摘要: 11月27到28日,CIS 2019网络安全创新大会在上海举办,本次大会由FreeBuf、赛博研究院、上海市信息安全行业协会联合主办,腾讯安全平台部总监胡珀就腾讯在网络空间安全时代的红蓝对抗建设进行了分享。他表示,安全是一个动态过程,而红蓝对抗可有效检验整...
11月27到28日,CIS 2019网络安全创新大会在上海举办,本次大会由FreeBuf、赛博研究院、上海市信息安全行业协会联合主办,腾讯安全平台部总监胡珀就腾讯在网络空间安全时代的红蓝对抗建设进行了分享。
他表示,安全是一个动态过程,而红蓝对抗可有效检验整个防御体系的有效性。实战是检验安全防护能力的唯一标准。当前,各种新技术新架构不断出现,红蓝对抗建设思路需要从传统的信息安全视角转向网络空间安全视角。对于业务系统和安全系统来说,唯有不断地查缺补漏、优化迭代,才能够保护信息资产。
渗透测试是安全行业常见的模拟攻击方式,即模拟黑客攻击行为。在企业安全建设初期阶段,通过渗透测试,能够尽可能多的暴露安全风险,从而针对性地建设安全能力。而企业安全体系具备一定规模能力后,建设红蓝对抗则可以整体发现并复盘安全体系的本身缺陷。
信息安全领域的红蓝对抗,是攻守双方在实际环境中进行网络进攻和防御的一种网络安全攻防演练。蓝军通过高级可持续渗透(APT)、网络攻击杀伤链(Cyber Kill Chain)或MITRE ATT&CK等渗透攻击手段,红军一经发现就立即启动应急响应,最终复盘对黑客攻击行动中的防御体系的识别、加固、检测、处置等各个环节,发现薄弱位置并进行优化。
两者都是模拟黑客真实攻击,渗透测试和红蓝对抗所需要的技能树差不多,只是渗透测试关注安全漏洞(毕竟要用漏洞拿下目标),而红蓝对抗在关注安全漏洞的基础上,还关注行动过程中安全防御体系的有效性或者薄弱环节。
胡珀介绍到,腾讯安全团队早期以渗透测试为主,后来逐步建立安全体系,开始有针对地启动红蓝对抗,到目前已经开展了十多年的红蓝对抗入侵演习。早在2010年,胡珀及其团队就组织了一起对腾讯自研的主机安全系统“洋葱”的入侵检测。据了解,类似的入侵演习腾讯内部每年都会执行多轮,蓝军不断发现当前业务的主要安全风险,并测试反入侵、漏洞检测、WAF、DDoS等各个安全系统的防护能力短板,驱动红军不断修复和完善。
除了内部演练,腾讯还依托自建的腾讯安全应急响应中心Tsrc,邀请内外部安全专家共同进行渗透测试,比如今年腾讯安全平台部联合云鼎实验室开展的“云上保卫战”,联合PCG运营团队开展的PCG业务安全众测等,都取得了较好的效果。
胡珀表示,安全防护是随着安全威胁的变化而变化的,随着当前技术环境的快速变迁,红蓝对抗的建设思路也需要不断拓宽,从传统的信息安全视角转向网络空间安全视角。包括新兴的物联网、工业互联网、业务风控,甚至还包括商业间谍(窃听/窃视)等领域,只要企业的信息资产和安全体系所涉及的领域,都应该需要红蓝对抗的有效性检验。
在此思路下,腾讯蓝军除了传统的渗透攻击,还结合实际业务需求,联合内外部团队,把红蓝对抗领域延伸到了AIoT、DDoS、业务风控、窃听窃视等领域。据介绍,腾讯安全平台部旗下专注于人工智能、物联网、移动互联网、云安全、区块链等前沿领域的前瞻安全技术研究实验室Tencent Blade Team,已经将其研究成果全方位应用到实际业务场景中,在近年来尝试了物理侵入办公室、无人机渗透智能楼宇、智能设备物理拆解攻防等网络空间安全领域的红蓝对抗,致力于提升腾讯产品的安全性、创造更安全的互联网生态。
此外,腾讯蓝军还尝试了对服务器安全系统“洋葱”进行硬件木马的检测与反检测对抗,与宙斯盾团队进行瞬间可达上百G、几十种DDoS攻击类型的DDoS蓝军测试平台建设及测试,与行政和外部反窃密专业机构RC2反窃密实验室合作的办公室窃听对抗等网络空间安全领域的红蓝对抗测试。
在企业内部红蓝军建设方面,胡珀根据腾讯十多年的实践经验,提出了一些操作层面的具体建议。蓝军团队的整体综合能力要求很高,所以蓝军应该分为单兵作战能力强的攻击团队和研发能力强的技术支持团队,前者具体执行蓝军任务,后者提供强大的弹药支援。除了自建蓝军,定期邀请外部蓝军来进行测试也很重要。尽管是模拟外部黑客,但长期在内部的蓝军的攻击视角难免会出现局限,同时避免多次对抗后红军建设的策略只能防住特定蓝军手法。众多的外部白帽子就是无数外部蓝军,通过Tsrc收到的安全漏洞,腾讯会及时复盘优化安全系统的缺陷,同时也促进内部蓝军学习外部白帽子的思路。
他表示,为了更好地检验安全防护能力,蓝军团队成员需要精通相关领域的攻击而且要是独立的,与红军不能是同一拨人。同时也要注意红蓝军之间的差别:蓝军只攻点,红军防护面,并不是说蓝军发现问题就证明红军很差,而是应该有一系列指标来量化红军能力(比如攻破时长、难度、发现率、有效率、响应时长等)。另外还需要注意融洽红蓝军关系,可以鼓励双方换位思考互相学习,引导蓝军针对性地提出解决方案,引导红军用蓝军思维去评审安全系统。最后注意安全是个动态过程,蓝军发现的问题要分清楚主次矛盾排优先级来解决,一定情况下特别刁钻古怪的问题可以接受暂不解决。
如今,腾讯也将内部蓝军在渗透测试和红蓝对抗领域积累的工具、方法论,沉淀输出为腾讯安全的专家服务,在了解企业实际安全状况的基础上,针对企业核心业务,模拟多种逼真的红蓝对抗(网络攻防)场景,使企业人员了解常见网络攻击方式与实际防护,培养提升企业安全人员的安全意识,从而更好地保护企业的数据信息安全。
本次大会上,来自腾讯安全平台部Tencent Blade Team、AI安全研究团队以及腾讯安全云鼎实验室、科恩实验室的安全专家也悉数亮相,就持续渗透中的高级命令混淆对抗、浏览器漏洞挖掘以及当下热门的AI、车联网、等保合规等话题进行分享。