红蓝对抗演练脚本,红蓝对抗演练是什么意思
我国的红蓝军事对抗
当然不是。制定输赢那还有什么意思。红蓝军事对抗主要是训练我军在逼真的战场环境下的作战素质。红军指我解放军,蓝军也是由解放军扮演,但多是扮演西方国家的军队,特别是模仿他们的作战战术,作战风格,来训连红军,说白了就是模拟西方军队给红军练手的。蓝军部队可以临时编组,也可以专门抽调。我军就有专门的蓝军部队,从各种渠道搜集外军的技战术,加以逼真模仿,可以说给我们解放军提供一个良好的假想敌。
因此,如果按剧本直接指定输赢,还能起到训练效果吗?lz估计是CCTV7看多了都是红军胜利的播报,所以产生了这种误解。
派出所红蓝对抗演练啥意思?红是啥,蓝是啥
应该是演练实战抓捕这些吧!红方一般人扮演抓捕方吧,也就是警察本色出演!蓝方应该是扮演歹徒罪犯吧!
红剑演习堪称中国最强空中对抗 它对解放军有何意义
2017年11月28日空军“红剑-2017”体系对抗演习在西北某地打响。这次演习是“基地-旅”体制运行以来,空军首次在两个基地间开展战役层面实战化体系对抗。
在导演部指挥大厅看到,红方数架飞机在干扰机开辟的“电磁走廊”中迅速集结,根据预警机提供的信息支援,采取灵活战术突破“敌”层层火力网,一举摧毁蓝方重要目标。
与以往相比,今年“红剑”演习创新演练内容、组训模式和评估方法,强化作战编组深度融合,锤炼战役指挥员和指挥班子在复杂战场环境下的作战筹划水平和指挥应变能力。
记者了解到,今年演习坚持“重检验不重评比、重实效不重形式、重检讨不重输赢”,引入叫停机制,牵引部队由研究对抗对手向研究真实敌人转变、由关注输赢分数向关注能力短板转变,全面深化检讨反思机制,推动部队提高新时代打赢能力。
“红剑”演习是空军战役层面全要素体系对抗,突出“任务、体系、电磁、未知、对抗、检讨”,全程背对背进行对抗,旨在最大限度提高部队实战能力。经过10多年发展,“红剑”体系对抗已实现从战术向战役转变,从单一兵种向多兵机种转变,从传统训练向信息化训练的转变,已成为空军“含战量”最高的实战化“训练品牌”。
参与演习的轰-6K轰炸机,从照片上看,机腹下挂载了未公开披露的吊舱。根据外形推测,有可能是干扰吊舱,用于提高轰炸机的电子干扰能力,增强突防能力。 本文图均为 空军发布微信公众号 图
战鹰迅猛出击、导弹箭指强敌、电磁天网密布、多机兵种联合出击……11月下旬,空军“红剑-2017”体系对抗演习在西北某地打响,数十支航空、地导、雷达、电抗等兵机种部队布阵大漠,首次由两个空防基地开展全要素实战化红蓝体系对抗,探索体系作战融合之道,推动实战化军事训练向纵深发展,提高备战打仗能力。
“红剑-2017”演习是十九大之后空军全新组织的体系对抗,首次由基地和基地开展对抗。“此次演习打破过去空军组织、战区空军指挥班子带部队对抗做法,全面检验深化改革后‘基地-旅’体制下部队组织指挥作战能力,是对新体制区域空防基地职能使命拓展后的一次实践探索。”空军参谋部训练局领导介绍。
多型战机滑出停机棚
电磁干扰如影随行,侦察与反侦察、干扰与反干扰贯穿全程……记者在导演部指挥大厅看到,红方数架制空空防飞机在干扰机开辟的电磁走廊中迅速集结,根据预警机提供的信息支援,采取灵活战术突破“敌”层层火力网,一举摧毁蓝方重要目标。
“这次演习,参演兵力要素齐全,全程采取实兵实抗形式组织,层次高、背景实、规模大,对基地指挥班子体系作战指挥能力是一次全面锤炼和检验。”演习总导演景建峰深有感慨。与以往相比,今年“红剑”最大程度构建逼真战场环境,创新演练内容、组训模式和评估方法,实现预警指挥由地面向空中、导入强敌由常规干预向深度介入、加油保障由地面向空中等转变,强化“侦察预警、空中突击、伴随掩护、反辐射压制、随队干扰、远距支援”作战编组深度融合,破解作战重难点问题,锤炼战役指挥员和指挥班子复杂战场环境下的作战筹划水平和实际指挥应变能力,推动部队实战化训练形成体系合力。
列阵大漠,蓝天雄鹰从戈壁走向未来战场。
