TSRC马超在此,快来共决攻防!《2021企业安全运营实践研究报告》先导篇
2021-06-28 17:06:32 Author: www.freebuf.com(查看原文) 阅读量:54 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

话说安全大势,日新月异,东西贯通。前有勒索软件,后有漏洞追击。安全运营借势高楼起,横扫天下,人人趋之若鹜。四杰出世,引领风骚;零信任之父,独占鳌头。锦马超一枪决战攻防,孙伯符霸略溯源反制。握筹布画看周郎,子龙长枪扫八方。伯言火烧七百里,傲骨狂血魏文长。群英荟萃,乱世争锋。安全运营谁堪伯仲间?风流人物,还看今朝。

安全虎将

踏飞燕,然脱俗。一方山河九州同,千营兵马四海平。平沙无垠,群山纠纷。敌营深处,天降五钩神。召同袍相助,虎插双翼。出手法,西凉掌,夺命三枪溃敌军。一将功成是何人?TSRC马超在此,快来共决攻防。

人物台词:

漏洞因你所欲而来,却不因你所欲而止

技能属性:

【锁定技】快速抵达攻击方战场。

召唤一名蓝军攻击指定目标,造成伤害和减速效果。

召唤所有飞行蓝军返回身边时附带斩杀效果,

补刀残血时达到最高伤害。

人物背景:

胡珀(lake2),腾讯安全平台部总监,腾讯安全应急响应中心(TSRC)、Blade Team和腾讯蓝军负责人。

英雄战绩

“基于红蓝对抗验证的安全运营体系优化”部分内容节选

安全风险是不断变化的,所以需要有安全运营来修正安全工作的当前阶段重点建设方向。经过一段时间的建设,随着安全系统的完善部署、安全规章制度流程的建立,安全运营体系也日趋完善。一切都看起来很好,但是实际上情况如何呢?这里就有一个问题,如何验证安全运营体系的有效性?

如何进行实战?笔者给到的答案是:红蓝对抗验证。

笔者以为红蓝对抗是渗透测试的升级版,红蓝对抗与渗透测试在具体技术上并无本质区别,不过红蓝对抗的关注点有所不同而已。

第一,关注点会扩大。渗透测试更适合叫漏洞挖掘,它关注点仅仅在发现业务的安全风险(毕竟要靠漏洞拿下目标),而红蓝对抗不仅关注业务的安全风险,同时还要关注安全防御系统及整个安全运营体系的有效性。

举个例子,在某次红蓝对抗行动中,红队通过某业务的一个严重Web漏洞拿下业务服务器,同时又通过各类横向移动手法扩大战果直至最终拿到靶标。这个时候蓝队要做什么呢?要详细复盘。一是复盘围绕Web漏洞建设的相关安全系统是否生效,另一个是红队的模拟入侵过程相关的安全系统和应急流程是否生效。

一般来说,Web漏洞的复盘点是相关安全系统(WAF/IPS/Web漏洞扫描器/代码审计系统/IDS/RSAP)是否正常处置(检测或拦截)。而入侵事件是整个入侵过程涉及的几类手法(一般分为WebShell、CmdShell、Scan、Malware、Backdoor、Brute、Connection、Clean几大类若干小类,也可参考ATT&CK)是否有发现,以及发现后安全系统的响应及运营人员的应急流程是否及时、完备和专业。对于所有不符合预期的问题都要记录并且提出优化方案,落地执行,一段时间后再进行检查,确保闭环。

如下图即是若干年前由笔者执行的一次红蓝对抗后的复盘邮件,对腾讯自研的HIDS入侵检测能力进行复盘并提出改进建议。

1624867799_60d983d7ee49181d7e11b.png!small?1624867800065

图:某次红蓝对抗复盘邮件

(图源:lake2)

除此之外,基于红蓝对抗验证的安全运营体系优化还需关注以下三点:

· 红蓝对抗的关注领域要扩大

· 红蓝对抗的检验视角需要多样性

· 红蓝对抗需更具备实战性

此处内容摘取于《2021企业安全运营实践研究报告》中“基于红蓝对抗验证的安全运营体系优化”章节,由腾讯安全平台部总监胡珀(lake2)根据数年安全运营研究心得及经验展现,更多详细内容敬请关注完整版报告。

更多安全群雄,敬请期待!


文章来源: https://www.freebuf.com/fevents/278824.html
如有侵权请联系:admin#unsafe.sh