红队作为网络攻防演练的防守方,通过实战提升安全防护能力,从被动防御转向主动对抗。红队与安全运营团队、攻防专家等多方协作,强化监测和反制措施。紫队则负责组织和协调攻防演练,推动演练的常态化、实战化。实战攻防演练暴露出互联网未知资产、内部安全域隔离、应用系统漏洞、敏感信息泄露等问题,强调网络安全防御体系的完善与进化。
红队
什么是红队
红队,是指网络实战攻防演练中的防守一方。
红队一般是以参演单位现有的网络安全防护体系为基础,在实战 攻防演练期间组建的防守队伍。红队的主要工作包括演练前安全检 查、整改与加固,演练期间网络安全监测、预警、分析、验证、处 置,演练后期复盘和总结现有防护工作中的不足之处,为后续常态化 的网络安全防护措施提供优化依据等。
实战攻防演练时,红队通常会在日常安全运维工作的基础上以实 战思维进一步加强安全防护措施,包括提升管理组织规格、扩大威胁 监控范围、完善监测与防护手段、加快安全分析频率、提高应急响应 速度、增强溯源反制能力、建立情报搜集利用机制等,进而提升整体 防守能力。
需要特别说明的是,红队并不是由实战演练中目标系统运营单位 一家独力组建的,而是由目标系统运营单位、安全运营团队、攻防专 家、安全厂商、软件开发商、网络运维队伍、云提供商等多方共同组 成的。组成红队的各个团队在演练中的角色与分工情况如下。
- 目标系统运营单位:负责红队整体的指挥、组织和协调。
- 安全运营团队:负责整体防护和攻击监控工作。
- 攻防专家:负责对安全监控中发现的可疑攻击进行分析和研 判,指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系 列工作。
- 安全厂商:负责对自身产品的可用性、可靠性和防护监控策略进行调整。
- 软件开发商:负责对自身系统进行安全加固、监控,配合攻防 专家对发现的安全问题进行整改。
- 网络运维队伍:负责配合攻防专家进行网络架构安全维护、网 络出口整体优化、网络监控以及溯源等工作。
- 云提供商(如有):负责对自身云系统进行安全加固,对云上 系统的安全性进行监控,同时协助攻防专家对发现的问题进行整改。
- 其他:某些情况下还会有其他组成人员,需要根据实际情况分 配具体工作。
特别强调,对于红队来说,了解对手(蓝队)的情况非常重要, 正所谓“知彼才能知己”。从攻击角度出发,了解攻击队的思路与打 法,了解攻击队的思维,并结合本单位实际网络环境、运营管理情 况,制定相应的技术防御和响应机制,才能在防守过程中争取到更大 的主动权。
红队演变趋势
2016年和2017年,由于监管单位的推动,部分单位开始逐步参与 监管单位组织的实战攻防演练。这个阶段各单位主要作为防守方参加 演练。到了2018年和2019年,实战攻防演练不论单场演练的参演单位 数量、攻击队伍数量,还是攻守双方的技术能力等都迅速增强。实战 攻防演练已经成为公认的检验各单位网络安全建设水平和安全防护能 力的重要手段,各单位也从以往单纯参与监管单位组织的演练逐渐转 变,开始自行组织内部演练或联合组织行业演练。
2020年后,随着在实战攻防演练中真刀实枪地不断对抗和磨砺, 攻守双方都取得了快速发展和进步。迫于攻击队技战法迅速发展带来 的压力,防守队也发生了很大的变化。
- 防守重心扩大
2020年之前的实战攻防演练主要以攻陷靶标系统为目标,达到发 现防守队安全建设和防护短板、提升各单位安全意识的目的。攻击队 的主要得分点是拿下靶标系统和路径中的关键集权系统、服务器等权 限,在非靶标系统上得分很少。因此,防守队的防守重心往往会聚焦 到靶标系统及相关路径资产上。
大部分参加过实战攻防演练的单位对自身的安全问题和短板已经 有了充分认识,也都开展了安全建设整改工作,它们急需通过实战攻 防演练检验更多重要系统的安全性,并更全面地发现安全风险。因 此,从2020年开始,不论监管单位还是单位自身,在组织攻防演练 时,都会逐步降低演练中靶标系统的权重,鼓励攻击更多的单位和系 统,发现更多的问题和风险。同样,防守队的防守重心也就从以靶标 系统为主,扩大到所有的重要业务系统、重要设备和资产、相关上下 级单位。
- 持续加强监测防护手段
最低0.47元/天 解锁文章
扫一扫
7949
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
