摘要：在網(wǎng)絡安全“實戰(zhàn)化、常態(tài)化、體系化”的背景下，金融業(yè)在網(wǎng)絡安全建設中呈現(xiàn)出實戰(zhàn)與合規(guī)并重的趨勢，“紅藍對抗”可有效評估企業(yè)網(wǎng)絡安全防御體系有效性，已逐步在金融行業(yè)進行應用。本文介紹了網(wǎng)絡安全領域“紅藍對抗”定義，以及對抗中紅軍、藍軍、紫隊等角色的職責和對抗開展的流程，并從對抗場景構建、風險控制、引入ATT&CK框架、應急響應、復盤總結等方面介紹金融業(yè)進行“紅藍對抗”時的實踐經(jīng)驗，希望可以給金融同業(yè)開展“紅藍對抗”活動提供幫助。

關鍵詞：網(wǎng)絡安全、紅藍對抗、多維度對抗場景、實網(wǎng)演習、風險控制、ATT&CK、加密webshell、應急響應、復盤總結、閉環(huán)管理

近年來，實戰(zhàn)化的網(wǎng)絡安全攻防演習在國家有關部門的推動下逐漸呈現(xiàn)出常態(tài)化趨勢，“實戰(zhàn)是檢驗網(wǎng)絡安全防護能力的唯一標準”、“網(wǎng)絡安全說千遍不如打一遍”等實戰(zhàn)化理念已逐步在各個行業(yè)形成共識，金融業(yè)在網(wǎng)絡安全建設中也呈現(xiàn)出實戰(zhàn)與合規(guī)并重的趨勢。在此背景下，金融業(yè)開始加速推進網(wǎng)絡安全建設，大都初步形成了基于縱深防御和主動防御的網(wǎng)絡安全防御體系，但如何通過實戰(zhàn)化的手段評價企業(yè)網(wǎng)絡安全防御體系的防御水平，如何及時發(fā)現(xiàn)防御體系中的薄弱環(huán)節(jié)，“紅藍對抗”應運而生。

一、“紅藍對抗”的定義

參考軍事演習中的紅藍對抗，網(wǎng)絡安全領域的紅藍對抗是指攻守雙方在實際環(huán)境中進行網(wǎng)絡攻擊和防御的一種網(wǎng)絡安全攻防演練。通過持續(xù)的對抗、復盤、總結來不斷優(yōu)化防御體系的識別、加固、檢測、處置等各個環(huán)節(jié)，從而提升企業(yè)整體的網(wǎng)絡安全防護能力。

在對抗中，紅軍一般是指防守方，主要負責安全防護策略和措施，加固和整改風險，對抗中進行網(wǎng)絡安全監(jiān)測、預警、分析、驗證、處置、應急響應和溯源反制等工作。

藍軍一般是指攻擊方，通過全場景、多層次的攻擊模擬，來衡量企業(yè)防護體系在面對真實攻擊時的防御水平。藍軍常見的攻擊手段包括信息收集、社會工程、建立據(jù)點、橫向移動、權限提升等等。

除此以外，“紅藍對抗”還需要一個組織方，一般稱為紫隊，主要負責組織紅藍對抗的規(guī)劃、授權、決策、評分、復盤等工作。

“紅藍對抗”組織架構具體如圖一所示：

圖1  紅藍對抗組織架構圖

二、網(wǎng)絡安全“紅藍對抗”機制實踐

1、構建多維度對抗場景，實網(wǎng)開展“紅藍對抗”

