聊一聊我对红蓝对抗的理解

gclome

原文链接：聊一聊我对红蓝对抗的理解

关于红蓝对抗的名称起源就不多说了，在业界有两种说法，红军 & 蓝军、红队 & 蓝队，其中攻击方通常称为 蓝军 OR 红队，防守方通常称为 红军 OR 蓝队，对于这个名称，记住就行，没啥特别的。

红队 OR 蓝军

首先来说红队，也就是蓝军，主要工作是通过模拟实战的方式，针对目标发起攻击，使用手段原则上不受限制，但是作为职业人才，当然要有职业素养，不要因为模拟攻击让目标遭受损失是我们的底线，不要触犯法律法规，得不偿失。
关于红队技术，业界有多种框架，比如 kill chain，如图：
​
这是一个简易模型，也是一个针对目标攻击的七步法，简单了解一下，后面分享我自己画的脑图。
还有知名的 ATT&CK 框架，涉及 13 个步骤， 206 个技术子项，详细地址：

https://attack.mitre.org

​
我基于之前的工作学习经验，整理了自己的红队技术知识体系，也是本次红队训练营的参考体系，如图：
​
图片看不清晰，需要查看高清图请前往信安之路知识星球获取。
红队的目的就是通过各种手段，更贴近实战的技术来对目标进行攻击，尽可能多的获取权限和敏感内容，从而验证企业的整个安全体系是否健全，有无缺漏，给蓝队予以反馈，在薄弱环节进行加固处置，从而逐步提升企业的安全防御能力。

蓝队 OR 红军
对于防御者而言，通常用木桶原理来解释防御的原理，不在于木桶的最长板有多长，而在于最短的那块板子有多短，攻击者就在寻找最短的那块板子，而防御者就要加长最短的板子，提升攻击难度，增加攻击成本。
事前增加防御能力，如安全监控覆盖率、系统加固覆盖率、历史漏洞修复率等；事中提升入侵发现能力，如入侵事件发现率、安全事件处置率等；事后的事件复盘修复率等。
业界对于蓝队也有很多参考框架，比如 NIST 的 SCF（The Fundamentals of a Strong Cybersecurity Framework-强大的网络安全框架基础）：
​

基于以上流程的详细拆分表如图：
​
还有基于 APT 的 kill chain 的防御框架，如图：
​
其他的就不多说了，大概看看就好，信安之路大致将企业安全工作划分为十八个部分，后续如果有新的思考在进行更新，详情如下：
​
最右侧的数字为相应的学习参考的文档，有兴趣查看请注册信安之路的成长平台。

最后
红蓝对抗的过程中，不同角色有不同的优势和劣势，比如攻击方只需攻破一个点，就能拿到部分权限，而在整个攻击链路中，有一个环节被防御者发现，那么整个攻击过程就算失败，权限被移除是小事，被溯源到就是大事儿了。信息安全领域，技术繁杂，更新变化快，需要投入大量的时间和精力去学习实践才能跟上时代的变化，信安之路，任重道远，一起加油，共勉。