腾讯云红蓝对抗实录

攻防演练已经成为中大型政企安全系统修复和迭代的最佳方式之一。

图片来源@视觉中国

图片来源@视觉中国

在腾讯云的赛博空间内,有两支队伍随时保持着战斗状态——他们作为保障团队在一点点巡视腾讯云的安全防线,一旦发现漏洞或入侵者,要立马进行漏洞修补并对入侵者进行溯源反制。

这两支队伍正是腾讯云每年红蓝对抗安全演习的主角:红军和蓝军。

红蓝对抗概念最初见于军事演习,由于能够形象表达一攻一守的作战演习状态,这一概念被信息安全领域采纳。就像人类对机体的体检,腾讯云内部也一直坚持用蓝军模拟攻击自查安全风险,保证云平台的安全性。

2020年下半年,依照惯例,腾讯云再次启动了红蓝对抗。区别于往年,这次的红蓝对抗的特点在于,无论从团队规模还是攻防理念都在向更高级别的攻防演练靠近。

巅峰对决兵分四路攻击

在红蓝对抗机制升级的情况下,腾讯云的作业成为了重点检查对象。攻击方案交由蓝军制定,这也是此次攻防演练的最大特点——更强调“实战”性,将原来红军“指哪儿打哪儿”,改为了蓝军制定作战方案,红军被动防守。

不仅如此,本次对抗聚集了来自腾讯多个顶尖安全实验室和内部安全运维团队的精英,如果你对安全圈稍有了解,就知道这样的阵容组团形成的攻击方,足以让任何一支防御力量胆寒。

“此次对抗的防守方,来自安全平台部、企业IT、云安全专项、云鼎实验室的联合保障团队,彼此间紧密协同,以随时应对可能从任何意想不到的地方出现的入侵。”本次腾讯云红蓝对抗红军负责人刘永钢介绍。

此次蓝军负责人李鑫也对这次的团队组成非常满意:“朱雀实验室、玄武实验室、企业IT蓝军,他们在木马病毒、APT攻击上比较擅长,腾讯蓝军擅长生产网攻击和内网渗透,云鼎实验室、安全专家服务团队擅长漏洞挖掘,蓝军的分工让他们各展所长。”

如此高配置的攻防对决,在腾讯云历次的红蓝演习中也实属罕见。

基于腾讯云这个资产复杂的目标,蓝军历时一个月制定了一份详细的作战规划,涉及攻击手段及路径和详细的时间计划表。在对腾讯云全网超百万的服务器资产进行排查摸底之后,蓝军准备分四个场景,对腾讯云进行针对性的攻击。不过无论哪种攻击,对技术能力和团队协作要求都很高。

对抗上演

蓝军进一步确定了十余个内部核心系统作为靶向目标。根据赛制规定,这些靶向目标中只要其中一个被攻破,就算蓝军演练成功。在对抗开始的第二周,蓝军已经拿到了不止一个核心靶向目标的配置信息,甚至挖到了几个堪称杀器的0day漏洞,准备进行逐个击破。

“志在必得!”这是蓝军在发现这些漏洞时的想法。但随着时间的推移,最吊诡的事情出现了。

“研究一晚上,一个漏洞也攻不进去,很浪费时间。”李鑫回忆。他清楚记得在攻防启动后的第四天已经找到了不下40个漏洞。但无法从任何一个漏洞进行核心系统的突破,让这场攻防陷入了短暂的僵局。

在其中一次攻击尝试中,蓝军通过物理环境攻破了分公司一台年久未更新系统的打印机,并控制了这台打印机的操作系统。可惜的是,蓝军的这种行为还是被红军发现了。

蓝军只能另辟蹊径。“他们通过内部一些支持分享的论坛,用水坑的方式找漏洞,提前埋攻击脚本,一旦内部员工去访问看文章,就会中招。”本次腾讯云红蓝对抗的负责人张祖优在观战时发现了蓝军的突破手段。

红军也不甘示弱。基于腾讯iOA零信任产品,提升端上的入侵门槛,并在应急响应中进行溯源,增加了诱捕反制环节。“他们的诱捕反制,直接攻到了我们钓鱼平台内部。”李鑫说。

按照李鑫的说法,一些高级别的红军会有很强的溯源分析能力和诱捕反制能力,一不小心就会掉入圈套。“比如蜜罐,就是欺骗性防御,欺骗你攻击我的某个目标,然后被抓个现行,让你没办法短时间内发起攻击。”

说白了,“诱捕反制”就是“你攻我,我不但要知道你是谁,还要制止你的行为”。

对于一举端掉蓝军的钓鱼平台,刘永钢笑了笑:“诱捕反制是网络安全最基础的能力,发现黑客攻击一般都会触发诱捕反制。这次没有用太多这个,只是利用他们的一些木马做了一些溯源,登录了一下他们的服务。”

这是一个双方博弈的过程。在蓝军的钓鱼平台被红军拿下之后,蓝军也在钓鱼平台上放了一个窃取红军登陆凭证、代表红军身份的代码。“拿到他们的OA令牌,甚至就可以攻到他们的OA系统里面去。”李鑫说。

