话说安全大势,日新月异,东西贯通。前有勒索软件,后有漏洞追击。安全运营借势高楼起,横扫天下,人人趋之若鹜。四杰出世,引领风骚;零信任之父,独占鳌头。锦马超一枪决战攻防,孙伯符霸略溯源反制。握筹布画看周郎,子龙长枪扫八方。伯言火烧七百里,傲骨狂血魏文长。群英荟萃,乱世争锋。安全运营谁堪伯仲间?风流人物,还看今朝。
安全虎将
马踏飞燕,超然脱俗。护一方山河九州同,破千营兵马四海平。平沙无垠,群山纠纷。敌营深处,天降五钩神。召同袍相助,虎插双翼。出手法,西凉掌,夺命三枪溃敌军。一将功成是何人?TSRC马超在此,快来共决攻防。
人物台词:
漏洞因你所欲而来,却不因你所欲而止
技能属性:
【锁定技】快速抵达攻击方战场。
召唤一名蓝军攻击指定目标,造成伤害和减速效果。
召唤所有飞行蓝军返回身边时附带斩杀效果,
补刀残血时达到最高伤害。
人物背景:
胡珀(lake2),腾讯安全平台部总监,腾讯安全应急响应中心(TSRC)、Blade Team和腾讯蓝军负责人。
英雄战绩
“基于红蓝对抗验证的安全运营体系优化”部分内容节选
安全风险是不断变化的,所以需要有安全运营来修正安全工作的当前阶段重点建设方向。经过一段时间的建设,随着安全系统的完善部署、安全规章制度流程的建立,安全运营体系也日趋完善。一切都看起来很好,但是实际上情况如何呢?这里就有一个问题,如何验证安全运营体系的有效性?
如何进行实战?笔者给到的答案是:红蓝对抗验证。
笔者以为红蓝对抗是渗透测试的升级版,红蓝对抗与渗透测试在具体技术上并无本质区别,不过红蓝对抗的关注点有所不同而已。
第一,关注点会扩大。渗透测试更适合叫漏洞挖掘,它关注点仅仅在发现业务的安全风险(毕竟要靠漏洞拿下目标),而红蓝对抗不仅关注业务的安全风险,同时还要关注安全防御系统及整个安全运营体系的有效性。
举个例子,在某次红蓝对抗行动中,红队通过某业务的一个严重Web漏洞拿下业务服务器,同时又通过各类横向移动手法扩大战果直至最终拿到靶标。这个时候蓝队要做什么呢?要详细复盘。一是复盘围绕Web漏洞建设的相关安全系统是否生效,另一个是红队的模拟入侵过程相关的安全系统和应急流程是否生效。
一般来说,Web漏洞的复盘点是相关安全系统(WAF/IPS/Web漏洞扫描器/代码审计系统/IDS/RSAP)是否正常处置(检测或拦截)。而入侵事件是整个入侵过程涉及的几类手法(一般分为WebShell、CmdShell、Scan、Malware、Backdoor、Brute、Connection、Clean几大类若干小类,也可参考ATT&CK)是否有发现,以及发现后安全系统的响应及运营人员的应急流程是否及时、完备和专业。对于所有不符合预期的问题都要记录并且提出优化方案,落地执行,一段时间后再进行检查,确保闭环。
如下图即是若干年前由笔者执行的一次红蓝对抗后的复盘邮件,对腾讯自研的HIDS入侵检测能力进行复盘并提出改进建议。
图:某次红蓝对抗复盘邮件
(图源:lake2)
除此之外,基于红蓝对抗验证的安全运营体系优化还需关注以下三点:
· 红蓝对抗的关注领域要扩大
· 红蓝对抗的检验视角需要多样性
· 红蓝对抗需更具备实战性
此处内容摘取于《2021企业安全运营实践研究报告》中“基于红蓝对抗验证的安全运营体系优化”章节,由腾讯安全平台部总监胡珀(lake2)根据数年安全运营研究心得及经验展现,更多详细内容敬请关注完整版报告。
更多安全群雄,敬请期待!
来源:freebuf.com 2021-06-28 16:06:32 by: FreeBuf咨询
请登录后发表评论
注册