红蓝对抗：浅谈Red Team服务对防护能力的提升

前言

最近圈内关于红蓝对抗，Red Team服务的讨论很热烈，原因相信大家都是很清楚的。目前来看，很多企事业单位对“安全之痛”还缺乏体会，国内安全防护水平的发展很大程度上仍然需要监管部门来推动。

笔者所在的公司在今年年初，也把原来做渗透测试的团队升级成为了可提供Red Team服务的队伍，一方面是因为渗透测试服务市场受到了众测服务一定程度的冲击，另外一方面是随着攻击手段隐蔽性和复杂性的逐年提升，国内Red Team服务需求会大幅上升。现在回过头来看，我们的预判很准确。

最近很多文章都在强调Red Team服务攻击能力的重要性，由于我本人长年从事安全防护技术研究和设计工作，所以本文将从Red Team服务促进安全体系改进提升的角度进行探讨。

Red Team服务（国内团队也称为蓝军）旨在通过全场景、多维度的“真实”攻击来检验企业实际的安全防护水平和发现安全防护体系的缺陷。

Red Team服务与传统渗透测试相比最大的区别在于：

1、传统渗透测试目的在于尽可能找全某个系统的漏洞，对于漏洞的利用基本是点到为止（确认其可利用性和危害）；Red Team服务的目的则不是为了找全漏洞，而是为了找到可利用的风险点，并绕过防护体系渗透到企业内部，全面检验企业各个维度的安全防护能力和安全感知能力；
2、传统渗透测试的攻击手段相对比较单一，比如针对web业务系统的渗透测试基本就是利用web攻击的相关方法；而Red Team服务会利用多维度的攻击方法(如web渗透、邮件钓鱼、鱼叉攻击、无线攻击甚至物理攻击)；
3、传统渗透测试一般会选用模拟测试环境进行；而Red Team更倾向于在真实环境和场景中进行真实的对抗，会有攻击方和防守方甚至有裁判组，整个过程相对更加复杂。

笔者所在公司的Red Team方案把整个攻击链条总结为“从外到内、从内到内和从内到外”三个环节，从这三个环节基本能完整检验一个企业的真实防守能力，如下图所示：

“ 从外到内 ”主要检验企业的边界防护能力、员工的安全意识以及供应链上的安全风险等；这部分的攻击方法会涉及到web攻击、邮件钓鱼、社工测试、第三方供应链攻击等。

“ 从内到内 ”主要检验企业内部安全的防护能力和内部安全威胁感知能力等；这部分的攻击方法会涉及到内部的横向渗透、系统提权攻击、后门隐藏甚至会用到一些0Day漏洞，有点APT的味道。

“ 从内到外 ”主要检验企业对于安全威胁感知能力和信息数据外传泄露的检测能力等；这部分的攻击方法会涉及隐藏的反弹Shell（绕过防火墙）、隐蔽隧道数据传输等。

从这个三个方面的攻击链条来看，安全防护体系的纵深性、联动性和全面感知是非常重要的。由于Red Team能检验的防守点很多，接下来我们结合对应的层面分别从三个阶段给出对防护体系提升的建议。

一、从外到内

这个阶段重点推荐RASP(应用运行时自保护)，这是针对web安全的纵深防护手段。目前大部分企业在边界上都部署了云WAF、硬件WAF，但如果出现一个未知web中间件漏洞或应用系统漏洞，直接绕过边界上的WAF是相当容易的（如各种 JAVA 中间件的反序列化漏洞）；而如果此时web后端有个RASP模块进行保护，就可以轻松地发现这些高级攻击，如：web进程执行命令、web进程敏感文件读写行为、web进程对系统账号的修改行为、web进程对外网络连接行为等；对这些行为再加以分析基本就可以判断系统是否已经被攻陷并快速采取处置动作。