在“紅藍對抗”演練中，實施模式一般包括靶場模式和實網(wǎng)攻防模式兩種。金融行業(yè)業(yè)務環(huán)境復雜、IT環(huán)境種類繁多，而且目前國有大銀行核心系統(tǒng)基本基于IBM ZOS環(huán)境，在行業(yè)中特有，靶場模式一方面難以全面模擬金融業(yè)實際生產(chǎn)環(huán)境，另一方面也無法發(fā)現(xiàn)企業(yè)內部真實問題等缺陷，一般來說，“紅藍對抗”演練在實網(wǎng)開展的效果更好。但與此同時，金融業(yè)對生產(chǎn)系統(tǒng)的穩(wěn)定運行有嚴格的監(jiān)管要求，為了防止“紅藍對抗”對生產(chǎn)系統(tǒng)造成影響，金融業(yè)“紅藍對抗”實網(wǎng)演練環(huán)境可以先從企業(yè)測試環(huán)境開始積累實踐經(jīng)驗，根據(jù)企業(yè)自身實際情況，逐步推廣至生產(chǎn)環(huán)境。金融行業(yè)一般都建立了比較完整的測試環(huán)境，測試環(huán)境一是與生產(chǎn)環(huán)境一致性較高，二是在實戰(zhàn)中容易成為攻擊突破口，屬于企業(yè)安全防御體系的薄弱環(huán)節(jié)，需要進行針對性的對抗演練，可以說，金融行業(yè)測試環(huán)境是“紅藍對抗”的“天然靶場”。在測試環(huán)境實網(wǎng)絡開展對抗的同時，還須對藍軍的攻擊行為進行嚴格的風險控制并建立應急處置措施，例如“不允許對業(yè)務系統(tǒng)進行破壞性的操作、不允許使用SYN FLOOD、CC等拒絕服務攻擊手段、禁止使用帶有后門的工具、重保期間停止對抗”等等，最大限度減少對系統(tǒng)的影響。

為了全面模擬出金融業(yè)面臨的各類網(wǎng)絡安全風險，提升演練效果，我們通過總結金融行業(yè)實戰(zhàn)對抗經(jīng)驗，構建出多維度、層次化的實戰(zhàn)攻防對抗場景，包括：

場景一：攻擊者通過互聯(lián)網(wǎng)漏洞、弱口令等手段進入DMZ區(qū)，實現(xiàn)外圍打點；

場景二：攻擊者通過前期發(fā)現(xiàn)的互聯(lián)網(wǎng)漏洞在DMZ區(qū)建立據(jù)點，搭建隧道，進行縱向突破；

場景三：攻擊者利用VPN、虛擬云桌面設備0day、社會工程等方式，直接進入企業(yè)內網(wǎng)，并進行橫向移動；

紅藍對抗攻防場景具體如圖二所示：

圖2  紅藍對抗攻防場景示意圖

通過多維度、立體化的攻防場景的對抗，全面模擬出金融業(yè)面臨的各類網(wǎng)絡安全風險，從而提升“紅藍對抗”演練效果。

2、借鑒ATT&CK技戰(zhàn)法，前沿技術重點突破

在“紅藍對抗”的實踐中，企業(yè)可以充分借鑒國際上主流的ATT&CK框架，開展更具針對性的對抗演練。ATT&CK框架在洛克希德-馬丁公司提出的KillChain模型的基礎上，構建了一套更細粒度、更為全面的攻防知識庫，涵蓋了國際上APT組織常使用的12種戰(zhàn)術和200多種技術，具體如圖三所示。

圖3  ATT&CK框架

對抗中，藍軍借鑒ATT&CK框架的攻擊技術，建立起更加系統(tǒng)化、規(guī)范化的攻擊場景，并沉淀出適合金融業(yè)實際的攻擊知識庫和武器庫。紅軍研究ATT&CK框架中的監(jiān)控建議和緩解措施，建立起覆蓋Windows、Linux、Hpunix、AIX、AD域等環(huán)境的網(wǎng)絡安全監(jiān)控指標體系。