今年演习坚持“重检验不重评比、重实效不重形式、重检讨不重输赢”准则,强化问题导向,纯正演风训风,引入违背实战机理叫停机制,牵引部队由研究对抗对手向研究真实敌人转变、由关注输赢分数向关注能力短板转变,全面深化检讨反思机制,推动部队研究制胜机理、敌情我情和战场环境,提高新时代打赢能力。
“红剑”演习是空军战役层面全要素体系对抗,突出“任务、体系、电磁、未知、对抗、检讨”,不编脚本、不组织预演、不向部队提供战时无法提供的情报信息,全程背对背进行对抗,旨在最大限度提高部队实战能力。经过10多年发展,“红剑”体系对抗已实现从战术向战役转变,从单一兵种向多兵机种转变,从传统训练向信息化训练的转变,已成为空军“含战量”最高的实战化“训练品牌”。
空警-2000拔地而起
清晨,空警500预警机飞向作战空域。
空战结束后,歼11战机凯旋。
两名飞行员走下战鹰,边走边交流空战体会。
空战归来,带着胜利的喜悦走下战场
什么是攻防演练?网络安全攻防演练包含几个阶段?
对网络安全圈了解的人肯定都听说过“攻防演练”,它是检阅政企机构安全防护和应急处置能力的有效手段之一,而且每年国家都会举行实战攻防演练。那么网络安全中攻防演练分为哪5个阶段?以下是详细的内容介绍。
攻防演练保障工作不是一蹴而就,需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方,应按照以下五个阶段组织实施:
启动阶段:组建网络攻防演练保障团队并明确相关职责,制定工作计划、流程和具体方案。对信息网络架构进行梳理和分析,评估当前网络安全能力现状。对内外网的信息化资产进行梳理。
备战阶段:通过风险评估手段,对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案,配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。
临战阶段:制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。
保障阶段:依托安全保障中台,构建云地一体化联防联控安全保障体系,利用情报协同联动机制,持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。
总结阶段:对攻防演练工作进行经验总结和复盘,梳理总结报告,对演练中发现的问题进行优化改进和闭环处理。
急需小品。内容,战区重组,老兵回连队。
自己改一下吧
舞台后面响起部队集合的哨音和“立正、向右看齐,报数…”整理队伍的口令声。在这个背景下师长张思强身着士兵服装,佩戴列兵军衔,扛着扫把出场了。
师长:下连当兵一星期,基层情况正熟悉,今天全营开大会,我这肚子不争气----拉稀,只好缺席。留在连队当值日,接听电话、维护秩序,顺便也干点力所能及…(挥起扫帚扫营院)
(扫着扫着抬头面向观众)什么?你们问全营开什么动员大会呀?哦,是这么回事,为了实现强军目标,营里要参加全团组织的红蓝对抗演练,这次演练非同一般,全方位锻炼部队的“撤、走、进、打,吃、住、管、藏能力,完全是真枪实弹啊!这么跟你说吧:导弹要上架,子弹要上膛,刺刀要出鞘,战车要出壕。 哼!东洋倭寇、南洋海盗,一听就得吓跑,量他也不敢跟我们动武扒抄儿。
赵强军提着生活用品从医院偷偷回到连队。
新兵:入伍还未满一年,患了急性阑尾炎,手术三天刚拆线,偷偷摸摸跑回连,你问为什么?我要参加演练,强军也有我一份,这点小病就下线,那我就是孬种---丢脸。(小声对观众说)求您不要告诉我们连干,得了军功章啊,也分您一半儿。咦!人呢?
师长:(停下手中扫把)请问,您找谁?
新兵:你是谁?连队人呢?
师长:哦,我是连队老兵,我叫张思强。您是?
新兵:我是这个连队的主人,我叫赵强军。(说着,从上到下打量着这个一把年纪的老兵)你…你…还是个列兵?好像在哪见过,有点面熟…
师长:哦,可能是吧!您探家刚回?还是….(也从上到下打量着这个冒冒失失的新兵)
新兵:这个先保密,等会告诉你。怎么就一个人在家啊,其他人呢?参加演练的已经出发了?(着急状)
师长:没有,没有,去参加营里动员大会去了。
新兵:哦,那你怎么不去呀?
