他表示,安全是一個動態(tài)過程,而紅藍對抗可有效檢驗整個防御體系的有效性��。實戰(zhàn)是檢驗安全防護能力的唯一標準。當前����,各種新技術新架構不斷出現(xiàn),紅藍對抗建設思路需要從傳統(tǒng)的信息安全視角轉向網(wǎng)絡空間安全視角��。對于業(yè)務系統(tǒng)和安全系統(tǒng)來說����,唯有不斷地查缺補漏���、優(yōu)化迭代���,才能夠保護信息資產(chǎn)。
滲透測試是安全行業(yè)常見的模擬攻擊方式����,即模擬黑客攻擊行為��。在企業(yè)安全建設初期階段�����,通過滲透測試���,能夠盡可能多的暴露安全風險,從而針對性地建設安全能力�。而企業(yè)安全體系具備一定規(guī)模能力后,建設紅藍對抗則可以整體發(fā)現(xiàn)并復盤安全體系的本身缺陷��。
信息安全領域的紅藍對抗�,是攻守雙方在實際環(huán)境中進行網(wǎng)絡進攻和防御的一種網(wǎng)絡安全攻防演練。藍軍通過高級可持續(xù)滲透(APT)�����、網(wǎng)絡攻擊殺傷鏈(Cyber Kill Chain)或MITRE ATT&CK等滲透攻擊手段�,紅軍一經(jīng)發(fā)現(xiàn)就立即啟動應急響應,最終復盤對黑客攻擊行動中的防御體系的識別���、加固�����、檢測��、處置等各個環(huán)節(jié)�,發(fā)現(xiàn)薄弱位置并進行優(yōu)化。
兩者都是模擬黑客真實攻擊��,滲透測試和紅藍對抗所需要的技能樹差不多�����,只是滲透測試關注安全漏洞(畢竟要用漏洞拿下目標)���,而紅藍對抗在關注安全漏洞的基礎上��,還關注行動過程中安全防御體系的有效性或者薄弱環(huán)節(jié)�。
胡珀介紹到���,騰訊安全團隊早期以滲透測試為主,后來逐步建立安全體系��,開始有針對地啟動紅藍對抗�����,到目前已經(jīng)開展了十多年的紅藍對抗入侵演習。早在2010年��,胡珀及其團隊就組織了一起對騰訊自研的主機安全系統(tǒng)“洋蔥”的入侵檢測�����。據(jù)了解���,類似的入侵演習騰訊內(nèi)部每年都會執(zhí)行多輪����,藍軍不斷發(fā)現(xiàn)當前業(yè)務的主要安全風險��,并測試反入侵�、漏洞檢測、WAF��、DDoS等各個安全系統(tǒng)的防護能力短板��,驅動紅軍不斷修復和完善�。
除了內(nèi)部演練,騰訊還依托自建的騰訊安全應急響應中心Tsrc���,邀請內(nèi)外部安全專家共同進行滲透測試�����,比如今年騰訊安全平臺部聯(lián)合云鼎實驗室開展的“云上保衛(wèi)戰(zhàn)”�,聯(lián)合PCG運營團隊開展的PCG業(yè)務安全眾測等,都取得了較好的效果���。
胡珀表示���,安全防護是隨著安全威脅的變化而變化的,隨著當前技術環(huán)境的快速變遷��,紅藍對抗的建設思路也需要不斷拓寬�����,從傳統(tǒng)的信息安全視角轉向網(wǎng)絡空間安全視角�。包括新興的物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)���、業(yè)務風控����,甚至還包括商業(yè)間諜(竊聽/竊視)等領域����,只要企業(yè)的信息資產(chǎn)和安全體系所涉及的領域,都應該需要紅藍對抗的有效性檢驗�。
