邊界無(wú)限陳佩文:紅藍(lán)對(duì)抗安全演練常態(tài)化的各方分析

  • 人閱讀
  • 2024-07-04 15:45:31

  • 來(lái)源:天極網(wǎng)

  • 相關(guān)關(guān)鍵詞

雖然常態(tài)化演練尚未正式開(kāi)始,但我們?nèi)匀幌M麑?duì)各方的表現(xiàn)進(jìn)行一些分析和預(yù)測(cè),以輔助我們對(duì)市場(chǎng)的判斷和決策。同時(shí),也希望通過(guò)這些初步的見(jiàn)解,拋磚引玉,引發(fā)更多有價(jià)值的討論和觀點(diǎn)。

“船停在碼頭是最安全的,但那不是造船的目的。”

讓我們做一個(gè)極端假設(shè),如果攻防演練只有一天,那么我相信可能90%以上的參演單位會(huì)采取應(yīng)關(guān)盡關(guān)的策略,非核心業(yè)務(wù)一律關(guān)停,以最大限度地避免風(fēng)險(xiǎn)。但是,如果演練時(shí)間是一個(gè)月或兩個(gè)月,又會(huì)如何呢?變量?jī)H僅是時(shí)間,但時(shí)間意味著一切。長(zhǎng)時(shí)間的演練不僅要求更高效的資源管理和防御策略,還需要持續(xù)的監(jiān)控和應(yīng)對(duì),面對(duì)更多不可預(yù)見(jiàn)的挑戰(zhàn)。

當(dāng)我們討論0Day時(shí),我們?cè)谟懻撌裁?

從2019年開(kāi)始,紅隊(duì)逐漸囤積各種邊界網(wǎng)絡(luò)設(shè)備的0Day漏洞,目的是在2-3周的短期演練中能夠快速實(shí)現(xiàn)網(wǎng)絡(luò)隔離的突破。近幾年,這一策略擴(kuò)展到了Web應(yīng)用和供應(yīng)鏈系統(tǒng)的攻擊,目標(biāo)同樣是盡可能快地實(shí)現(xiàn)網(wǎng)絡(luò)隔離。北京邊界無(wú)限科技有限公司(邊界無(wú)限,BoundaryX)創(chuàng)始人、CEO陳佩文表示,0Day漏洞的本質(zhì)在于利用過(guò)去積累的時(shí)間,在短期內(nèi)換取快速突破網(wǎng)絡(luò)邊界的效果。假設(shè)演練時(shí)間延長(zhǎng)到兩個(gè)月,我們會(huì)發(fā)現(xiàn)上述的前提依然成立,提前準(zhǔn)備仍然是關(guān)鍵,使用0Day漏洞在短時(shí)間內(nèi)獲取攻擊入口的邏輯也不會(huì)改變。然而,時(shí)間的延長(zhǎng)使得紅隊(duì)在演練過(guò)程中能夠邊打邊挖,邊挖邊打,充分利用更長(zhǎng)的時(shí)間窗口進(jìn)行深入滲透和漏洞挖掘。

這些僅僅是一種大面的判斷,讓我們深入攻防雙方再來(lái)看看。

紅隊(duì)的視角

對(duì)于紅隊(duì)來(lái)說(shuō),常態(tài)化演練時(shí)間的延長(zhǎng)既是機(jī)遇也是挑戰(zhàn)。一方面,時(shí)間的延長(zhǎng)為紅隊(duì)帶來(lái)了更多實(shí)施復(fù)雜和隱蔽攻擊策略的機(jī)會(huì)。例如,廣義及狹義的供應(yīng)鏈攻擊在長(zhǎng)期演練中變得可操作化,紅隊(duì)可以通過(guò)對(duì)供應(yīng)商系統(tǒng)實(shí)施水坑攻擊、植入后門等手段,借助供應(yīng)鏈系統(tǒng)的漏洞或污染供應(yīng)鏈代碼來(lái)間接滲透目標(biāo)。