师长:我呀!我要去了,就有点像婆婆看着儿媳,他们放不开,有顾虑…
新兵:怎么的?
师长:怕他们在主席台上给我摆位置,我喜欢和战士一样坐马扎儿,腰杆儿挺直。最怕的是,随便讲几句就说是重要指示,完了后还要各连队贯彻落实,这不误事吗!干脆就….等会儿…(说着捂着肚子往厕所跑,到屏风后面去了)
新兵:呵!这个老兵真油条,说着说着往厕所跑,看军衔我俩是平级,等会出来和他好好聊一聊,看看到底是领导还是冒号,…依我看,肯定是关系兵上面往下戴的帽儿。…(稍停片刻)不过我一进门看到他,心里就一咯咚:年纪有点大、皮肤有点松、腰还有点弓,要不是穿军装,以为他是小时工…嘿嘿!(哈哈笑)
师长:(从屏风后面出来)哎呀,我的妈,一上午去三趟厕所了,这要是去会场还不得一会喊报告,一会喊报告…
新兵:真要去了会场,你就得忍一忍了….
师长:这不是别的,是可忍“屎”不可忍啊….要拉肚子没法忍。
新兵:你什么时调来我们连的,好像有点面熟啊!
师长:刚来一星期,过去有可能见过面。
新兵:你是通过关系调来我们连转志愿兵的吧?…你肯定有什么背景。
师长:怎么?调来个老兵就一定有背景?
新兵:那是啊!(稍停片刻)…这年头哪儿都有不正之风,部队也不是真空。
师长:你们连有吗?
新兵:哼!这个你打错了算盘,我们连转志愿兵可严了,五道关口你就过不去…
师长:哪五道关?
新兵:(扳着手指数)群众推荐要打分,支部研究要提名,考核考试要过硬,张榜公示亮身份,明查暗访查血清,看看是不关系兵。
师长:那要是呢?
新兵:淘汰出局快走人。
师长:嚯!还真严啊!很好嘛!
新兵:你来我们连转士官,那算是娶亲的走进动物园….
师长:怎么讲?
新兵:走错了门。
师长:那不一定,动物园的饲养员也能当新娘。
新兵:哎?你不是军务部门有关系,要不就是师团领导是亲戚,不可能无缘无故一老兵,跑到我们连来顶实力,为了达到你目的,学会了作秀假积极,跑肚拉稀还要来扫地…哼!
师长:哟喝!你这小战士这么看人有问题!你怎么认定我上面有关系?
新兵:要不就是,你在别的单位有违纪,受过处分降过级,换个单位来改造,否则不会假积极….
师长:我违纪?降过级?难道我脸上有痕迹?你这同志年轻气盛,开口讲话把人气。
新兵:看你像将军的年龄,戴着士兵的军衔,没受处分咋混这么惨?(稍停片刻)不过…看你黑皮肤络腮胡,肯定吃过不少苦….
师长:那是啊,不吃苦怎么带队伍?
新兵:你还带过队伍?这么说,你当过几天班长啊?
师长:这么跟你说吧,从班长到排长,年年上过光荣榜,从连长到营长,比武竞赛拿过奖,从团长到师长,正为强军摆擂场,你说我当兵多少年?入伍你可能还在穿开裆,…哈哈(大笑)
新兵:你…你摆的什么迷魂阵,越听越感到不对劲,人家从奴隶到将军,你是从大校到列兵,你没说前因和后果,我猜着,你错误犯的很不轻…要不,怎么成了天涯沦落人。
师长:这样吧,我的情况你别细问,等会自然会搞清。我问问你,我来连队一周了,从没见过你的人,你从哪来上哪去,怎么慌慌张张进营门?请你自我介绍一下。
新兵:好,(立正站好)我叫赵逃兵…(立即改口)不对不对,我叫赵强军,入伍大半年,军衔是列兵,得了阑尾炎,住院正养病,听说部队搞演练,我就动了心…
师长:决定当逃兵,是不?哦,病还没有好利索偷偷跑回的吧?
新兵:你怎么知道的?你也是…
师长:我是什么呀!一看你进门神色不对,两眼发直脸发灰,走路打嫣儿血气亏,身上有病心里有鬼。…(突然大声喊)赵逃兵…
新兵:(立正答)到!