具体的原理如下图：

当然这类防护措施的优点虽然很明显，但缺点也很明显，就是侵入性太强；对于业务连续性要求很高的行业，一般不敢轻易尝试。从我们实际部署的经验看，可以考虑从一些边缘的系统开始测试，稳定后逐步覆盖到关键系统。在部署安装的时候可利用多节点负载备份和选择非工作时段，同时要求RASP安全策略和自身模块支持热更新模式，无需重启服务。

二、从内到内

从去年的某大型攻防演练中可以看到，很多大型企业内部防护基本是空白的（大部分单位认为内部网络隔离就是安全的），因此今年企业对这方面也特别重视。这个阶段重点推荐两种类型的防护体系：

第一类是 (云)服务器主机EDR。EDR（终端检测和响应）是Gartner针对终端安全提出的下一代安全解决方案，连续四年进入Gartner的年度安全技术榜单。笔者在实际的研究过程中发现EDR的能力要求更合适(云)服务器主机环境：

EDR要求Agent轻量化：很多甲方客户不敢在服务器上装安全Agent，就是担心安全Agent占用资源影响到业务，因此出现内部主机大面积裸奔的情况，而EDR的Agent轻量化正好符合服务器场景的要求；

EDR要求检测能力：PC终端安全的大部分问题在于容易感染病毒，而服务器主机更多问题在于如何发现入侵和违规行为，因此服务器场景对于检测能力的要求高于杀毒能力，因此EDR的检测能力非常适合在服务器场景上应用；

EDR要求快速响应能力：主机Agent可以满足阻断、隔离、还原等快速响应的要求。

因此服务器主机EDR在内部安全威胁检测中可以起到很好的效果，既可以弥补内部检测能力的不足，同时也很适用于云的场景，不受网络区域限制。

第二类是欺骗防御。欺骗防御系统也是这几年比较新兴的一种技术，由原来的蜜罐升级而来，但又不同于传统意义上的蜜罐。我们认为欺骗防御体系是安全检测体系的一个很好的补充，很适合在一些特殊的内网进行部署。

欺骗技术分为不同层次，需具备真实网络的所有特征，包括真正的数据和设备。这种欺骗技术可以模仿并分析不同类型的流量，提供对账户和文件的虚假访问，更为神似地模仿内部网络，同时还要求可以自动部署，让攻击者被耍得团团转，陷入无穷无尽追逐更多信息的循环中。欺骗防御体系按既定意图运作时，黑客会真的相信自己已经渗透到了受限网络中。

三、从内到外

这个阶段对于数据外传的检测是相当重要的，这里重点推荐流量威胁检测类型的安全防护框架。不少人认为流量威胁检测是IDS的下一代升级版，这样认为有一定道理（都是旁路流量检测）但又不完全准确，笔者认为好的流量威胁检测安全服务须具备以下一些特性：

不依赖威胁情报情况下对于反弹外联的检测能力（依赖检测算法）；

依赖威胁情报对于C&C的快速检测能力；

依赖AI模型对于隐蔽传输通道的识别能力；

元数据的采集、存储和分析能力，同时能对接给态势感知平台；

威胁事件的溯源取证能力（存储原始的package）

当然，介绍了这么多的防护策略，最终还是要能联动起来才能发挥作用，这就要依靠安全大数据分析和响应平台（也就是大家常说的态势感知平台或安全大脑）。在缺乏有效的全局安全威胁情报共享联动作支撑的情况下，不同厂商、不同类型的传统安全解决方案难以协同，容易发生安全威胁和整体态势研判误报、漏报的现象。

而依托安全大数据分析和响应平台，部署的各类防护软件和系统既可以针对目标进行实时防护，同时又可将攻击数据汇总至态势感知平台，全面展示安全态势，实现对全局的安全风险可视和可预测，为安全决策提供可靠的依据和手段，这也是我们发展此类安全态势感知平台的重要意义。

“九层之台起于垒土”，安全防护体系的建设也需要一个过程，既考验甲方的安全规划和安全运营能力，也挑战乙方的支持和服务能力。相信随着国内网络安全产业不断地向前发展，我们整体的安全防护水平也会不断提升到新的高度。

*本文作者：安全狗safedog，转载请注明来自FreeBuf.COM