重新认识蓝队体系
背景
随着近几年复杂国际形势的大背景和国内护网活动的锤炼,传统的安全运维/服务类解决方案在面临新的挑战和要求下显得捉襟见肘,日渐吃力。越来越多的组织开始引入红队服务来寻求对信息系统的更接近实战的威胁评估。与此同时,如何建立应对真实威胁且能够迅速反应的行之有效的防御体系,也激发出各行各业对蓝队建设的迫切需求。
基本概念
蓝队一般是以现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。企业蓝队建设能够在高级威胁对抗场景下提供涵盖人员、技术、流程、服务全维度的安全防御体系。以IPDRO自适应保护模型为核心,包含暴露面监测(识别阶段-I)、防御强化(防护阶段-P)、威胁狩猎(监测阶段-D)、应急处置(响应阶段-R)、安全运营(运营改进阶段-O)五大服务模块,并通过6级蓝队建设成熟度模型,衡量并不断提高对抗过程中各阶段的安全防御能力。
认知误区
随着近年来攻防演练常态化开展和普及,对监控值守类型人员岗位需求的急剧上升,以及行业内各种“基础产品培训”、“值守监控培训”的泛化,导致很多安全行业新人和企业对蓝队的第一印象就只是“看设备”、“看告警”,枯燥且乏味,提不起一丝激情,觉得打红队才是最酷最厉害的。不可否认,打红队的确能很大程度上满足部分人的成就感,能在一定程度上以实战的视角帮助企业评估当前业务和网络的安全水平,但需要提醒的是,这个世界从来不缺少安全威胁,缺少的往往是专业的安全防护。我们常说“以攻促防、以攻验防”,一切手段都是围绕如何更好的保护业务和网络安全而服务的,最终目标都是抵御一切安全威胁。
当然还有另一句话,“未知攻,焉知防”,当今安全行业中,部分红队人员“只知攻,不懂防”,部分蓝队人员“不懂攻,枉谈防”,红蓝攻防本一体,思维相互转换才是正解,简单说就是想真正做好防御,蓝队人员就必须要懂得红队的攻击技巧和思维,并转换成可识别(identifiable)、可防御(Protectable)、可监测(Detectable/Monitorable)、可响应(Responsive)、可运营(Operable)的防护体系,才是上上之策。
蓝队体系IPDRO自适应保护模型
在开始介绍IPDRO核心模型前,不得不提到企业安全能力框架(IPDRR),它是美国国家标准与技术研究所(National Institute of Standards and Technology)的网络安全框架(简称NISTCSF ),最早的版本于2014年发布,旨在为寻求加强网咯安全防御的组织提供指导。IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,从以防护为核心的模型,转向以检测和业务连续性管理的模型,变被动为主动,最终达成自适应的安全能力。
为了适应当前国内外网络安全发展趋势,在IPDRR基础上结合PDR(保护-检测-响应)、PPDR(策略-保护-检测-响应)模型以及国内企业网络安全发展现状,发展出蓝队体系IPDRO核心模型,建立实战化防护体系为目标,覆盖识别阶段(Identify)、防护阶段(Protection)、监测阶段(Detection)、响应阶段(Response)和运营管理(Operation)全阶段,打造能够有效应对真实威胁的网络安全主动检测和防御机制。
框架主体
蓝队体系衍生场景
通过蓝队体系IPDRO核心模型可衍生多种不同自适应场景,下面以蓝队能力提升和安全有效性度量举例。
蓝队能力提升
蓝队能力提升旨在通过人员、技术和服务手段高效的从威胁来源和攻击者视角来分析问题,实现网络安全态势的实时监控、预警和处置,并不断优化安全事件处置管理规范,从而快速提升响应和处置能力,通过联动协同平台,提升各人员之间、各部门之间的快速协同处置威胁能力,同时通过积累经验,增强基础设施防护能力与人才队伍建设能力,搭建网络安全纵深防御体系,建立持续有效的网络安全运营机制。