师长:承认了吧!是逃兵不是?哈哈!蒙我?
新兵:(突然醒悟过来)哎?谁是赵逃兵啊?我叫赵强军,就是实现强军梦的那个强军。
师长:那我喊赵逃兵你答应什么啊?
新兵:我让你给忽悠蒙了。谁说我病没好偷偷跑回来的?
师长:我说的,你那走路的动作,一看就没好利索。
新兵:我走几步你看看,你看看(走起了正步,又换齐步)。
师长:那就听口令,(下达口令)赵强军…
新兵:到!
师长:面向我成一列横队集合。
新兵:是。(迅速跑到张思强面前站好)哎?就一人有成一列横队集合的吗?
师长:队列中不许讲话。
新兵:是。
师长:目标正前方50米,卧倒。
新兵:是。(伤口未好,有点难艰难的卧倒)
师长:匍匐前进。
新兵:是。(表情痛苦艰难的做了一下,停下了)报告,请求更换科目。
师长:停,起来。怎么样?不行了吧?病好利索了吗?
新兵:报告列兵,确实没好利索,但不影响参加对抗演练。
师长:还不影响?这就影响了。(用手指着他说)你…你,住院养病不安心,偷偷跑回为强军,你的想法很上进,可你没有身体作支撑,劝你马上回医院,输液吃药带打针,听命令,走…走(说着帮他收拾物品)
新兵:不…不,强军也有我一份。(与对方抢物品)再说了,你是列兵,我也是列兵,你不能给我下命令。
自己改一下吧
红蓝对抗之蓝队防守:ATT&CK框架的应用
文章来 源: HACK之道
企业大规模数字化转型的浪潮下,各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE(一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织)提出的ATTCK框架正是在这一过程中能够起到指导性作用的重要参考。
ATTCK框架在2019年的Gartner Security Risk Management Summit会上,被F-Secure评为十大关注热点。ATTCK是一套描述攻击者战术、技术和执行过程的共享知识库,能够关联已知的黑客组织、攻击工具、检测数据源和检测思路、缓解措施等内容。ATTCK能够全面覆盖洛克希德-马丁公司提出的Kill Chain内容,并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATTCK分为三个部分,分别是PRE-ATTCK,ATTCK for Enterprise和ATTCK for Mobile。其中,PRE-ATTCK包含的战术有优先级定义、选择目标、信息收集、脆弱性识别、攻击者开放性平台、建立和维护基础设施、人员的开发。ATTCK for Enterprise包括的战术有初始化访问、执行、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及黑客团伙的披露信息进行分析梳理的详细信息能够有效指导实战化的红蓝对抗,目前已在多个领域得到较好的应用。
在红蓝对抗中,防守方都可以按照事前、事中、事后三个阶段进行应对,在ATTCK框架的指导下实现安全体系建立、运营和提升的闭环改进。
一、准备阶段
攻击面评估
攻击面指企业在遭受内、外部入侵时可能的起始突破点或中间跳板,包括但不限于:对外提供业务的Web系统、邮件系统、VPN系统,对内提供服务的OA系统、运维系统、开发环境,员工使用的各类账号、办公终端等。
企业的攻击面是广泛存在的,在企业内进行攻击面评估属于信息收集和脆弱性识别的过程,能够帮助企业在早期应对攻击者入侵活动。该过程映射到攻击链中属于“侦察”阶段。
由于攻防的不对称性,在红蓝对抗中防守方往往处于弱势,攻击方只需要单点突破即可,而防守方需要建立覆盖所有攻击面的纵深防御体系,很难做到万无一失。但在 信息收集阶段,是为数不多的防守方占优的阶段,主要原因包括:
1. 攻击方只能通过互联网公开信息(Google、社交网站、Github)或传统社工方式获取部分企业信息,而防守方能够获得完整的企业内部信息,包括网络架构、业务系统、资产信息、员工信息等等,掌握以上信息不但能够梳理潜在入侵点、发现防御中的薄弱环节,还能够结合诱骗或欺诈技术(Deception,如蜜罐),在攻击者能够获取到的信息中埋点,实现类似软件“动态污染”的检测和追踪效果。