亦敌亦友会放水

“他们的攻击手法除了技术手段,在打法上也有了一些‘术’的感觉。”刘永钢说。这也是李鑫最骄傲的地方,在他看来,攻击的手段、工具会不断变化和升级,但攻击的方法论不会变,就像《孙子兵法》到现在依然受用一样。

张祖优在评价这次蓝军的攻击行动时说:“蓝军团队有新鲜血液加入,他们的打法跟以往确实有些不同。作为裁判,我确实看到了他们双方的猥琐行为,但我又不能说。”

李鑫就是张祖优说得蓝军新鲜血液的代表,他刚加入腾讯安全不久,在加入腾讯之前在金融等传统行业工作,做过甲方,也做过乙方。所以对各种场景下容易出现的风险点都比较清楚。

作为一个80后出生的白帽子黑客,李鑫的团队大部分是95后,甚至也有00后。这些攻击手们思维活跃,各有各的擅长方向,他们有的擅长APT、有的擅长钓鱼,有的擅长搜集情报等等。用他自己的话说是“初生牛犊不怕虎”。

在刘永钢看来,对于亦敌亦友的蓝军,红军其实相当“仁慈”。刘永钢的团队大部分是80后,与年轻的蓝军团队相比,红军更像是沉稳的老大哥。

他回忆,红蓝双方在对抗的过程中,其实并没有让他觉得特别焦灼的情况。虽然大家在网络空间内分属不同阵营,但在物理空间上都在一个办公室。

有时候到了饭点儿,刘永钢看到蓝军还在那儿讨论,会专门去打个招呼:“蓝军的兄弟们,饭都不吃了,为什么呀?”

他有时候也会放水,明明已经捕捉到了蓝军的动态,在蓝军不会有关键进攻的情况下,红军会选择按兵不动。

“不会立马阻断掉、删除掉,在没有产生实质危害之前,我们会继续让它挖掘更多”,刘永钢说,“如果我们第一时间发现他,就把它给处置掉,这意味着后面的线索就断了。”

如果攻击被判定为是由外部黑客发起的,那么红军会不留情面地处理掉。

对此,李鑫也说,他在拿到关键攻击目标后也不会做更“恶劣”的动作:“点到为止了,演习的底线是保持系统稳定安全运行。我们的目的跟红军一样都是让腾讯云更安全。”

合纵连横,打造更安全的云

攻防结束后,双方都会就对抗过程进行复盘。协同和安全,是这次复盘双方提到最多的词。

从红军防御的角度来看,红蓝实时对抗,考验得是它的应急响应与处置能力。“如果黑客入侵的时候,涉及多个环节,就需要把多个环节的反应能力联动起来,合纵连横才会产生效果。”刘永钢说。

红军成员实际都有各自的日常工作。在风险响应上,他们本身也有一套标准处理流程。但在战时状态下,腾讯云的安全团队会对这些标准流程做一些调整,在某些时候会迅速通过联合团队的特定或专业人员开展跟进,并基于特定的情景去展开包括反制溯源的一些分析工作。

“我们遇到一些战时状态的时候,需要通过这个机制把它的合纵连横起来,什么样的环节他们处理,在战时机制里面在哪一些的流程的节点上有需要转到腾讯云来处理,在做一些特别的流程之后,大家闭环工作。”刘永钢说。

李鑫也说,演习其实是检验整个队伍打仗的能力,不光是方案的能力、组织的能力、技术人员能力,也是查漏补缺的很好的手段。

在此次红蓝对抗中,蓝军采用了“大分工,小协同”的方案。在四个大的攻击场景之间,每个团队又建立了协同关系。“团队之间会存在情报共享等方面的协作,比如路径1里面有价值的信息共享给路径4。”

站在裁判角度,张祖优表示,红蓝对抗不会强调输赢的概念,他认为演习的意义其实是快速校验危害腾讯云的核心问题。之后,再把一些问题同步给业务部门,把腾讯云安全的水位线做更进一步的拉升。

红蓝对抗过程中积累的工具、方法论也会输出为腾讯安全的专家服务,这在几家政企金融大客户中的实战效果已经被证明是正确的。

“这其实也在验证腾讯云安全建设的强度”,张祖优总结道,“‘攻’和‘防’在机制上的本质不同是,‘攻’遵循木桶原理,只要攻击单点,找到最短的板就能突破;但‘防’是需要每块板都做到足够长,把防御水位线做高,它考验的是安全团队的综合能力。得益于这么多安全团队对云的支持,腾讯云安全水位线一直在持续上升。”

当下,红蓝对抗在腾讯云已经常态化,腾讯云也在年复一年的红蓝对抗中,不断提升自身以及向外输出安全服务的能力。

作为云计算行业“排头兵”之一的腾讯云,保障系统安全,就是保障用户的数据和隐私安全。红蓝对抗不但是腾讯云保护自己的方式,更是一种社会担当。

未来,随着越来越多的企事业单位上云,攻防演练成为中大型政企安全系统修复和迭代的最佳方式之一。腾讯云也正在将这种实战攻防的能力对外输出,助力企业在数字化转型升级的浪潮下提升安全水位线,更好地享有数字经济的发展成果。(本文首发钛媒体APP,作者 |秦聪慧)

转载请注明出处、作者和本文链接
声明:文章内容仅供参考、交流、学习、不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容
92
17360

扫描下载App