不買燃氣車,選擇新能源!“氣都”運輸大戶為何反向而行? | 邊界無限:紅藍對抗安全演練常態化的各方分析 | ARITCO瑞特科家用電梯打造私人定制空間,引領設計新潮流 | 從這“李”起航,共赴青春之約,李錦記希望廚師北京班畢業典禮 | 法律專家:網路違法違規內容隱蔽性極強對審查技術提出嚴峻考驗 | 東鵬飲料借數字化提升企業經營效能 | 2024年京津冀公民科學素質大賽開賽 答題平臺官宣上線 | 重磅 丨 維科技術“廣發100MW/200MWh鈉電項目”首批電池交付儀式圓滿舉行! | 推動行業轉型升級 華熙生物主導修訂的《透明質酸鈉》行業新標正式實施 | 多重政策推動應用,以星恒為代表的輕型車鋰電池企業將迎突破 |
 
當前位置: 新聞>滾動>

邊界無限:紅藍對抗安全演練常態化的各方分析

發佈時間:2024-07-04 14:39:36  |  來源:中國網科學  |  作者:  |  責任編輯:科學頻道

雖然常態化演練尚未正式開始,但我們仍然希望對各方的表現進行一些分析和預測,以輔助我們對市場的判斷和決策。同時,也希望通過這些初步的見解,拋磚引玉,引發更多有價值的討論和觀點。

“船停在碼頭是最安全的,但那不是造船的目的。”

讓我們做一個極端假設,如果攻防演練只有一天,那麼我相信可能90%以上的參演單位會採取應關盡關的策略,非核心業務一律關停,以最大限度地避免風險。但是,如果演練時間是一個月或兩個月,又會如何呢?變數僅僅是時間,但時間意味著一切。長時間的演練不僅要求更高效的資源管理和防禦策略,還需要持續的監控和應對,面對更多不可預見的挑戰。

當我們討論0Day時,我們在討論什麼?從2019年開始,紅隊逐漸囤積各種邊界網路設備的0Day漏洞,目的是在2-3周的短期演練中能夠快速實現網路隔離的突破。近幾年,這一策略擴展到了Web應用和供應鏈系統的攻擊,目標同樣是盡可能快地實現網路隔離。北京邊界無限科技有限公司(邊界無限,BoundaryX)創始人、CEO陳佩文表示,0Day漏洞的本質在於利用過去積累的時間,在短期內換取快速突破網路邊界的效果。假設演練時間延長到兩個月,我們會發現上述的前提依然成立,提前準備仍然是關鍵,使用0Day漏洞在短時間內獲取攻擊入口的邏輯也不會改變。然而,時間的延長使得紅隊在演練過程中能夠邊打邊挖,邊挖邊打,充分利用更長的時間窗口進行深入滲透和漏洞挖掘。這些僅僅是一種大面的判斷,讓我們深入攻防雙方再來看看。

紅隊的視角

對於紅隊來説,常態化演練時間的延長既是機遇也是挑戰。一方面,時間的延長為紅隊帶來了更多實施複雜和隱蔽攻擊策略的機會。例如,廣義及狹義的供應鏈攻擊在長期演練中變得可操作化,紅隊可以通過對供應商系統實施水坑攻擊、植入後門等手段,借助供應鏈系統的漏洞或污染供應鏈代碼來間接滲透目標。陳佩文表示,紅隊的攻擊面也在擴大。隨著時間的推移,邊緣資産無法長期關閉,這意味著目標資産更多,紅隊的攻擊面更廣,防守單位的戰線也被拉得更長。長時間的演練還使得紅隊的單點壓強降低,紅隊的火力並不會每天都很兇猛。因此,錯峰攻防成為可能,使防守方更難以防禦。在足夠長的時間下,一些在兩周內不容易實施的攻擊手段,如高級持續性攻擊(APT)和多階段攻擊,也有了施展的空間。甚至一些在短期內無法預期的神奇的戰法,可能在兩個月內冒出來。安全防禦需要運營,但安全的攻擊也需要運營。拉長到兩個月甚至更長時間來看,APT的邏輯便是攻擊運營的思路之一。攻擊長期運營起來後,甚至會比防禦者更了解被攻擊單位,這也是“網路安全的本質在對抗,對抗的本質在攻防兩端能力較量”的體現之一。總結來説,時間的延長對紅隊來説既是壓力也是挑戰。在防守方的單點防禦壓強減少的情況下,局部不對稱的攻防現象可能會增加,邊緣資産的淪陷甚至網路隔離的突破也變得更為可能。