2. 攻击面评估能够在特定阶段(如重保时期)通过采取更严格的管控措施降低入侵风险, 通过有限的代价获取最大攻击者入侵难度提升 ,具有很高的投资回报率。例如,获取VPN通道,相当于突破了企业传统的防护边界,直接获取内网漫游的权限。在特定情况下,通过增强VPN防护,能够大大缩减攻击者入侵成功的可能性。突破VPN主要有2种方式,利用VPN服务器本身的漏洞或通过合法VPN账号入侵。对于第一种方式,关注VPN厂商漏洞披露信息、做好补丁升级管理,能够有效减少大部分威胁;对于利用0day漏洞攻击VPN获取远程访问权限的场景,通过VPN自身日志审计的方式,关联VPN账号新建、变更及VPN服务器自身发起的访问内网的流量,也能够及时发现未知的漏洞攻击行为。对于第二种攻击VPN合法账号的入侵方式,增加VPN账号的口令复杂度要求、临时要求修改VPN账号口令并增加双因子验证(如绑定手机号短信验证),都可以在牺牲部分用户体验的情况下极大削减攻击者攻击成功的可能性。
ATTCK框架内所有攻击技术都有对应的攻击目的和执行攻击所需的环境、依赖,对其分解可以提取每项攻击技术适用的攻击对象,参照企业内的资产和服务,评估攻击面暴露情况和风险等级,能够帮助制定有效的攻击面缩减、消除或监控手段。例如,防守方需要在红蓝对抗前检查企业内部的共享目录、文件服务器、BYOD设备是否符合安全基线要求,是否存在敏感信息,并针对这些内容设定合规性要求和强制措施,以缩减该攻击面暴露情况。
综上,ATTCK框架可以帮助防守方了解攻击目标、提炼攻击面并制定攻击面缩减手段,同时也能够通过攻击面评估为后续增强威胁感知能力、总结防御差距、制定改进方案提供参考标准。
威胁感知体系建立
传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系,无法及时有效地监测威胁事件、安全风险和入侵过程。威胁感知体系的建立,可以有效地把孤立的安全防御和安全审计手段串联起来,形成完整的企业安全态势,为防守方实现实时威胁监控、安全分析、响应处置提供基础。建立威胁感知体系主要包括以下准备工作:
1.数据源梳理: 数据是实现安全可见性的基础元素,缺少多维度和高质量的数据会严重影响监控覆盖面;同时,很多企业会为了满足网络安全法、等保标准等法律和标准要求存储大量设备、系统和业务日志数据。因此,在数据源的规划、管理上,由威胁驱动的数据源需求和由合规驱动的日志数据留存,存在匹配度低、使用率低、有效性低的诸多问题,需要防守方加以解决。
* We can’t detect what we can’t see.
在进行数据源规划时,需根据企业实际存在的攻击面、威胁场景和风险情况进行设计。例如:针对员工邮箱账号可能会遭受攻击者暴力破解、泄露社工库撞库的风险,需要采集哪些数据?首先需要考虑企业实际的邮件系统情况,比如使用自建的Exchange邮件服务,需要采集的数据包括:Exchange邮件追踪日志、IIS中间件日志、SMTP/POP3/IMAP等邮件协议日志。其次还需要具体考虑攻击者是通过OWA访问页面爆破?还是通过邮件协议认证爆破?还是通过Webmail或客户端接口撞库?不同的企业开放的邮箱访问方式不同,暴露的攻击面和遭受的攻击方法也有所区别,需要根据实情梳理所需的数据源。
在数据源梳理上,由于涉及到的威胁类型、攻击方法众多,考虑周全很困难,可以通过参考ATTCK框架选取企业相关的攻击技术,统计所需的数据源类型,并梳理数据源采集、接入优先级。关于数据源优先级筛选,2019年MITRE ATTCKcon 2.0会议上Red Canary发布的议题:Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使用的频率做了Top 10排序,如下图所示:
该统计结果并未考虑企业实际攻击面范围、数据源获取的难易程度等,不应生搬硬套照抄。但在大部分情况下可以考虑先构建包括网络镜像流量、终端行为审计日志、关键应用服务日志在内的基础数据源的采集规划,再通过实际的检测效果增强补充。
