“紅藍(lán)對(duì)抗”時(shí)的實(shí)踐經(jīng)驗(yàn)，希望可以給金融同業(yè)開展“紅藍(lán)對(duì)抗”活動(dòng)提供幫助。

關(guān)鍵詞：網(wǎng)絡(luò)安全、紅藍(lán)對(duì)抗、多維度對(duì)抗場(chǎng)景、實(shí)網(wǎng)演習(xí)、風(fēng)險(xiǎn)控制、ATT&CK、加密webshell、應(yīng)急響應(yīng)、復(fù)盤總結(jié)、閉環(huán)管理

近年來，實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全攻防演習(xí)在國(guó)家有關(guān)部門的推動(dòng)下逐漸呈現(xiàn)出常態(tài)化趨勢(shì)，“實(shí)戰(zhàn)是檢驗(yàn)網(wǎng)絡(luò)安全防護(hù)能力的唯一標(biāo)準(zhǔn)”、“網(wǎng)絡(luò)安全說千遍不如打一遍”等實(shí)戰(zhàn)化理念已逐步在各個(gè)行業(yè)形成共識(shí)，金融業(yè)在網(wǎng)絡(luò)安全建設(shè)中也呈現(xiàn)出實(shí)戰(zhàn)與合規(guī)并重的趨勢(shì)。在此背景下，金融業(yè)開始加速推進(jìn)網(wǎng)絡(luò)安全建設(shè)，大都初步形成了基于縱深防御和主動(dòng)防御的網(wǎng)絡(luò)安全防御體系，但如何通過實(shí)戰(zhàn)化的手段評(píng)價(jià)企業(yè)網(wǎng)絡(luò)安全防御體系的防御水平，如何及時(shí)發(fā)現(xiàn)防御體系中的薄弱環(huán)節(jié)，“紅藍(lán)對(duì)抗”應(yīng)運(yùn)而生。

一、“紅藍(lán)對(duì)抗”的定義

參考軍事演習(xí)中的紅藍(lán)對(duì)抗，網(wǎng)絡(luò)安全領(lǐng)域的紅藍(lán)對(duì)抗是指攻守雙方在實(shí)際環(huán)境中進(jìn)行網(wǎng)絡(luò)攻擊和防御的一種網(wǎng)絡(luò)安全攻防演練。通過持續(xù)的對(duì)抗、復(fù)盤、總結(jié)來不斷優(yōu)化防御體系的識(shí)別、加固、檢測(cè)、處置等各個(gè)環(huán)節(jié)，從而提升企業(yè)整體的網(wǎng)絡(luò)安全防護(hù)能力。

在對(duì)抗中，紅軍一般是指防守方，主要負(fù)責(zé)安全防護(hù)策略和措施，加固和整改風(fēng)險(xiǎn)，對(duì)抗中進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警、分析、驗(yàn)證、處置、應(yīng)急響應(yīng)和溯源反制等工作。

藍(lán)軍一般是指攻擊方，通過全場(chǎng)景、多層次的攻擊模擬，來衡量企業(yè)防護(hù)體系在面對(duì)真實(shí)攻擊時(shí)的防御水平。藍(lán)軍常見的攻擊手段包括信息收集、社會(huì)工程、建立據(jù)點(diǎn)、橫向移動(dòng)、權(quán)限提升等等。

除此以外，“紅藍(lán)對(duì)抗”還需要一個(gè)組織方，一般稱為紫隊(duì)，主要負(fù)責(zé)組織紅藍(lán)對(duì)抗的規(guī)劃、授權(quán)、決策、評(píng)分、復(fù)盤等工作。

“紅藍(lán)對(duì)抗”組織架構(gòu)具體如圖一所示：

圖1  紅藍(lán)對(duì)抗組織架構(gòu)圖

二、網(wǎng)絡(luò)安全“紅藍(lán)對(duì)抗”機(jī)制實(shí)踐

1、構(gòu)建多維度對(duì)抗場(chǎng)景，實(shí)網(wǎng)開展“紅藍(lán)對(duì)抗”