藍隊的視角

對於防守方,常態化演練時間的延長同樣帶來了巨大的挑戰。首先,長時間的演練對防守方的人力和技術資源提出了更高要求。團隊成員需要輪班工作,以保持長時間的持續防禦,這不僅增加了人員的疲憊度,還需要更多的技術和設備支援,導致資源消耗、預算消耗的顯著增加。因此,不太可能再像以前一樣簡單堆人同時7*24小時的值守來提升防護效果。

其次,在長時間的演練中,簡單粗暴的關閉一些系統的策略無法一直生效。防守方無法隨意關閉風險業務系統,同時必須確保這些系統在運作中的安全性。尤其是核心業務和邊緣系統,防守方需要找到有效的防禦措施,避免系統在演練期間被攻破。

長期的高強度防禦對防守團隊的心理狀態也構成了巨大挑戰。團隊成員需要在高壓環境下工作,保持高度的警惕性,這可能導致心理疲勞和工作效率下降。

然而,常態化演練也為防守方提供了建立長效安全機制的機會。通過長時間的演練,防守方能夠建立一套全面的安全防護機制。這不僅包括技術層面的提升,還涉及到團隊協作、應急響應和心理支援等方面,為組織的整體網路安全防禦能力提供保障。

常態化演練還強調應急響應能力的提升。長時間、多樣化的攻擊手段要求防守方具備高效的應急響應能力,並能夠迅速應對各種突發事件。隨著演練時間的延長,防守方有更多時間考慮廣義及狹義的供應鏈安全問題。通過全面評估和加強供應鏈各環節的安全措施,防守方可以建立更加穩固的防禦體系,防止通過供應鏈進行的間接攻擊。

監管的視角

大家習慣性地討論攻防雙方的思路,但演練中監管方的視角也是一塊重要的視角。從監管角度來看,常態化演練的引入並非僅僅為了增加攻擊和防禦的難度,而是為了真正提升整體的網路安全防護能力。當前的運動式演練通常依賴於短期內的高強度防禦措施,如臨時關閉非核心業務系統,儘管這種方法在短期內有效,但它並沒有解決根本問題。監管方意識到,網路邊界防護並非無懈可擊,持續的攻擊總會找到突破口。因此,常態化演練旨在推動防守方從被動防禦轉向主動防禦,實現“以攻促防,以攻促改”。

通過長時間的實戰演練,防守方能夠持續檢測和應對攻擊,發現系統中的深層次漏洞和薄弱環節。這樣不僅可以提升防禦系統的整體安全性,還能在實戰中驗證和改進現有的防禦策略。實戰演練的持續性和複雜性,迫使防守方在實際環境中面對真實威脅,逐步提升應對複雜攻擊的能力。

此外,常態化演練還強調應急處置能力的完善。長時間、多樣化的攻擊手段要求防守方具備快速響應和靈活調整的能力。通過不斷的演練和調整,防守方能夠建立起一套高效的應急響應機制,在突發事件中迅速恢復系統的正常運作。這不僅提升了單個單位的防護能力,也為整個網路安全生態系統的穩定和安全提供了保障。

陳佩文表示,常態化演練不僅是對網路防禦能力的強化測試,更是對整體安全策略的一次深刻檢驗。它迫使各方從短期利益和臨時措施中走出來,真正構建起長期有效的安全防禦體系。通過不斷的實戰檢驗和改進,我們才能在面對複雜多變的網路威脅時,更加從容和有效地應對。

而面對常態化演練場景下的新型攻擊手段,比如0Day漏洞、記憶體馬注入等,陳佩文也表示,舉賢不避親,基於多年實戰攻防積澱以及對新型攻擊手段的研究,邊界無限推出了基於RASP技術的靖雲甲ADR應用檢測與響應系統,助力客戶打造更完善的應用安全防護體系,並與多種産品、方案響應,助力客戶建設高效的安全運營體系與縱深防禦體系。

機遇和挑戰並存,面對常態化演練,無須驚慌,演練終究是為了更好地“修煉內功”,發現問題,解決問題。