邊界無限陳佩文:紅藍(lán)對抗安全演練常態(tài)化的各方分析

  • 人閱讀
  • 2024-07-04 15:45:31

  • 來源:天極網(wǎng)

  • 相關(guān)關(guān)鍵詞

雖然常態(tài)化演練尚未正式開始,但我們?nèi)匀幌M麑Ω鞣降谋憩F(xiàn)進(jìn)行一些分析和預(yù)測,以輔助我們對市場的判斷和決策。同時,也希望通過這些初步的見解,拋磚引玉,引發(fā)更多有價值的討論和觀點。

“船停在碼頭是最安全的,但那不是造船的目的。”

讓我們做一個極端假設(shè),如果攻防演練只有一天,那么我相信可能90%以上的參演單位會采取應(yīng)關(guān)盡關(guān)的策略,非核心業(yè)務(wù)一律關(guān)停,以最大限度地避免風(fēng)險。但是,如果演練時間是一個月或兩個月,又會如何呢?變量僅僅是時間,但時間意味著一切。長時間的演練不僅要求更高效的資源管理和防御策略,還需要持續(xù)的監(jiān)控和應(yīng)對,面對更多不可預(yù)見的挑戰(zhàn)。

當(dāng)我們討論0Day時,我們在討論什么?

從2019年開始,紅隊逐漸囤積各種邊界網(wǎng)絡(luò)設(shè)備的0Day漏洞,目的是在2-3周的短期演練中能夠快速實現(xiàn)網(wǎng)絡(luò)隔離的突破。近幾年,這一策略擴(kuò)展到了Web應(yīng)用和供應(yīng)鏈系統(tǒng)的攻擊,目標(biāo)同樣是盡可能快地實現(xiàn)網(wǎng)絡(luò)隔離。北京邊界無限科技有限公司(邊界無限,BoundaryX)創(chuàng)始人、CEO陳佩文表示,0Day漏洞的本質(zhì)在于利用過去積累的時間,在短期內(nèi)換取快速突破網(wǎng)絡(luò)邊界的效果。假設(shè)演練時間延長到兩個月,我們會發(fā)現(xiàn)上述的前提依然成立,提前準(zhǔn)備仍然是關(guān)鍵,使用0Day漏洞在短時間內(nèi)獲取攻擊入口的邏輯也不會改變。然而,時間的延長使得紅隊在演練過程中能夠邊打邊挖,邊挖邊打,充分利用更長的時間窗口進(jìn)行深入滲透和漏洞挖掘。

這些僅僅是一種大面的判斷,讓我們深入攻防雙方再來看看。

紅隊的視角

對于紅隊來說,常態(tài)化演練時間的延長既是機(jī)遇也是挑戰(zhàn)。一方面,時間的延長為紅隊帶來了更多實施復(fù)雜和隱蔽攻擊策略的機(jī)會。例如,廣義及狹義的供應(yīng)鏈攻擊在長期演練中變得可操作化,紅隊可以通過對供應(yīng)商系統(tǒng)實施水坑攻擊、植入后門等手段,借助供應(yīng)鏈系統(tǒng)的漏洞或污染供應(yīng)鏈代碼來間接滲透目標(biāo)。

陳佩文表示,紅隊的攻擊面也在擴(kuò)大。隨著時間的推移,邊緣資產(chǎn)無法長期關(guān)閉,這意味著目標(biāo)資產(chǎn)更多,紅隊的攻擊面更廣,防守單位的戰(zhàn)線也被拉得更長。長時間的演練還使得紅隊的單點壓強(qiáng)降低,紅隊的火力并不會每天都很兇猛。因此,錯峰攻防成為可能,使防守方更難以防御。在足夠長的時間下,一些在兩周內(nèi)不容易實施的攻擊手段,如高級持續(xù)性攻擊(APT)和多階段攻擊,也有了施展的空間。甚至一些在短期內(nèi)無法預(yù)期的神奇的戰(zhàn)法,可能在兩個月內(nèi)冒出來。

安全防御需要運營,但安全的攻擊也需要運營。拉長到兩個月甚至更長時間來看,APT的邏輯便是攻擊運營的思路之一。攻擊長期運營起來后,甚至?xí)确烙吒私獗还魡挝?,這也是“網(wǎng)絡(luò)安全的本質(zhì)在對抗,對抗的本質(zhì)在攻防兩端能力較量”的體現(xiàn)之一。

總結(jié)來說,時間的延長對紅隊來說既是壓力也是挑戰(zhàn)。在防守方的單點防御壓強(qiáng)減少的情況下,局部不對稱的攻防現(xiàn)象可能會增加,邊緣資產(chǎn)的淪陷甚至網(wǎng)絡(luò)隔離的突破也變得更為可能。

藍(lán)隊的視角

對于防守方,常態(tài)化演練時間的延長同樣帶來了巨大的挑戰(zhàn)。首先,長時間的演練對防守方的人力和技術(shù)資源提出了更高要求。團(tuán)隊成員需要輪班工作,以保持長時間的持續(xù)防御,這不僅增加了人員的疲憊度,還需要更多的技術(shù)和設(shè)備支持,導(dǎo)致資源消耗、預(yù)算消耗的顯著增加。因此,不太可能再像以前一樣簡單堆人同時7*24小時的值守來提升防護(hù)效果。