在“紅藍(lán)對(duì)抗”演練中，實(shí)施模式一般包括靶場(chǎng)模式和實(shí)網(wǎng)攻防模式兩種。金融行業(yè)業(yè)務(wù)環(huán)境復(fù)雜、IT環(huán)境種類繁多，而且目前國(guó)有大銀行核心系統(tǒng)基本基于IBM ZOS環(huán)境，在行業(yè)中特有，靶場(chǎng)模式一方面難以全面模擬金融業(yè)實(shí)際生產(chǎn)環(huán)境，另一方面也無法發(fā)現(xiàn)企業(yè)內(nèi)部真實(shí)問題等缺陷，一般來說，“紅藍(lán)對(duì)抗”演練在實(shí)網(wǎng)開展的效果更好。但與此同時(shí)，金融業(yè)對(duì)生產(chǎn)系統(tǒng)的穩(wěn)定運(yùn)行有嚴(yán)格的監(jiān)管要求，為了防止“紅藍(lán)對(duì)抗”對(duì)生產(chǎn)系統(tǒng)造成影響，金融業(yè)“紅藍(lán)對(duì)抗”實(shí)網(wǎng)演練環(huán)境可以先從企業(yè)測(cè)試環(huán)境開始積累實(shí)踐經(jīng)驗(yàn)，根據(jù)企業(yè)自身實(shí)際情況，逐步推廣至生產(chǎn)環(huán)境。金融行業(yè)一般都建立了比較完整的測(cè)試環(huán)境，測(cè)試環(huán)境一是與生產(chǎn)環(huán)境一致性較高，二是在實(shí)戰(zhàn)中容易成為攻擊突破口，屬于企業(yè)安全防御體系的薄弱環(huán)節(jié)，需要進(jìn)行針對(duì)性的對(duì)抗演練，可以說，金融行業(yè)測(cè)試環(huán)境是“紅藍(lán)對(duì)抗”的“天然靶場(chǎng)”。在測(cè)試環(huán)境實(shí)網(wǎng)絡(luò)開展對(duì)抗的同時(shí)，還須對(duì)藍(lán)軍的攻擊行為進(jìn)行嚴(yán)格的風(fēng)險(xiǎn)控制并建立應(yīng)急處置措施，例如“不允許對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行破壞性的操作、不允許使用SYN FLOOD、CC等拒絕服務(wù)攻擊手段、禁止使用帶有后門的工具、重保期間停止對(duì)抗”等等，最大限度減少對(duì)系統(tǒng)的影響。

為了全面模擬出金融業(yè)面臨的各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提升演練效果，我們通過總結(jié)金融行業(yè)實(shí)戰(zhàn)對(duì)抗經(jīng)驗(yàn)，構(gòu)建出多維度、層次化的實(shí)戰(zhàn)攻防對(duì)抗場(chǎng)景，包括：

場(chǎng)景一：攻擊者通過互聯(lián)網(wǎng)漏洞、弱口令等手段進(jìn)入DMZ區(qū)，實(shí)現(xiàn)外圍打點(diǎn)；

場(chǎng)景二：攻擊者通過前期發(fā)現(xiàn)的互聯(lián)網(wǎng)漏洞在DMZ區(qū)建立據(jù)點(diǎn)，搭建隧道，進(jìn)行縱向突破；

場(chǎng)景三：攻擊者利用VPN、虛擬云桌面設(shè)備0day、社會(huì)工程等方式，直接進(jìn)入企業(yè)內(nèi)網(wǎng)，并進(jìn)行橫向移動(dòng)；

紅藍(lán)對(duì)抗攻防場(chǎng)景具體如圖二所示：

圖2  紅藍(lán)對(duì)抗攻防場(chǎng)景示意圖

通過多維度、立體化的攻防場(chǎng)景的對(duì)抗，全面模擬出金融業(yè)面臨的各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從而提升“紅藍(lán)對(duì)抗”演練效果。

2、借鑒ATT&CK技戰(zhàn)法，前沿技術(shù)重點(diǎn)突破

在“紅藍(lán)對(duì)抗”的實(shí)踐中，企業(yè)可以充分借鑒國(guó)際上主流的ATT&CK框架，開展更具針對(duì)性的對(duì)抗演練。ATT&CK框架在洛克希德-馬丁公司提出的KillChain模型的基礎(chǔ)上，構(gòu)建了一套更細(xì)粒度、更為全面的攻防知識(shí)庫(kù)，涵蓋了國(guó)際上APT組織常使用的12種戰(zhàn)術(shù)和200多種技術(shù)，具體如圖三所示。

圖3  ATT&CK框架

對(duì)抗中，藍(lán)軍借鑒ATT&CK框架的攻擊技術(shù)，建立起更加系統(tǒng)化、規(guī)范化的攻擊場(chǎng)景，并沉淀出適合金融業(yè)實(shí)際的攻擊知識(shí)庫(kù)和武器庫(kù)。紅軍研究ATT&CK框架中的監(jiān)控建議和緩解措施，建立起覆蓋Windows、Linux、Hpunix、AIX、AD域等環(huán)境的網(wǎng)絡(luò)安全監(jiān)控指標(biāo)體系。

除了借鑒ATT&CK，企業(yè)還可以通過總結(jié)參加國(guó)家組織的大型網(wǎng)絡(luò)安全攻防演習(xí)的經(jīng)驗(yàn)，對(duì)于演習(xí)中前沿的攻防技術(shù)和武器進(jìn)行專題研究和對(duì)抗，如加密Webshell“冰蝎”、Powershell內(nèi)存馬、AD域滲透（攻擊手段涵蓋GPP、PTH、PHH、MS14-068、黃金票據(jù)、白銀票據(jù)等）、CobaltStrike攻防、后門免殺等等。藍(lán)軍在對(duì)抗中主動(dòng)實(shí)施前沿攻擊技術(shù)和武器，一方面提升對(duì)抗攻擊強(qiáng)度和隱蔽性，另一方面提升藍(lán)軍整體作戰(zhàn)能力；紅軍在對(duì)抗中，分析上述前沿攻擊技術(shù)和武器的攻擊特征，跟進(jìn)各類開源檢測(cè)項(xiàng)目，研究系統(tǒng)層、應(yīng)用層、網(wǎng)絡(luò)層檢測(cè)方案，從而提升企業(yè)整體的安全防護(hù)能力。