2. 检测规则开发:大数据智能安全平台(或参考Gartner所提的Modern SIEM架构)已逐步取代传统的SIEM产品,成为企业威胁感知体系的核心大脑。传统的攻击检测方法大多是基于特征签名(Signature),采用IOC碰撞的方式执行,在实际攻防对抗过程中存在告警噪音过多、漏报严重、外部情报数据和特征库更新不及时等问题,且在防守方看来无法做到检测效果的衡量和能力评估。因此,新的检测理念需要从行为和动机出发,针对攻击者可能执行的操作完善审计和监控机制,再采用大数据关联分析的方式去识别攻击活动。
ATTCK框架在这里就起到了非常重要的参考作用,框架中的每项攻击技术,知识库都描述了相应的检测手段和过程,以T1110暴力破解为例,其Detection描述如下图所示。
虽然没有抽象出具体检测方法、检测规则,但提炼出了需要监控的设备以及能够提炼攻击痕迹的日志。参考这部分描述,防守方能高效的通过相关资料收集、内部攻击技术模拟、特征提炼等方式完成检测方法和检测规则的开发、部署、测试。此外,高级持续性威胁(APT)使用了较多的白利用技术,无法有效区分攻击者和普通工作人员。但通过开发检测规则对数据源进行过滤提炼,打上技术标签,后续再综合所有异常行为能够发现此类攻击活动。这样再与传统的检测方法结合,就提供了更加有效的补充手段。
综上,威胁感知体系的建立,需要通过数据源梳理和检测规则开发来完成基础准备工作,ATTCK框架可以帮助防守方快速了解所需数据源、并协助开发对应的检测规则,使防守方脱离安全可见性盲区,实现安全防护能力的可量化、可改进。
内部模拟对抗
为摸清目前网络安全防御能力并找出薄弱点,部分企业会进行内部红蓝对抗模拟演练,ATTCK知识库在模拟红队攻击、组织内部对抗预演上具有非常高的参考价值。
1.红队技术指导:ATTCK框架包含了266种攻击技术描述,模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时,可以通过参考并复现“发现”、“收集”战术目的下的攻击技术,对内网暴露的攻击面逐一测试;在开展模拟场景演练时,可以挑选不同的战术目的制定模拟攻击流程,从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例,攻击技术链包括:钓鱼 - hta执行 - 服务驻留 - 凭证获取 - 远程系统发现 - 管理员共享,如下图红色链路所示。
2. 蓝队效果评估:内部模拟对抗是企业防守方检查实际威胁感知能力的最佳手段,对蓝队来说具有查漏补缺的效果。攻击行为是否被记录、检测规则是否有效、有无绕过或误报、攻击面梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时,防守方也可以通过模拟演练提炼极端情况下的缓解预案,包括:临时增加防御拦截措施、增加业务访问管控要求、加强人员安全意识教育和基线管理等。
综上,内部模拟是红蓝对抗实战阶段验证所有准备工作有效性的手段,作为大考前的模拟考,对防守方具有很大的查漏补缺、优化完善的作用,而ATTCK框架在这个阶段,对模拟红队攻击、协助蓝队查找问题都起到了参考作用。
二、开展阶段
准备过程越充分,在实际红蓝对抗行动开展阶段对防守方来说就越轻松。经过验证的威胁感知体系在这里将起到主导作用。
资产风险监控
除了封堵、上报潜在的红队攻击IP外,对于已突破边界防护进入内网漫游阶段的攻击者,基于ATTCK框架能够有效识别资产(终端/服务器)风险,发现疑似被攻陷的内网主机。
通过为每个资产创建独立的ATTCK主机威胁分布矩阵图,汇聚该主机上近期被检测到的所有攻击技术活动,然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型,监控主机是否失陷。异常模型从以下三个维度识别攻击:
1.攻击技术分布异常:多个战术下发生攻击、某个战术下发生多个不同攻击等。
2. 攻击技术数量异常:主机上检测到大量攻击技术,与基线对比偏差很大。
3. 特定高置信度失陷指标:主机上触发了高置信度规则检测到的高风险告警(传统的Trigger机制)。
以下图为例,主机短时间内触发一系列“发现”战术下的攻击技术,这在日常运维中是较为少见的,与该主机或同类型主机基线对比偏差非常大。在受害主机被控制后可能会执行大量此类操作,故该机器风险很高,判定为失陷/高危资产。
可疑进程判定与溯源
根据采集的终端行为日志(包括:进程活动、注册表活动、文件活动和网络活动),可以通过唯一进程ID(GUID)进行父子进程关联操作。当发现可疑进程活动时,能够回溯该进程的进程树,向上直到系统初始调用进程,向下包含所有子进程,并且为进程树中所有可疑进程添加ATTCK攻击技术标签,如网络请求、域名请求、文件释放等丰富化信息,帮助防守方的安全分析人员判断该进程是否可疑并及时采取处置措施。
以下图为例,发现可疑进程wscript.exe后溯源其进程树,其中标记了感叹号的子进程为命中了ATTCK攻击技术的进程,无感叹号的子进程也属于该可疑进程树下,有可能是攻击者利用的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展示的信息,可以直观发现wscript进程及其派生的powershell进程存在大量可疑行为,这些进程信息也为后续联动终端防护软件处置或人工上机排查处置提供了充足的信息。
应急响应对接
在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令行、进程创建文件、进程网络连接等信息提交给应急响应组进行清除工作。应急响应组通过以上信息可以快速在主机上处置并开展入侵路径分析,通过回溯攻击者入侵植入木马的手段,进一步排查是否存在数据缺失、规则缺失导致的攻击漏报;并通过关联所有具有相似行为的终端,确认是否存在其他未知失陷资产。
以上基于ATTCK框架建立的资产风险监控和可疑进程判定方法,能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹,并为溯源和应急响应处置提供数据支撑。而这些都脱离不了以威胁感知体系为核心的蓝队建设思路,更多与ATTCK框架适配的应用方法也会在后续不断丰富、增强。
三、复盘阶段
防御效果评估
在红蓝对抗结束复盘阶段,防守方对防御效果的评估是非常重要的环节。具体包括以下内容:
安全设备漏报分析:结合攻击方提供的报告,把各个攻击类型归属到相应的安全检测设备,查看相关设备的告警与报告中的攻击过程是否匹配,分析当前安全设备检测能力,较低检出率的设备需要后续协调厂商优化、更新规则等,以加强完善。
规则误报调优:在红蓝对抗开展阶段,为了确保对攻击方攻击过程的全面覆盖检测,通常会采用限制条件较宽松的规则检测模式,以防漏报对防守方造成的失分影响。例如,对暴力破解场景,触发告警的连续登录失败请求阈值可能设定的较低;对Webshell植入场景,可能对所有尝试上传动态脚本文件的行为都做监控或拦截,以防攻击者通过一些编码、混淆的方式绕过特征检测等。这些限制条件宽松的检测规则,在红蓝对抗过程中能够尽量减少攻击漏报,具有比较好的效果;但同时,由于限制不严导致的告警噪音也会随之增加。在红蓝对抗结束复盘过程中,需要对产生误报的数据和误报原因进行统计分析,完善检测规则逻辑、边界条件限制,配置适当的白名单过滤,为后续能够日常运营提供更具备可操作性和更实用的威胁检测规则。
攻击面再评估和数据可见性分析:在红蓝对抗准备和红蓝对抗开展阶段,防守方和攻击方分别进行了攻击面评估、攻击目标信息收集的工作,因此在复盘阶段可以通过对比双方掌握的攻击面信息和攻击目标的选择,来挖掘是否存在先前遗漏的边缘资产、未知攻击面,通过攻方视角查漏补缺。同时对遗漏的攻击面可以做相关的数据源需求分析,补充缺失的数据可见性和威胁感知能力。
防御差距评估与改进:针对红蓝对抗中发现的薄弱环节,防守方可以提炼改进目标、指导后续的安全建设工作。由于不同企业存在的攻击面差异性较大,重点关注的核心资产、靶标也有所差别,在准备过程中可能根据优先级选择了比较关键的几个领域优先开展,而通过红蓝对抗发现的其他薄弱环节,为后续开展哪些方向的工作提供了参考。例如,重点加强生产环境安全防护的,可能忽略了员工安全意识培训,导致被攻击者钓鱼的方式突破入侵;重点关注网站安全的,可能忽略了服务器存在其他暴露在外的端口或服务,被攻击者通过探测发现,利用已知漏洞或0day漏洞控制服务器绕过。结合ATTCK框架补充对应的数据源和攻击技术检测手段,可以快速补足这方面的遗漏。
防御效果评估是红蓝对抗复盘阶段重要的总结过程,也为后续持续优化改进提供参考。在这里ATTCK框架起到的作用主要是统一攻防双方语言,将每一个攻击事件拆分成双方都可理解的技术和过程,为红蓝对抗走向红蓝合作提供可能。