除了借鑒ATT&CK，企業(yè)還可以通過總結參加國家組織的大型網(wǎng)絡安全攻防演習的經(jīng)驗，對于演習中前沿的攻防技術和武器進行專題研究和對抗，如加密Webshell“冰蝎”、Powershell內存馬、AD域滲透（攻擊手段涵蓋GPP、PTH、PHH、MS14-068、黃金票據(jù)、白銀票據(jù)等）、CobaltStrike攻防、后門免殺等等。藍軍在對抗中主動實施前沿攻擊技術和武器，一方面提升對抗攻擊強度和隱蔽性，另一方面提升藍軍整體作戰(zhàn)能力；紅軍在對抗中，分析上述前沿攻擊技術和武器的攻擊特征，跟進各類開源檢測項目，研究系統(tǒng)層、應用層、網(wǎng)絡層檢測方案，從而提升企業(yè)整體的安全防護能力。

以加密webshell“冰蝎”為例，加密webshell在國家級大型攻防演習中大放異彩，由于流量加密，給防守方帶來較大困擾。我們通過對“冰蝎”進行逆向分析、代碼審計，在流量層分析出產(chǎn)生隨機密鑰流量特征，在應用層測試開源項目OpenRASP的檢測效果，在主機層進行webshell掃描和審計日志分析，實踐中，對“冰蝎”已有較好的檢測效果。加密webshell“冰蝎”具體檢測思路如下圖所示：

圖4  加密webshell檢測思路

3、對抗戰(zhàn)果閉環(huán)管理，復盤總結舉一反三

“紅藍對抗”演練一般包括“規(guī)劃、準備、對抗、復盤”四個階段，對每一輪演練發(fā)現(xiàn)的問題，企業(yè)都必須進行全生命周期管理，形成安全閉環(huán)，才能最大限度提升演練的效果。演練各個階段包含的內容如下圖所示。

圖5  紅藍對抗演練階段

在演練的四個階段中，復盤是紅藍對抗的重點之一，每一輪“紅藍對抗”演練結束后，紫隊會對這一輪演練中紅軍、藍軍提交的戰(zhàn)果進行確認、評分、排名，并將藍軍滲透過程中的所有關鍵行為與紅軍檢測記錄到的數(shù)據(jù)進行對賬，思考如何提高入侵感知能力，提高應急響應效率，提高入侵攻擊成本，提高攻擊溯源能力等等。紫隊會根據(jù)本輪紅藍對抗中的對抗特點，動態(tài)調整評分機制，優(yōu)化實施方案，進而加大攻防對抗力度。

針對發(fā)現(xiàn)的安全防護體系中的薄弱環(huán)節(jié)，紅藍雙方共同提出解決方案，從而提升企業(yè)整體安全防護水平。同時，對于演練中發(fā)現(xiàn)的漏洞，需要納入企業(yè)現(xiàn)有漏洞修復流程進行處置跟進，并舉一反三，防止類似的問題重復發(fā)生。

三、“紅藍對抗”進一步展望

“紅藍對抗”是企業(yè)網(wǎng)絡安全防御能力的試金石，企業(yè)可通過開展常態(tài)化的內部“紅藍對抗”來不斷完善對抗機制，從而提升演練效果，做好內部紅藍軍隊伍建設。未來，企業(yè)可進一步引入外部藍軍的力量來加大攻防的強度；建立并完善入侵發(fā)現(xiàn)率、對抗場景覆蓋率、平均響應時間MTTR等指標來量化“紅藍對抗”的效果；通過演練強化安全事件研判分析、規(guī)范安全事件處置流程，對安全事件進行及時控制，形成快速處置和響應機制，從而進一步完善企業(yè)安全運營中心（SOC）的建設。

網(wǎng)絡安全的本質在對抗，在網(wǎng)絡安全“實戰(zhàn)化、常態(tài)化、體系化”背景下，“紅藍對抗”可以幫助金融業(yè)在網(wǎng)絡安全建設中實現(xiàn)“以攻擊促防御、以攻擊促整改、以實戰(zhàn)促建設”的目標，達到網(wǎng)絡安全“紅軍”、“藍軍”相互促進，循環(huán)提升的效果，從而不斷提升金融企業(yè)安全防護能力。