以加密webshell“冰蝎”為例，加密webshell在國(guó)家級(jí)大型攻防演習(xí)中大放異彩，由于流量加密，給防守方帶來較大困擾。我們通過對(duì)“冰蝎”進(jìn)行逆向分析、代碼審計(jì)，在流量層分析出產(chǎn)生隨機(jī)密鑰流量特征，在應(yīng)用層測(cè)試開源項(xiàng)目OpenRASP的檢測(cè)效果，在主機(jī)層進(jìn)行webshell掃描和審計(jì)日志分析，實(shí)踐中，對(duì)“冰蝎”已有較好的檢測(cè)效果。加密webshell“冰蝎”具體檢測(cè)思路如下圖所示：

圖4  加密webshell檢測(cè)思路

3、對(duì)抗戰(zhàn)果閉環(huán)管理，復(fù)盤總結(jié)舉一反三

“紅藍(lán)對(duì)抗”演練一般包括“規(guī)劃、準(zhǔn)備、對(duì)抗、復(fù)盤”四個(gè)階段，對(duì)每一輪演練發(fā)現(xiàn)的問題，企業(yè)都必須進(jìn)行全生命周期管理，形成安全閉環(huán)，才能最大限度提升演練的效果。演練各個(gè)階段包含的內(nèi)容如下圖所示。

圖5  紅藍(lán)對(duì)抗演練階段

在演練的四個(gè)階段中，復(fù)盤是紅藍(lán)對(duì)抗的重點(diǎn)之一，每一輪“紅藍(lán)對(duì)抗”演練結(jié)束后，紫隊(duì)會(huì)對(duì)這一輪演練中紅軍、藍(lán)軍提交的戰(zhàn)果進(jìn)行確認(rèn)、評(píng)分、排名，并將藍(lán)軍滲透過程中的所有關(guān)鍵行為與紅軍檢測(cè)記錄到的數(shù)據(jù)進(jìn)行對(duì)賬，思考如何提高入侵感知能力，提高應(yīng)急響應(yīng)效率，提高入侵攻擊成本，提高攻擊溯源能力等等。紫隊(duì)會(huì)根據(jù)本輪紅藍(lán)對(duì)抗中的對(duì)抗特點(diǎn)，動(dòng)態(tài)調(diào)整評(píng)分機(jī)制，優(yōu)化實(shí)施方案，進(jìn)而加大攻防對(duì)抗力度。

針對(duì)發(fā)現(xiàn)的安全防護(hù)體系中的薄弱環(huán)節(jié)，紅藍(lán)雙方共同提出解決方案，從而提升企業(yè)整體安全防護(hù)水平。同時(shí)，對(duì)于演練中發(fā)現(xiàn)的漏洞，需要納入企業(yè)現(xiàn)有漏洞修復(fù)流程進(jìn)行處置跟進(jìn)，并舉一反三，防止類似的問題重復(fù)發(fā)生。

三、“紅藍(lán)對(duì)抗”進(jìn)一步展望

“紅藍(lán)對(duì)抗”是企業(yè)網(wǎng)絡(luò)安全防御能力的試金石，企業(yè)可通過開展常態(tài)化的內(nèi)部“紅藍(lán)對(duì)抗”來不斷完善對(duì)抗機(jī)制，從而提升演練效果，做好內(nèi)部紅藍(lán)軍隊(duì)伍建設(shè)。未來，企業(yè)可進(jìn)一步引入外部藍(lán)軍的力量來加大攻防的強(qiáng)度；建立并完善入侵發(fā)現(xiàn)率、對(duì)抗場(chǎng)景覆蓋率、平均響應(yīng)時(shí)間MTTR等指標(biāo)來量化“紅藍(lán)對(duì)抗”的效果；通過演練強(qiáng)化安全事件研判分析、規(guī)范安全事件處置流程，對(duì)安全事件進(jìn)行及時(shí)控制，形成快速處置和響應(yīng)機(jī)制，從而進(jìn)一步完善企業(yè)安全運(yùn)營(yíng)中心（SOC）的建設(shè)。

網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，在網(wǎng)絡(luò)安全“實(shí)戰(zhàn)化、常態(tài)化、體系化”背景下，“紅藍(lán)對(duì)抗”可以幫助金融業(yè)在網(wǎng)絡(luò)安全建設(shè)中實(shí)現(xiàn)“以攻擊促防御、以攻擊促整改、以實(shí)戰(zhàn)促建設(shè)”的目標(biāo)，達(dá)到網(wǎng)絡(luò)安全“紅軍”、“藍(lán)軍”相互促進(jìn)，循環(huán)提升的效果，從而不斷提升金融企業(yè)安全防護(hù)能力。