相关说明:
靶场搭建——模拟生产网络组建测试靶场;
攻击测试能力——覆盖实战攻击全生命周期的每个阶段,包括互联网信息收集、漏洞利用、社工钓鱼、内网信息收集、权限提升、后门隧道、免杀规避、内网横向、数据渗出等9个阶段,形成攻击测试用例库和工具脚本库,并在攻击实战过程中对运营人员进行实时赋能;
监测防护能力——对应每个攻击实战测试用例,监测记录防护情况,对无法告警的攻击用例,提取相应流量特征和行为特征,优化安全防护策略,并在研判分析过程中对运营团队进行实时赋能;
策略梳理及优化——调研策略现状,针对每种攻击场景均进行防护策略优化;
运营能力提升——通过攻防实践和流程模拟提升运营团队的研判分析和应急处置能力能力,对合理高效的运营流程进行标准化,形成安全运营标准化文档,并输出针对每个攻击场景的应急手册;
循环验证——在攻击测试用例库更新或发现无法告警的攻击测试用例时,对现有安全防护策略进行优化后,循环验证其有效性。
安全有效性度量
随着网络安全威胁不断增加和演变,仅仅依靠网络安全设备的堆砌已经不能满足当前网络安全的发展趋势,并且网络安全设备本身也可能存在安全漏洞和缺陷,企业需要以科学的方式衡量网络安全防护体系的有效性,同时采取有效的安全管理和监控措施。这种基于实战度量的方法能有效发现当前安全防护体系存在的安全缺陷,并且更加适应当前网络安全的快速变化和发展趋势。
安全有效性度量是指通过入侵和攻击模拟技术,持续不断地模拟针对企业资产的多种攻击载体,从而验证企业防御措施有效性,旨在评估企业现有安全防护体系的有效性,从互联网边界安全到内网安全、从内网流量安全到终端防护安全,再到邮件网关安全和数据安全,都迫切需要一套实战化的度量手段来检验其防护体系的有效性。基于红队实战攻击全生命周期的测试场景,对每个攻击阶段的各种攻击手法、网络场景、安全区域进行一一验证,为企业安全防护体系提供有效的量化数据,解决日常运营中安全不可度量的痛点,为后续的运营流程、应急处置、策略优化、精准降噪提供可靠数据支撑,实现安全运营的提质增效。
网络攻击生命周期覆盖阶段包括:互联网信息收集、漏洞利用、社工钓鱼、内网信息收集、权限提升、后门隧道、免杀规避、内网横向、数据渗出等。
安全有效性度量可根据企业实际需求化整为零,由此可衍生出以下度量场景:
- 互联网边界安全有效性度量
- 内网安全有效性度量
- 数据防泄漏有效性度量
- 安全防护终端有效性度量
- 邮件网关安全有效性度量
- 云原生安全有效性度量
- 其它场景的安全有效性度量
度量面向的对象包括但不限于以下单个或多个组合:下一代防火墙、WAF、IPS、IDS、SOC、态势感知、零信任网关、邮件安全网关、EDR、HIDS、MDR、XDR、杀毒软件、DLP、云安全管理平台、安全审计策略或平台。
安全有效性度量涉及的测试维度示例:
蓝队体系培养全景图
通过蓝队体系IPDRO核心模型,企业还可以根据自身需求定制相应的蓝队体系培养课程,课程大纲示例如下:
企业蓝队建设是保障企业信息安全和业务稳定的关键环节,需要建立涵盖人员、技术、流程、服务等全维度的防御体系,以应对日益增多的高级威胁。在这个过程中,蓝队体系IPDRO自适应保护模型可以为蓝队建设提供有力支持,帮助企业蓝队快速识别威胁、快速响应威胁、并持续改进安全运营。通过IPDRO模型的应用,企业蓝队可以不断优化防御策略和工作流程,提高攻防效率和响应速度,并最终实现全方位、多层次的安全保障。在实际建设过程中,企业需要注重整体规划和组织管理,加强人员培训和技术创新,不断提升蓝队建设的成熟度和能力水平,以适应不断变化的安全威胁和业务需求,确保企业信息安全的可持续发展。
严峻形势下的蓝队防御之路
