红蓝攻防实战技术———实战化运营体系的落地

herosunly

于 2024-09-29 13:36:20 发布

阅读量428

点赞数 21

分类专栏：优质书籍推荐文章标签：网络安全红蓝对抗攻防实战运营体系落地书籍推荐

本文链接：https://blog.csdn.net/herosunly/article/details/142633281

版权

优质书籍推荐专栏收录该内容

28 篇文章 7 订阅

订阅专栏

大家好，我是herosunly。985院校硕士毕业，现担任算法研究员一职，热衷于大模型算法的研究与应用。曾担任百度千帆大模型比赛、BPAA算法大赛评委，编写微软OpenAI考试认证指导手册。曾获得阿里云天池比赛第一名，CCF比赛第二名，科大讯飞比赛第三名。授权多项发明专利。对机器学习和深度学习拥有自己独到的见解。曾经辅导过若干个非计算机专业的学生进入到算法行业就业。希望和大家一起成长进步。

本文主要介绍了红蓝攻防实战技术———实战化运营体系的落地，希望对学习网络安全的同学们有所帮助。

在探讨面向实战的常态化安全运营体系建设之前，我们先来明确一下安全运营的定义。安全运营是为了实现组织的安全目标，提出安全解决构想、验证效果、分析问题、诊断问题、协调资源、解决问题并持续迭代优化的统筹管理过程，是为了满足组织信息安全的动态性、持续性和整体性需求，保持和提升安全状态与安全能力的过程。

1. 实战化安全运营体系建设理念

在面临不同的安全场景时，企业的防御体系需要选择不同的安全防护模式。例如在临时演练期间，企业的防御体系通常会选用一系列的防护技术来构成，在这个场景下，企业更多地考虑是技术的互补、产品能力的异构等，为了成绩而投入大量资源。但在日常工作中，企业的安全建设不仅仅是安全产品和技术的堆叠，更需要考虑安全与业务的平衡、安全资源的有效整合，以及如何使有限的投入发挥最大的价值 (如图1所示)。

因此，我们认为企业应建设一套防护体系，将网络安全工作体系化，通过制定不同的防御策略，来应对各种企业可能面临的安全风险。在这个需求下，面向实战的常态化安全运营体系应运而生。搭建一套安全运营平台、实现全网安全设备数据集中管控，及安全态势数据可视化展示，为网络安全管理工作提供数据支撑。建立一个安全运营体系，贯穿预警、防护、监测、响应和处置各环节，实现资产、漏洞、威胁闭环管理，降低业务安全风险。打造一支高效的安全运营团队，立足实战化能力建设，提升网络安全防护水平，保障业务平稳运行。

通过安全运营建设，将攻防演习启动、备战、演练、保障、总结阶段的工作落实到常态化规划、建设、运营，并通过统一和协调企业的技术工具、人员能力、流程规范，对企业在实战期间及日常面临的安全风险进行识别、防御、检测、响应、恢复等全方位的安全运营防护，持续提升威胁感知和事件响应能力，降低威胁处置时间以及企业面临的安全风险，实现可持续安全运营保障。

图1.攻防演习对比常态化安全工作

2. 从临时演练防护模式到运营体系建设

很多企业在大型演练活动结束之后，都面临着资源的投入无法维持 (如临时部署的设备需下线、临时投入的人员需离场)；制度难以继续推行，恢复日常模式后，安全对业务的影响容忍度大大降低等问题。企业安全水平也随之回到最初的起点，再次遇到攻防演练活动时，企业还需继续从头开始。

通过打造常态化安全运营体系，借助安全运营将突击性的演习保障工作转化为常态化、实战化、体系化的安全运营能力。在演习成果的基础上进一步提升企业安全水平，保障业务安全，将演习的价值最大化。

但建设一个适合企业实际情况的常态化运营体系，仅靠攻防演练成果参考略显单薄。在安全运营建设前期，通常引入“安全运营能力成熟度模型”这一内容，对企业的安全运营情况做一次评估。通过评估定位当前安全运营水平，安全运营能力成熟度，发现企业当前存在的短板，明确企业安全运营需达成目标后，制定后续的运营建设方案。本文主要描述常态化运营体系中基本流程体系建设，根据以往的实践，本文所涉及的建设内容对标运营能力成熟度3级，企业可根据自身运营能力成熟度及目标调整建设内容。

以下为国内某网络安全公司安全运营能力成熟度模型 (如图2所示)，以及成熟度各级别对应的运营状态 (如图3所示)。

图2.某网络安全公司安全运营能力成熟度模型

图3.安全运营能力成熟度级别对应运营状态

推荐阅读

绿盟科技-梅花K战队****倾力之作

从红蓝双方的视角对实战对抗过程及案例深度剖析

重点讲解前沿攻防技术手段以及基于实战的防御体系建设思路

3. 为什么要写这本书？

最早萌生写这本书的想法，是2019年战队成立之际，我与几个战队创始人及核心骨干坐在一起讨论，要打造一支怎样的攻防队伍，我们要如何向业界，发出自己惊雷般的声音。很快，我们就确认了“以攻促防，以攻塑防”的技术理念。这在当时骈兴错出的攻防实验室和团队里面，并不特殊，但我们并不只是喊喊口号，而是要坚定地朝着攻防转换的研究方向去发展，用最直接的成果和应用来证明我们的技术理念。

因此，我们分别设立了以高级攻击技术研究、攻击自动化以及基于ATT&CK框架的专业红队评估为目标的实战攻防小组，以及专注于前沿检测与防护技术研究、产品对抗能力提升、防御能力度量以及威胁分析与狩猎的威胁对抗小组。

“攻”，我们要在有限的资源下做到行业领先，在过去的几年时间里战队在各级实战攻防演练和赛事中屡获佳绩，并且实现了“K”系列全攻击阶段行动的武器化自研；“防”，我们要做到技术前沿和能力落地，战队将“灵”系列的防御能力评估与验证、域攻击检测、Webshell检测引擎、加密流量检测以及高频攻击场景的检测能力输入至安全产品侧，并连续多年在实战中成功击退攻击组织及顶级队伍。我们在实战中锻炼队伍，验证成果，同时在攻防之间进行所需研究的方向和技术的突破，持续循环。

这本书既蕴含了梅花K战队过去几年的一部分沉淀，也象征着我们秉持最初的技术理念，想要分享给业界和从业人员的声音。

时至今日，攻防之间如何转换，依然是横在各大攻防团队从技术研究到实现价值之间的一堵墙，我们需要一种有力的武器，突破攻防之间的这道墙，让攻防之间不只是对抗，还有思想的融合。我们有幸，在“以攻促防，以攻塑防”的技术理念中走出了自己的道路并有了不少的收获。希望这本书能够成为读者手中趁手的兵器，打破攻防之间的鸿沟。

读者对象为参加攻防对抗的网络安全人员、甲方企业信息安全部门从业人员、其他对网络安全感兴趣的读者。