其次,在長時間的演練中,簡單粗暴的關(guān)閉一些系統(tǒng)的策略無法一直生效。防守方無法隨意關(guān)閉風(fēng)險業(yè)務(wù)系統(tǒng),同時必須確保這些系統(tǒng)在運行中的安全性。尤其是核心業(yè)務(wù)和邊緣系統(tǒng),防守方需要找到有效的防御措施,避免系統(tǒng)在演練期間被攻破。

長期的高強(qiáng)度防御對防守團(tuán)隊的心理狀態(tài)也構(gòu)成了巨大挑戰(zhàn)。團(tuán)隊成員需要在高壓環(huán)境下工作,保持高度的警惕性,這可能導(dǎo)致心理疲勞和工作效率下降。

然而,常態(tài)化演練也為防守方提供了建立長效安全機(jī)制的機(jī)會。通過長時間的演練,防守方能夠建立一套全面的安全防護(hù)機(jī)制。這不僅包括技術(shù)層面的提升,還涉及到團(tuán)隊協(xié)作、應(yīng)急響應(yīng)和心理支持等方面,為組織的整體網(wǎng)絡(luò)安全防御能力提供保障。

常態(tài)化演練還強(qiáng)調(diào)應(yīng)急響應(yīng)能力的提升。長時間、多樣化的攻擊手段要求防守方具備高效的應(yīng)急響應(yīng)能力,并能夠迅速應(yīng)對各種突發(fā)事件。隨著演練時間的延長,防守方有更多時間考慮廣義及狹義的供應(yīng)鏈安全問題。通過全面評估和加強(qiáng)供應(yīng)鏈各環(huán)節(jié)的安全措施,防守方可以建立更加穩(wěn)固的防御體系,防止通過供應(yīng)鏈進(jìn)行的間接攻擊。

監(jiān)管的視角

大家習(xí)慣性地討論攻防雙方的思路,但演練中監(jiān)管方的視角也是一塊重要的視角。從監(jiān)管角度來看,常態(tài)化演練的引入并非僅僅為了增加攻擊和防御的難度,而是為了真正提升整體的網(wǎng)絡(luò)安全防護(hù)能力。當(dāng)前的運動式演練通常依賴于短期內(nèi)的高強(qiáng)度防御措施,如臨時關(guān)閉非核心業(yè)務(wù)系統(tǒng),盡管這種方法在短期內(nèi)有效,但它并沒有解決根本問題。監(jiān)管方意識到,網(wǎng)絡(luò)邊界防護(hù)并非無懈可擊,持續(xù)的攻擊總會找到突破口。因此,常態(tài)化演練旨在推動防守方從被動防御轉(zhuǎn)向主動防御,實現(xiàn)“以攻促防,以攻促改”。

通過長時間的實戰(zhàn)演練,防守方能夠持續(xù)檢測和應(yīng)對攻擊,發(fā)現(xiàn)系統(tǒng)中的深層次漏洞和薄弱環(huán)節(jié)。這樣不僅可以提升防御系統(tǒng)的整體安全性,還能在實戰(zhàn)中驗證和改進(jìn)現(xiàn)有的防御策略。實戰(zhàn)演練的持續(xù)性和復(fù)雜性,迫使防守方在實際環(huán)境中面對真實威脅,逐步提升應(yīng)對復(fù)雜攻擊的能力。

此外,常態(tài)化演練還強(qiáng)調(diào)應(yīng)急處置能力的完善。長時間、多樣化的攻擊手段要求防守方具備快速響應(yīng)和靈活調(diào)整的能力。通過不斷的演練和調(diào)整,防守方能夠建立起一套高效的應(yīng)急響應(yīng)機(jī)制,在突發(fā)事件中迅速恢復(fù)系統(tǒng)的正常運行。這不僅提升了單個單位的防護(hù)能力,也為整個網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的穩(wěn)定和安全提供了保障。

陳佩文表示,常態(tài)化演練不僅是對網(wǎng)絡(luò)防御能力的強(qiáng)化測試,更是對整體安全策略的一次深刻檢驗。它迫使各方從短期利益和臨時措施中走出來,真正構(gòu)建起長期有效的安全防御體系。通過不斷的實戰(zhàn)檢驗和改進(jìn),我們才能在面對復(fù)雜多變的網(wǎng)絡(luò)威脅時,更加從容和有效地應(yīng)對。

而面對常態(tài)化演練場景下的新型攻擊手段,比如0Day漏洞、內(nèi)存馬注入等,陳佩文也表示,舉賢不避親,基于多年實戰(zhàn)攻防積淀以及對新型攻擊手段的研究,邊界無限推出了基于RASP技術(shù)的靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng),助力客戶打造更完善的應(yīng)用安全防護(hù)體系,并與多種產(chǎn)品、方案響應(yīng),助力客戶建設(shè)高效的安全運營體系與縱深防御體系。

機(jī)遇和挑戰(zhàn)并存,面對常態(tài)化演練,無須驚慌,演練終究是為了更好地“修煉內(nèi)功”,發(fā)現(xiàn)問題,解決問題。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )