作者:知白守黑
链接:https://www.zhihu.com/question/541712707/answer/2952902775
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
如今的安全团队如同彩虹一般,有红队、蓝队、以及紫队。虽说每个团队都有其独特的视角和任务,但蓝队的任务被公认为是最为关键的部分。他们保护着组织免受网络安全威胁和漏洞的伤害。
为此,蓝队必须对组织的业务需求、任务需求、存在的相关威胁、数字足迹以及相关漏洞都有所了解。从这些方面下手,蓝队可以通过实施安全控制和补救措施来解决最为紧迫的威胁,从而加强组织的安全态势。
正如,Aquia公司的高级安全工程师兼紫队领袖,Maril Vernon对紫队的评价那样:蓝队的组成部分远不止SOC分析师和IT运营部门。从商业信息安全官(Business Information Security Officer ,BISO)到网络威胁情报(Cyber Threat Intelligence,CTI)团队,再到企业风险和业务连续性计划(Business Continuity Plan,BCP)的专业人员,他们都属于蓝队的范畴。并且,甚至红队也是在为蓝队的工作而提供服务。每个组织在努力去主动改善组织的安全性,并试图通过某种方式来验证。在紫队的练习中,最关键并且最重要的部分就是识别出合适的蓝队成员,将其整合到一起,并真正意义上地将对抗的目标、心态以及谍报技术传授给他们。蓝队在不同级别上分别构成了第一、第二以及第三道防线,组织并不想冒险地去完全相信其中任何一个的能力。通常,安全事件发生得突然,并不会给我们过多的反应时间去识别、纠正以及控制。谁都不想与对手进行公平的竞争,而蓝队的成熟就是组织创造优势的方式。
为了执行关键的任务,以下是蓝队可以采取的6个最佳实践:
1、采用网络安全架构
每当提到网络安全框架,想必一定会有人感到不屑。但是如果没有安全框架,组织就很难成功地去制定和实施一个连贯的网络安全计划。如今市面上不乏一些现成的网络安全框架,其中NIST的CSF(Cybersecurity Framework)和RMF(Risk Management Framework)被引用得最为广泛。
例如,NIST的 CSF供了一个降低组织网络安全威胁的指导方针,其中涵盖了识别、保护、检测、响应以及修复等基本方面。每当风险与威胁出现时,组织都会多次经历这些阶段。CSF的独特之处就在于它支持使用配置文件,这有助于组织对CSF进行优化,从而使其与行业和组织保持一致。并且CSF还具有若干个示例配置文件可供组织进行选择。
2、对需要保护的资产有一个清晰的意识和了解
如果对需要保护的资产没有清晰的意识和了解的话,那么所有的网络安全程序都会失去其效用价值。这就是为什么多年以来,对于硬件和软件资产库存的控制一直是CIS安全控制的基础内容。
组织无法保护那些自己看不到的或者未意识到的东西,这是网络安全领域的一个基本事实。在当今云驱动的环境中,传统的资产正逐渐变得由软件定义,并存在于云服务提供商(Cloud Service Provider,CSP)的环境中。并且随着虚拟端点的普遍应用,这一点也同样适用于终端。另一方面,可视性适用于组织中所有类型的资产,无论是物理资产还是虚拟资产。
3、降低噪音
如今的蓝队面临着无数的工具、平台和资源,以覆盖他们所需要监控和保护的环境。这就意味着会有一系列繁杂的预警与通知来分散蓝队的注意力和认知能力,甚至耗尽他们的士气。要使蓝队发挥其最大价值就必须尽可能地减少误报、重复的预警以及非增值的通知,这些都会将蓝队的注意力从真正紧要的威胁和风险上分散开。为了做到这一点,蓝队可以合理应用工具组来消除重复的预警,并确保团队能够接收和响应高保真的数据。
4、选择团队能够掌握并有效利用的工具
网络安全团队的领袖能够意识到有必要去采购并实施各种工具来抵御相关的威胁和风险,这是完全正确的选择。因为确实存在着大量的风险,正在威胁着组织的安全。根据相关研究,尽管安全工具的数量正迅速增长,但有关指标却显示,这些工具并未产生预期的效果。例如,Ponemon的报告显示,每个组织都平均在使用40多种安全工具,然而安全团队的成员却表示自己并不清楚这些工具的真实效果。Market Cube的一项研究指出,团队增添工具的速度要远快于有效使用它们的速度。
更讽刺的是,维护这些工具的负担正不断危害着对威胁的响应以及最终的安全态势。每一种工具的引入都会增加整个团队的认知负荷。学习和了解这些工具、条例并对其进行配置都需要花费时间,并且后续还需要对其进行监控,以切实地利用其遥感技术。
网络安全中的倦怠与认知超负荷是一个值得关注的问题,不仅因为它们会消耗团队的精力与士气,并且,处理太多的工具就意味着用来优化工具和降低组织风险的时间也会随之减少。因此,工具的扩张并非可以降低威胁,反而是加剧了组织的安全风险。另一方面,这些工具本身也属于组织攻击面的一部分,通常情况下会存在着一些可被恶意分子利用的高级权限。
5、站在对手的角度看待问题
在网络安全行业,安全团队的专业人士时常会提及这么一个比喻:“要像黑客一样思考。”该比喻非常直观,要抵御对手的攻击,就需要了解敌人的真实想法。想要做到这一点,最好的办法就是站在他们的角度来看待问题。
这意味着需要花一些时间来从攻击的角度进行练习,对于蓝队的专业人员来说着是很有价值的。了解攻击者所使用的相关工具、策略与程序可以帮助蓝队的专业人员搞清楚该如何进行防御活动。一些人认为可以通过获取一些实际的攻击经验,来更好地站在攻击者的角度来思考问题。然而,并不是说要去正式地成为一名黑客,或着是针对真实存在的目标来进行攻击。通常情况下,这些可以通过攻防演练或参加CTF来实现。
6、像训练一样战斗
二战时期的美国将军乔治•巴顿曾说过:“要像训练一样战斗。”在强压之下,组织或个人并不会奇迹般地崛起,反而是会回归到他们训练时的水平。这解释了为什么说定期的严格训练如此重要。并且训练不仅仅是指桌面练习或书面练习,它更多指的是真正的红队训练与经验。这是一种成熟的方法。它迫使组织不仅要预测自己在事件检测、恶意行为预防以及最终的攻击抵御等方面的准备程度,而且还需要去验证这些准备是否充足。战斗训练可以更好地对组织的安全团队进行武装,从而为面临现实世界的威胁做充足的准备。
网络安全技术的本质是对抗。红蓝攻防演练是一个持续的过程,是攻击技术手段同防御技术策略同步升级发展的过程。随着新的攻击技术和攻击手段的层出不穷,以及攻击规模和组织性程度的不断升级,防守方也应在管理、技术以及运行等多方面构建起协调一致、全面联合的实战化安全体系,从而在防守过程中争取到更多的优势与主动权。
`黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
600
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