陳佩文表示,紅隊(duì)的攻擊面也在擴(kuò)大。隨著時(shí)間的推移,邊緣資產(chǎn)無(wú)法長(zhǎng)期關(guān)閉,這意味著目標(biāo)資產(chǎn)更多,紅隊(duì)的攻擊面更廣,防守單位的戰(zhàn)線也被拉得更長(zhǎng)。長(zhǎng)時(shí)間的演練還使得紅隊(duì)的單點(diǎn)壓強(qiáng)降低,紅隊(duì)的火力并不會(huì)每天都很兇猛。因此,錯(cuò)峰攻防成為可能,使防守方更難以防御。在足夠長(zhǎng)的時(shí)間下,一些在兩周內(nèi)不容易實(shí)施的攻擊手段,如高級(jí)持續(xù)性攻擊(APT)和多階段攻擊,也有了施展的空間。甚至一些在短期內(nèi)無(wú)法預(yù)期的神奇的戰(zhàn)法,可能在兩個(gè)月內(nèi)冒出來(lái)。

安全防御需要運(yùn)營(yíng),但安全的攻擊也需要運(yùn)營(yíng)。拉長(zhǎng)到兩個(gè)月甚至更長(zhǎng)時(shí)間來(lái)看,APT的邏輯便是攻擊運(yùn)營(yíng)的思路之一。攻擊長(zhǎng)期運(yùn)營(yíng)起來(lái)后,甚至?xí)确烙吒私獗还魡挝?,這也是“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗,對(duì)抗的本質(zhì)在攻防兩端能力較量”的體現(xiàn)之一。

總結(jié)來(lái)說(shuō),時(shí)間的延長(zhǎng)對(duì)紅隊(duì)來(lái)說(shuō)既是壓力也是挑戰(zhàn)。在防守方的單點(diǎn)防御壓強(qiáng)減少的情況下,局部不對(duì)稱的攻防現(xiàn)象可能會(huì)增加,邊緣資產(chǎn)的淪陷甚至網(wǎng)絡(luò)隔離的突破也變得更為可能。

藍(lán)隊(duì)的視角

對(duì)于防守方,常態(tài)化演練時(shí)間的延長(zhǎng)同樣帶來(lái)了巨大的挑戰(zhàn)。首先,長(zhǎng)時(shí)間的演練對(duì)防守方的人力和技術(shù)資源提出了更高要求。團(tuán)隊(duì)成員需要輪班工作,以保持長(zhǎng)時(shí)間的持續(xù)防御,這不僅增加了人員的疲憊度,還需要更多的技術(shù)和設(shè)備支持,導(dǎo)致資源消耗、預(yù)算消耗的顯著增加。因此,不太可能再像以前一樣簡(jiǎn)單堆人同時(shí)7*24小時(shí)的值守來(lái)提升防護(hù)效果。

其次,在長(zhǎng)時(shí)間的演練中,簡(jiǎn)單粗暴的關(guān)閉一些系統(tǒng)的策略無(wú)法一直生效。防守方無(wú)法隨意關(guān)閉風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng),同時(shí)必須確保這些系統(tǒng)在運(yùn)行中的安全性。尤其是核心業(yè)務(wù)和邊緣系統(tǒng),防守方需要找到有效的防御措施,避免系統(tǒng)在演練期間被攻破。

長(zhǎng)期的高強(qiáng)度防御對(duì)防守團(tuán)隊(duì)的心理狀態(tài)也構(gòu)成了巨大挑戰(zhàn)。團(tuán)隊(duì)成員需要在高壓環(huán)境下工作,保持高度的警惕性,這可能導(dǎo)致心理疲勞和工作效率下降。

然而,常態(tài)化演練也為防守方提供了建立長(zhǎng)效安全機(jī)制的機(jī)會(huì)。通過(guò)長(zhǎng)時(shí)間的演練,防守方能夠建立一套全面的安全防護(hù)機(jī)制。這不僅包括技術(shù)層面的提升,還涉及到團(tuán)隊(duì)協(xié)作、應(yīng)急響應(yīng)和心理支持等方面,為組織的整體網(wǎng)絡(luò)安全防御能力提供保障。

常態(tài)化演練還強(qiáng)調(diào)應(yīng)急響應(yīng)能力的提升。長(zhǎng)時(shí)間、多樣化的攻擊手段要求防守方具備高效的應(yīng)急響應(yīng)能力,并能夠迅速應(yīng)對(duì)各種突發(fā)事件。隨著演練時(shí)間的延長(zhǎng),防守方有更多時(shí)間考慮廣義及狹義的供應(yīng)鏈安全問(wèn)題。通過(guò)全面評(píng)估和加強(qiáng)供應(yīng)鏈各環(huán)節(jié)的安全措施,防守方可以建立更加穩(wěn)固的防御體系,防止通過(guò)供應(yīng)鏈進(jìn)行的間接攻擊。

