如何做好网络安全红蓝对抗 阿里巴巴集团 高级安全专家 张东辉 2016-07-14 个人简介 张东辉 阿里巴巴集团 高级安全专家 负责集团安全攻防演练 id：shineast •《0day安全软件漏洞》第二版作者之一； • 2009年研究生毕业于西安交大 网络安全专业，上学期间喜 欢写黑客防线（30多篇）； • 前百度X-Team攻防实验室漏洞研究负责人； • 研究的安全领域较多，Windows内核漏洞，网络攻击， Web安全，渗透，伪基站，路由器，BIOS Rootkit，iOS Rootkit等，对安全各方面都有浓厚兴趣和热情； 主要内容 • 红蓝对抗的介绍 • 红蓝对抗的价值和意义 • 做好红蓝对抗面临的挑战 • 不同做法的优劣对比 • 典型红蓝对抗案例的探讨 • 未来渗透攻击的趋势与红蓝对抗的升级 • Q&A 红蓝对抗的介绍 – 红蓝军事对抗 7.12 不接受 不参与 不承认 不执行 红蓝对抗的介绍 – 网络安全红蓝对抗 2016年03月03日新闻：美国防部邀请黑客攻击五角大楼网站 提供报酬 美国国防部长卡特亲自邀请黑客测试五角大楼网络安全 红蓝对抗的价值和意义 former Homeland Security Secretary Michael Chertoff stated, “There are two types of people: those who have been hacked, and those who don’t know they’ve been hacked.” 红蓝对抗的价值和意义 • 以攻促防（未知攻焉知防） • 安全水位高低用大量攻防实践来检验，而不是自嗨 做好红蓝对抗面临的挑战 做好红蓝对抗面临的挑战 • 我们的敌人是谁？如何模拟敌人的攻击？ • 攻击路径和攻击方式的覆盖率 • 攻击过程的隐蔽性、攻击完成后的痕迹清理 • 面对上万机器，需要自动化渗透攻击能力 • 立体纵深防御体系，防御协同（检测、止血、加固、溯源、反制） • 需要外部黑客/黑产视角，及外部检验能力（不能又做运动员又 做裁判） 做好红蓝对抗面临的挑战 – 敌人？  模拟黑客的动机和目的，站在敌人的角度思考攻击，例如： 白帽子黑客，点到为止 商业间谍，窃取机密数据 地下黑产，盗取数据 国家黑客，APT攻击 网络恐怖主义，破坏式攻击 做好红蓝对抗面临的挑战 – 攻击覆盖率 做好红蓝对抗面临的挑战 – 攻击覆盖率 • 穷举所有可能的攻击路径 • 在每条攻击路径上，穷举所有可能的攻击方式 • 对全部的攻击路径和攻击方式，按优先级实施攻击演练 做好红蓝对抗面临的挑战 – 攻击隐蔽性 攻击过程，绕过检测和告警 攻击完成，清理痕迹 做好红蓝对抗面临的挑战 – 自动化渗透 • 漏洞发现 • 情报收集 收集信息 筛选目标 • 找短板 • 找跳板 • 漏洞测试 • 漏洞利用 实施攻击 清理痕迹 • 删除日志 • 恢复变更 • 传统渗透测试服务已无法满足需求； • 将信息收集、漏洞发现、漏洞利用、防御规则绕过、木马驻留、反链控 制等多个关键环节实现自动化，形成自动化渗透能力； • 更大的好处是，不断沉淀攻击经验和能力到系统或平台中； 做好红蓝对抗面临的挑战 – 核心指标？ • 入侵发现率 —— 在规定时间内，成功发现入侵的比率 • 攻击覆盖率 —— 在攻防演练中，对所有攻击路径和攻击方式的覆盖比率 • 做好红蓝对抗，就是要提升这两个核心指标 红蓝对抗的不同做法 – 网络靶场 – NRC 红蓝对抗的不同做法 – 网络靶场 – 基于docker • 基于docker快速搭建 红蓝对抗环境 红蓝对抗的不同做法 – 真实环境 红蓝对抗的不同做法 – 两者结合 • 对线上关键业务搭建靶场环境，避免造成的故障损失； • 对线下测试环境展开实战攻防演练；