最近圈內(nèi)關于紅藍對抗，Red Team服務的討論很熱烈，原因相信大家都是很清楚的。目前來看，很多企事業(yè)單位對“安全之痛”還缺乏體會，國內(nèi)安全防護水平的發(fā)展很大程度上仍然需要監(jiān)管部門來推動。

筆者所在的公司（安全狗）在今年年初，也把原來做滲透測試的團隊升級成為了可提供Red Team服務的隊伍，一方面是因為滲透測試服務市場受到了眾測服務一定程度的沖擊，另外一方面是隨著攻擊手段隱蔽性和復雜性的逐年提升，國內(nèi)Red Team服務需求會大幅上升�，F(xiàn)在回過頭來看，我們的預判很準確。

最近很多文章都在強調(diào)Red Team服務攻擊能力的重要性，由于我本人長年從事安全防護產(chǎn)品研究和設計工作，所以本文將從Red Team服務促進安全體系改進提升的角度進行探討。

Red Team服務（國內(nèi)團隊也稱為藍軍）旨在通過全場景、多維度的“真實”攻擊來檢驗企業(yè)實際的安全防護水平和發(fā)現(xiàn)安全防護體系的缺陷。

Red Team服務與傳統(tǒng)滲透測試相比最大的區(qū)別在于：

1、傳統(tǒng)滲透測試目的在于盡可能找全某個系統(tǒng)的漏洞，對于漏洞的利用基本是點到為止（確認其可利用性和危害）；Red Team服務的目的則不是為了找全漏洞，而是為了找到可利用的風險點，并繞過防護體系滲透到企業(yè)內(nèi)部，全面檢驗企業(yè)各個維度的安全防護能力和安全感知能力；

2、傳統(tǒng)滲透測試的攻擊手段相對比較單一，比如針對web業(yè)務系統(tǒng)的滲透測試基本就是利用web攻擊的相關方法；而Red Team服務會利用多維度的攻擊方法（如web滲透、郵件釣魚、魚叉攻擊、無線攻擊甚至物理攻擊）；

3、傳統(tǒng)滲透測試一般會選用模擬測試環(huán)境進行；而Red Team更傾向于在真實環(huán)境和場景中進行真實的對抗，會有攻擊方和防守方甚至有裁判組，整個過程相對更加復雜。

我們的Red Team方案把整個攻擊鏈條總結為“從外到內(nèi)、從內(nèi)到內(nèi)和從內(nèi)到外”三個環(huán)節(jié)，從這三個環(huán)節(jié)基本能完整檢驗一個企業(yè)的真實防守能力，如下圖所示：

“從外到內(nèi)”主要檢驗企業(yè)的邊界防護能力、員工的安全意識以及供應鏈上的安全風險等；這部分的攻擊方法會涉及到web攻擊、郵件釣魚、社工測試、第三方供應鏈攻擊等。

“從內(nèi)到內(nèi)”主要檢驗企業(yè)內(nèi)部安全的防護能力和內(nèi)部安全威脅感知能力等；這部分的攻擊方法會涉及到內(nèi)部的橫向滲透、系統(tǒng)提權攻擊、后門隱藏甚至會用到一些0Day漏洞，有點APT的味道。

“從內(nèi)到外”主要檢驗企業(yè)對于安全威脅感知能力和信息數(shù)據(jù)外傳泄露的檢測能力等；這部分的攻擊方法會涉及隱藏的反彈Shell（繞過防火墻）、隱蔽隧道數(shù)據(jù)傳輸?shù)取?/p>

從這個三個方面的攻擊鏈條來看，安全防護體系的縱深性、聯(lián)動性和全面感知是非常重要的。由于Red Team能檢驗的防守點很多，接下來我們結合對應的產(chǎn)品，分別從三個階段給出提升防護體系的建議。

一、從外到內(nèi)

這個階段重點推薦RASP（應用運行時自保護），這是針對web安全的縱深防護手段。目前大部分企業(yè)在邊界上都部署了云WAF、硬件WAF，但如果出現(xiàn)一個未知web中間件漏洞或應用系統(tǒng)漏洞，直接繞過邊界上的WAF是相當容易的（如各種JAVA中間件的反序列化漏洞）；而如果此時web后端有個RASP模塊進行保護，就可以輕松地發(fā)現(xiàn)這些高級攻擊，如：web進程執(zhí)行命令、web進程敏感文件讀寫行為、web進程對系統(tǒng)賬號的修改行為、web進程對外網(wǎng)絡連接行為等；對這些行為再加以分析基本就可以判斷系統(tǒng)是否已經(jīng)被攻陷并快速采取處置動作。

具體的原理如下圖：

當然這類產(chǎn)品優(yōu)點雖然很明顯，但缺點也很突出，就是侵入性太強。對于業(yè)務連續(xù)性要求很高的行業(yè)，一般不敢輕易嘗試。從我們實際部署的經(jīng)驗看，可以考慮從一些邊緣的系統(tǒng)開始測試，穩(wěn)定后逐步覆蓋到關鍵系統(tǒng)。在部署安裝的時候可利用多節(jié)點負載備份和選擇非工作時段，同時要求RASP安全策略和自身模塊支持熱更新模式，無需重啟服務。

二、從內(nèi)到內(nèi)

從去年的某大型攻防演練中可以看到，很多大型企業(yè)內(nèi)部防護基本是空白的（大部分單位認為內(nèi)部網(wǎng)絡隔離就是安全的），因此今年企業(yè)對這方面也特別重視。這個階段重點推薦兩種類型產(chǎn)品：

第一類是 （云）服務器主機EDR產(chǎn)品。EDR（終端檢測和響應）是Gartner針對終端安全提出的下一代產(chǎn)品，連續(xù)四年進入Gartner的年度安全技術榜單。筆者在實際的產(chǎn)品研究過程中發(fā)現(xiàn)EDR的能力要求更適合（云）服務器主機環(huán)境：

EDR要求Agent輕量化：很多甲方客戶不敢在服務器上裝安全Agent，就是擔心安全Agent占用資源影響到業(yè)務，由此導致內(nèi)部主機大面積裸奔的情況，而EDR的Agent輕量化正好符合服務器場景的要求；

EDR要求檢測能力：PC終端安全的大部分問題在于容易感染病毒，而服務器主機更多問題在于如何發(fā)現(xiàn)入侵和違規(guī)行為，因此服務器場景對于檢測能力的要求高于殺毒能力，所以EDR的檢測能力非常適合在服務器場景上應用；

EDR要求快速響應能力：主機Agent可以滿足阻斷、隔離、還原等快速響應的要求。

綜上，服務器主機EDR產(chǎn)品在內(nèi)部安全威脅檢測中可以起到很好的效果，既可以彌補內(nèi)部檢測能力的不足，同時也很適用于云的場景，不受網(wǎng)絡區(qū)域限制。

第二類是欺騙防御產(chǎn)品。欺騙防御系統(tǒng)也是這幾年比較新興的一種產(chǎn)品品類，由原來的蜜罐產(chǎn)品升級而來，但又不同于傳統(tǒng)意義上的蜜罐。我們認為欺騙防御產(chǎn)品是對安全檢測體系一個很好的補充，很適合在一些特殊的內(nèi)網(wǎng)進行部署。

欺騙技術分為不同層次，需具備真實網(wǎng)絡的所有特征，包括真正的數(shù)據(jù)和設備。這種欺騙技術可以模仿并分析不同類型的流量，提供對賬戶和文件的虛假訪問，更為神似地模仿內(nèi)部網(wǎng)絡，同時還要求可以自動部署，讓攻擊者被耍得團團轉，陷入無窮無盡追逐更多信息的循環(huán)中。欺騙防御產(chǎn)品按既定意圖運作時，黑客會真的相信自己已經(jīng)滲透到了受限網(wǎng)絡中。

三、從內(nèi)到外

這個階段對于數(shù)據(jù)外傳的檢測是相當重要的，這里重點推薦流量威脅檢測類型的產(chǎn)品。不少人認為流量威脅檢測產(chǎn)品是IDS的下一代升級版，這樣認為有一定道理（都是旁路流量檢測）但又不完全準確，筆者認為好的流量威脅檢測產(chǎn)品須具備以下特性：

不依賴威脅情報情況下對于反彈外聯(lián)的檢測能力（依賴檢測算法）；

依賴威脅情報對于C＆C的快速檢測能力；

依賴AI模型對于隱蔽傳輸通道的識別能力；

元數(shù)據(jù)的采集、存儲和分析能力，同時能對接給態(tài)勢感知平臺；

威脅事件的溯源取證能力（存儲原始的package）

當然，介紹了這么多的防護產(chǎn)品，最終還是需要聯(lián)動起來才能發(fā)揮作用，這就要依靠安全大數(shù)據(jù)分析和響應平臺（也就是大家常說的態(tài)勢感知平臺或安全大腦）。在缺乏有效的全局安全威脅情報共享聯(lián)動作支撐的情況下，不同廠商、不同類型的傳統(tǒng)安全產(chǎn)品難以協(xié)同，容易發(fā)生安全威脅和整體態(tài)勢研判誤報、漏報的現(xiàn)象。

而依托安全大數(shù)據(jù)分析和響應平臺，部署的各類防護軟件和系統(tǒng)既可以針對目標進行實時防護，同時又可將攻擊數(shù)據(jù)匯總至態(tài)勢感知平臺，全面展示安全態(tài)勢，實現(xiàn)對全局的安全風險可視和可預測，為安全決策提供可靠的依據(jù)和手段，這也是我們發(fā)展此類平臺的重要意義。

“九層之臺起于壘土”，安全防護體系的建設也需要一個過程，這個過程中，既考驗甲方的安全規(guī)劃和安全運營能力，也挑戰(zhàn)乙方的產(chǎn)品能力和服務能力。相信隨著國內(nèi)網(wǎng)絡安全產(chǎn)業(yè)不斷地向前發(fā)展，我們整體的安全防護水平也會不斷提升到新的高度。