監(jiān)管的視角

大家習(xí)慣性地討論攻防雙方的思路,但演練中監(jiān)管方的視角也是一塊重要的視角。從監(jiān)管角度來(lái)看,常態(tài)化演練的引入并非僅僅為了增加攻擊和防御的難度,而是為了真正提升整體的網(wǎng)絡(luò)安全防護(hù)能力。當(dāng)前的運(yùn)動(dòng)式演練通常依賴于短期內(nèi)的高強(qiáng)度防御措施,如臨時(shí)關(guān)閉非核心業(yè)務(wù)系統(tǒng),盡管這種方法在短期內(nèi)有效,但它并沒(méi)有解決根本問(wèn)題。監(jiān)管方意識(shí)到,網(wǎng)絡(luò)邊界防護(hù)并非無(wú)懈可擊,持續(xù)的攻擊總會(huì)找到突破口。因此,常態(tài)化演練旨在推動(dòng)防守方從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御,實(shí)現(xiàn)“以攻促防,以攻促改”。

通過(guò)長(zhǎng)時(shí)間的實(shí)戰(zhàn)演練,防守方能夠持續(xù)檢測(cè)和應(yīng)對(duì)攻擊,發(fā)現(xiàn)系統(tǒng)中的深層次漏洞和薄弱環(huán)節(jié)。這樣不僅可以提升防御系統(tǒng)的整體安全性,還能在實(shí)戰(zhàn)中驗(yàn)證和改進(jìn)現(xiàn)有的防御策略。實(shí)戰(zhàn)演練的持續(xù)性和復(fù)雜性,迫使防守方在實(shí)際環(huán)境中面對(duì)真實(shí)威脅,逐步提升應(yīng)對(duì)復(fù)雜攻擊的能力。

此外,常態(tài)化演練還強(qiáng)調(diào)應(yīng)急處置能力的完善。長(zhǎng)時(shí)間、多樣化的攻擊手段要求防守方具備快速響應(yīng)和靈活調(diào)整的能力。通過(guò)不斷的演練和調(diào)整,防守方能夠建立起一套高效的應(yīng)急響應(yīng)機(jī)制,在突發(fā)事件中迅速恢復(fù)系統(tǒng)的正常運(yùn)行。這不僅提升了單個(gè)單位的防護(hù)能力,也為整個(gè)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的穩(wěn)定和安全提供了保障。

陳佩文表示,常態(tài)化演練不僅是對(duì)網(wǎng)絡(luò)防御能力的強(qiáng)化測(cè)試,更是對(duì)整體安全策略的一次深刻檢驗(yàn)。它迫使各方從短期利益和臨時(shí)措施中走出來(lái),真正構(gòu)建起長(zhǎng)期有效的安全防御體系。通過(guò)不斷的實(shí)戰(zhàn)檢驗(yàn)和改進(jìn),我們才能在面對(duì)復(fù)雜多變的網(wǎng)絡(luò)威脅時(shí),更加從容和有效地應(yīng)對(duì)。

而面對(duì)常態(tài)化演練場(chǎng)景下的新型攻擊手段,比如0Day漏洞、內(nèi)存馬注入等,陳佩文也表示,舉賢不避親,基于多年實(shí)戰(zhàn)攻防積淀以及對(duì)新型攻擊手段的研究,邊界無(wú)限推出了基于RASP技術(shù)的靖云甲ADR應(yīng)用檢測(cè)與響應(yīng)系統(tǒng),助力客戶打造更完善的應(yīng)用安全防護(hù)體系,并與多種產(chǎn)品、方案響應(yīng),助力客戶建設(shè)高效的安全運(yùn)營(yíng)體系與縱深防御體系。

機(jī)遇和挑戰(zhàn)并存,面對(duì)常態(tài)化演練,無(wú)須驚慌,演練終究是為了更好地“修煉內(nèi)功”,發(fā)現(xiàn)問(wèn)題,解決問(wèn)題。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )