他表示��,安全是一個(gè)動(dòng)態(tài)過(guò)程���,而紅藍(lán)對(duì)抗可有效檢驗(yàn)整個(gè)防御體系的有效性�。實(shí)戰(zhàn)是檢驗(yàn)安全防護(hù)能力的唯一標(biāo)準(zhǔn)。當(dāng)前���,各種新技術(shù)新架構(gòu)不斷出現(xiàn)�����,紅藍(lán)對(duì)抗建設(shè)思路需要從傳統(tǒng)的信息安全視角轉(zhuǎn)向網(wǎng)絡(luò)空間安全視角��。對(duì)于業(yè)務(wù)系統(tǒng)和安全系統(tǒng)來(lái)說(shuō)����,唯有不斷地查缺補(bǔ)漏、優(yōu)化迭代��,才能夠保護(hù)信息資產(chǎn)��。
滲透測(cè)試是安全行業(yè)常見(jiàn)的模擬攻擊方式�����,即模擬黑客攻擊行為���。在企業(yè)安全建設(shè)初期階段,通過(guò)滲透測(cè)試��,能夠盡可能多的暴露安全風(fēng)險(xiǎn)����,從而針對(duì)性地建設(shè)安全能力�����。而企業(yè)安全體系具備一定規(guī)模能力后�,建設(shè)紅藍(lán)對(duì)抗則可以整體發(fā)現(xiàn)并復(fù)盤安全體系的本身缺陷�。
信息安全領(lǐng)域的紅藍(lán)對(duì)抗,是攻守雙方在實(shí)際環(huán)境中進(jìn)行網(wǎng)絡(luò)進(jìn)攻和防御的一種網(wǎng)絡(luò)安全攻防演練�����。藍(lán)軍通過(guò)高級(jí)可持續(xù)滲透(APT)����、網(wǎng)絡(luò)攻擊殺傷鏈(Cyber Kill Chain)或MITRE ATT&CK等滲透攻擊手段,紅軍一經(jīng)發(fā)現(xiàn)就立即啟動(dòng)應(yīng)急響應(yīng)���,最終復(fù)盤對(duì)黑客攻擊行動(dòng)中的防御體系的識(shí)別�����、加固���、檢測(cè)����、處置等各個(gè)環(huán)節(jié)���,發(fā)現(xiàn)薄弱位置并進(jìn)行優(yōu)化�。
兩者都是模擬黑客真實(shí)攻擊����,滲透測(cè)試和紅藍(lán)對(duì)抗所需要的技能樹(shù)差不多,只是滲透測(cè)試關(guān)注安全漏洞(畢竟要用漏洞拿下目標(biāo))����,而紅藍(lán)對(duì)抗在關(guān)注安全漏洞的基礎(chǔ)上,還關(guān)注行動(dòng)過(guò)程中安全防御體系的有效性或者薄弱環(huán)節(jié)��。
胡珀介紹到���,騰訊安全團(tuán)隊(duì)早期以滲透測(cè)試為主�,后來(lái)逐步建立安全體系�����,開(kāi)始有針對(duì)地啟動(dòng)紅藍(lán)對(duì)抗�,到目前已經(jīng)開(kāi)展了十多年的紅藍(lán)對(duì)抗入侵演習(xí)。早在2010年��,胡珀及其團(tuán)隊(duì)就組織了一起對(duì)騰訊自研的主機(jī)安全系統(tǒng)“洋蔥”的入侵檢測(cè)����。據(jù)了解,類似的入侵演習(xí)騰訊內(nèi)部每年都會(huì)執(zhí)行多輪�,藍(lán)軍不斷發(fā)現(xiàn)當(dāng)前業(yè)務(wù)的主要安全風(fēng)險(xiǎn),并測(cè)試反入侵���、漏洞檢測(cè)�����、WAF��、DDoS等各個(gè)安全系統(tǒng)的防護(hù)能力短板����,驅(qū)動(dòng)紅軍不斷修復(fù)和完善����。
除了內(nèi)部演練,騰訊還依托自建的騰訊安全應(yīng)急響應(yīng)中心Tsrc��,邀請(qǐng)內(nèi)外部安全專家共同進(jìn)行滲透測(cè)試,比如今年騰訊安全平臺(tái)部聯(lián)合云鼎實(shí)驗(yàn)室開(kāi)展的“云上保衛(wèi)戰(zhàn)”��,聯(lián)合PCG運(yùn)營(yíng)團(tuán)隊(duì)開(kāi)展的PCG業(yè)務(wù)安全眾測(cè)等����,都取得了較好的效果。
胡珀表示����,安全防護(hù)是隨著安全威脅的變化而變化的,隨著當(dāng)前技術(shù)環(huán)境的快速變遷�����,紅藍(lán)對(duì)抗的建設(shè)思路也需要不斷拓寬���,從傳統(tǒng)的信息安全視角轉(zhuǎn)向網(wǎng)絡(luò)空間安全視角��。包括新興的物聯(lián)網(wǎng)�、工業(yè)互聯(lián)網(wǎng)��、業(yè)務(wù)風(fēng)控��,甚至還包括商業(yè)間諜(竊聽(tīng)/竊視)等領(lǐng)域,只要企業(yè)的信息資產(chǎn)和安全體系所涉及的領(lǐng)域��,都應(yīng)該需要紅藍(lán)對(duì)抗的有效性檢驗(yàn)���。
在此思路下,騰訊藍(lán)軍除了傳統(tǒng)的滲透攻擊�����,還結(jié)合實(shí)際業(yè)務(wù)需求�����,聯(lián)合內(nèi)外部團(tuán)隊(duì)����,把紅藍(lán)對(duì)抗領(lǐng)域延伸到了AIoT、DDoS�、業(yè)務(wù)風(fēng)控、竊聽(tīng)竊視等領(lǐng)域��。據(jù)介紹���,騰訊安全平臺(tái)部旗下專注于人工智能����、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)����、云安全、區(qū)塊鏈等前沿領(lǐng)域的前瞻安全技術(shù)研究實(shí)驗(yàn)室Tencent Blade Team���,已經(jīng)將其研究成果全方位應(yīng)用到實(shí)際業(yè)務(wù)場(chǎng)景中���,在近年來(lái)嘗試了物理侵入辦公室、無(wú)人機(jī)滲透智能樓宇����、智能設(shè)備物理拆解攻防等網(wǎng)絡(luò)空間安全領(lǐng)域的紅藍(lán)對(duì)抗,致力于提升騰訊產(chǎn)品的安全性����、創(chuàng)造更安全的互聯(lián)網(wǎng)生態(tài)。
此外����,騰訊藍(lán)軍還嘗試了對(duì)服務(wù)器安全系統(tǒng)“洋蔥”進(jìn)行硬件木馬的檢測(cè)與反檢測(cè)對(duì)抗,與宙斯盾團(tuán)隊(duì)進(jìn)行瞬間可達(dá)上百G���、幾十種DDoS攻擊類型的DDoS藍(lán)軍測(cè)試平臺(tái)建設(shè)及測(cè)試�����,與行政和外部反竊密專業(yè)機(jī)構(gòu)RC2反竊密實(shí)驗(yàn)室合作的辦公室竊聽(tīng)對(duì)抗等網(wǎng)絡(luò)空間安全領(lǐng)域的紅藍(lán)對(duì)抗測(cè)試��。
在企業(yè)內(nèi)部紅藍(lán)軍建設(shè)方面���,胡珀根據(jù)騰訊十多年的實(shí)踐經(jīng)驗(yàn),提出了一些操作層面的具體建議��。藍(lán)軍團(tuán)隊(duì)的整體綜合能力要求很高�,所以藍(lán)軍應(yīng)該分為單兵作戰(zhàn)能力強(qiáng)的攻擊團(tuán)隊(duì)和研發(fā)能力強(qiáng)的技術(shù)支持團(tuán)隊(duì),前者具體執(zhí)行藍(lán)軍任務(wù)�����,后者提供強(qiáng)大的彈藥支援�。除了自建藍(lán)軍,定期邀請(qǐng)外部藍(lán)軍來(lái)進(jìn)行測(cè)試也很重要�����。盡管是模擬外部黑客�����,但長(zhǎng)期在內(nèi)部的藍(lán)軍的攻擊視角難免會(huì)出現(xiàn)局限,同時(shí)避免多次對(duì)抗后紅軍建設(shè)的策略只能防住特定藍(lán)軍手法���。眾多的外部白帽子就是無(wú)數(shù)外部藍(lán)軍�����,通過(guò)Tsrc收到的安全漏洞�����,騰訊會(huì)及時(shí)復(fù)盤優(yōu)化安全系統(tǒng)的缺陷�����,同時(shí)也促進(jìn)內(nèi)部藍(lán)軍學(xué)習(xí)外部白帽子的思路�。
他表示�����,為了更好地檢驗(yàn)安全防護(hù)能力�,藍(lán)軍團(tuán)隊(duì)成員需要精通相關(guān)領(lǐng)域的攻擊而且要是獨(dú)立的,與紅軍不能是同一撥人�。同時(shí)也要注意紅藍(lán)軍之間的差別:藍(lán)軍只攻點(diǎn)�����,紅軍防護(hù)面���,并不是說(shuō)藍(lán)軍發(fā)現(xiàn)問(wèn)題就證明紅軍很差,而是應(yīng)該有一系列指標(biāo)來(lái)量化紅軍能力(比如攻破時(shí)長(zhǎng)����、難度、發(fā)現(xiàn)率�����、有效率���、響應(yīng)時(shí)長(zhǎng)等)。另外還需要注意融洽紅藍(lán)軍關(guān)系��,可以鼓勵(lì)雙方換位思考互相學(xué)習(xí)���,引導(dǎo)藍(lán)軍針對(duì)性地提出解決方案����,引導(dǎo)紅軍用藍(lán)軍思維去評(píng)審安全系統(tǒng)。最后注意安全是個(gè)動(dòng)態(tài)過(guò)程�,藍(lán)軍發(fā)現(xiàn)的問(wèn)題要分清楚主次矛盾排優(yōu)先級(jí)來(lái)解決,一定情況下特別刁鉆古怪的問(wèn)題可以接受暫不解決��。
如今�����,騰訊也將內(nèi)部藍(lán)軍在滲透測(cè)試和紅藍(lán)對(duì)抗領(lǐng)域積累的工具�����、方法論�,沉淀輸出為騰訊安全的專家服務(wù),在了解企業(yè)實(shí)際安全狀況的基礎(chǔ)上���,針對(duì)企業(yè)核心業(yè)務(wù)�����,模擬多種逼真的紅藍(lán)對(duì)抗(網(wǎng)絡(luò)攻防)場(chǎng)景����,使企業(yè)人員了解常見(jiàn)網(wǎng)絡(luò)攻擊方式與實(shí)際防護(hù)�����,培養(yǎng)提升企業(yè)安全人員的安全意識(shí),從而更好地保護(hù)企業(yè)的數(shù)據(jù)信息安全��。
本次大會(huì)上���,來(lái)自騰訊安全平臺(tái)部Tencent Blade Team�����、AI安全研究團(tuán)隊(duì)以及騰訊安全云鼎實(shí)驗(yàn)室�、科恩實(shí)驗(yàn)室的安全專家也悉數(shù)亮相�����,就持續(xù)滲透中的高級(jí)命令混淆對(duì)抗��、瀏覽器漏洞挖掘以及當(dāng)下熱門的AI�、車聯(lián)網(wǎng)�����、等保合規(guī)等話題進(jìn)行分享�����。