在此思路下,騰訊藍軍除了傳統(tǒng)的滲透攻擊����,還結合實際業(yè)務需求,聯(lián)合內(nèi)外部團隊���,把紅藍對抗領域延伸到了AIoT�、DDoS�、業(yè)務風控、竊聽竊視等領域����。據(jù)介紹,騰訊安全平臺部旗下專注于人工智能��、物聯(lián)網(wǎng)�����、移動互聯(lián)網(wǎng)、云安全�����、區(qū)塊鏈等前沿領域的前瞻安全技術研究實驗室Tencent Blade Team�,已經(jīng)將其研究成果全方位應用到實際業(yè)務場景中,在近年來嘗試了物理侵入辦公室��、無人機滲透智能樓宇�、智能設備物理拆解攻防等網(wǎng)絡空間安全領域的紅藍對抗,致力于提升騰訊產(chǎn)品的安全性����、創(chuàng)造更安全的互聯(lián)網(wǎng)生態(tài)。
此外�,騰訊藍軍還嘗試了對服務器安全系統(tǒng)“洋蔥”進行硬件木馬的檢測與反檢測對抗,與宙斯盾團隊進行瞬間可達上百G����、幾十種DDoS攻擊類型的DDoS藍軍測試平臺建設及測試,與行政和外部反竊密專業(yè)機構RC2反竊密實驗室合作的辦公室竊聽對抗等網(wǎng)絡空間安全領域的紅藍對抗測試��。
在企業(yè)內(nèi)部紅藍軍建設方面��,胡珀根據(jù)騰訊十多年的實踐經(jīng)驗�,提出了一些操作層面的具體建議��。藍軍團隊的整體綜合能力要求很高����,所以藍軍應該分為單兵作戰(zhàn)能力強的攻擊團隊和研發(fā)能力強的技術支持團隊���,前者具體執(zhí)行藍軍任務,后者提供強大的彈藥支援����。除了自建藍軍,定期邀請外部藍軍來進行測試也很重要��。盡管是模擬外部黑客���,但長期在內(nèi)部的藍軍的攻擊視角難免會出現(xiàn)局限����,同時避免多次對抗后紅軍建設的策略只能防住特定藍軍手法�����。眾多的外部白帽子就是無數(shù)外部藍軍���,通過Tsrc收到的安全漏洞����,騰訊會及時復盤優(yōu)化安全系統(tǒng)的缺陷,同時也促進內(nèi)部藍軍學習外部白帽子的思路���。
他表示���,為了更好地檢驗安全防護能力,藍軍團隊成員需要精通相關領域的攻擊而且要是獨立的�,與紅軍不能是同一撥人。同時也要注意紅藍軍之間的差別:藍軍只攻點��,紅軍防護面����,并不是說藍軍發(fā)現(xiàn)問題就證明紅軍很差,而是應該有一系列指標來量化紅軍能力(比如攻破時長�����、難度����、發(fā)現(xiàn)率����、有效率�����、響應時長等)��。另外還需要注意融洽紅藍軍關系��,可以鼓勵雙方換位思考互相學習����,引導藍軍針對性地提出解決方案�����,引導紅軍用藍軍思維去評審安全系統(tǒng)����。最后注意安全是個動態(tài)過程,藍軍發(fā)現(xiàn)的問題要分清楚主次矛盾排優(yōu)先級來解決��,一定情況下特別刁鉆古怪的問題可以接受暫不解決���。
如今���,騰訊也將內(nèi)部藍軍在滲透測試和紅藍對抗領域積累的工具�、方法論�����,沉淀輸出為騰訊安全的專家服務�,在了解企業(yè)實際安全狀況的基礎上,針對企業(yè)核心業(yè)務���,模擬多種逼真的紅藍對抗(網(wǎng)絡攻防)場景��,使企業(yè)人員了解常見網(wǎng)絡攻擊方式與實際防護���,培養(yǎng)提升企業(yè)安全人員的安全意識,從而更好地保護企業(yè)的數(shù)據(jù)信息安全���。
本次大會上���,來自騰訊安全平臺部Tencent Blade Team、AI安全研究團隊以及騰訊安全云鼎實驗室、科恩實驗室的安全專家也悉數(shù)亮相�����,就持續(xù)滲透中的高級命令混淆對抗�、瀏覽器漏洞挖掘以及當下熱門的AI、車聯(lián)網(wǎng)�����、等保合規(guī)等話題進行分享��。