2022年,受全球疫情及经济发展等诸多因素影响,网络黑产和APT攻击大行其道,且技术界限正日渐模糊,根据2022-2023年《网络安全综合态势观察手册》数据显示APT攻击技巧持续创新,对防御和溯源带来前所未有的挑战。
为全面提升我国关键信息基础设施整体安全防护水平,构建多部门协同合作、共同提高攻防相长的网络安全综合防御体系,近年来,我国的国家关键信息基础设施单位陆续多次开展网络攻防实战演练,通过实战来排查重点单位网络安全隐患,全方位检验各单位网络安全防御能力。在实战环境下的防护工作,无论是面对常态化的一般网络攻击,还是面对有组织、有规模的高级攻击,对于防护单位而言,都是对其网络安全防御体系的直接挑战。在实战环境中,蓝队需要按照备战、实战和战后三个阶段来开展安全防护工作,不打无准备之仗。
“没有网络安全就没有国家安全,没有网络安全就没有业务安全”,网络攻防对抗的根本在于人与人之间的对抗,业务安全的基础在于蓝队体系的构建和运营管理,开展攻防演练能提升人员实战中的防守能力、检验现有安全防护体系的有效性,做到及时发现问题和整改问题,加强网络安全建设能力。
因此,培养高素质网络安全和攻防实战人才是亟须解决的问题,安全团队中的蓝队人员更是肩负着重要责任和使命,要提前做到威胁识别、及时发现安全隐患、快速处置安全问题、完整还原攻击路径、追踪溯源以及诱捕反制恶意攻击,保护组织免受网络安全威胁和漏洞的影响。为此,蓝队人员需要具备攻防演练中的每个阶段能力技巧,才能在当今复杂的网络安全环境中立于不败之地。
从理论到实践,关于网络攻防实战,蓝队核心问题的两问两答
**Q1 **实战攻防演练过程中,最担心发生什么事?
不能发现攻击事件和存在的安全问题、发现了却无法精准研判、确认了攻击和问题却无处置能力、处置了却无法防止再次发生。这是大家时常面对的问题。
**Q2 **网络攻防的防守队员最需要哪些实战能力?
防守队员在实战中需要具备监测发现能力、研判分析能力、应急处置能力、策略优化能力、运营管理能力。
70%的防守队没做好这些事,导致“未战先输”。一年一度、如火如荼的网络安全攻防演习即将拉开大幕。在攻防领域流传着很多金句,如“未知攻、焉知防”、“说一百遍不如打一遍”、“以攻促防”、“网络安全的本质在对抗”等等。它们虽表述不同,其核心思想是一致的:即防守队非常需要攻击队视角,从攻击者角度去站位思考,分析总结攻方会采取的手段和步骤,来反思自身的安全体系、防护弱点,达到“知己知彼、百战不殆”。在实战攻防演习的前夕,西湖论剑安全特训营特推出“网络攻防蓝队实战技法提升进阶班”,夯实学员的蓝队防守能力和全局运营的安全理念,闭环安全运营体系非常重视人的作用。配备专门的人员来完成监控、分析、响应、处置等重要环节的工作,在日常工作中让所有参与人员能够熟悉工作流程、协同作战,使得团队能不断得到强化锻炼,这样在实战时中才能从容面对各类挑战。
安全训练营—网络攻防蓝队实战技法提升计划 课程介绍:
融合蓝队核心理念,贴近实战演练,以多次实践检验的IPDRO自适应保护模型为核心,围绕“暴露面监测(识别阶段-Identification)”、“防御强化(防护阶段-Protection)”、“威胁狩猎(监测阶段-Detection)”、“应急处置(响应阶段-Response)”、“运营管理(运营改进阶段-Operation)”五大能力域深入学习蓝队能力体系,从必备基础知识到进阶实战技法,从线上理论到线下辅导实践,从理论测试到实战检验,全方位定制、讲师带教,贴心辅导,成就每一位“蓝队专家梦”。
安全防御能力的形成并非一蹴而就,单位管理者应重视安全体系建设,建立起“以人员为核心、以数据为基础、以运营为手段”的安全运营模式,这些西湖论剑安全特训营都能带给您。想要详细了解特训营课程安排,请点击下方微信名片咨询~
版权归原作者 爱学习的恒小安 所有, 如有侵权,请联系我们删除。