关于如何更好地呈现红蓝对抗价值的思考

前言

虽然红蓝对抗机制和蓝军团队建设的经验和思考笔者已经通过不同渠道（博客、公众号、公开演讲等）多次分享了，但是今天这篇文章主要是谈一谈关于如何更好地呈现红蓝对抗的价值。

【----帮助网安学习，以下所有学习资料文末免费领！----】

众所周知，近几年由于国家政府的重视红蓝对抗已经开始在国内各大组织和企业内蓬勃发展，但是笔者发现国内在运用红蓝对抗的价值呈现上还是有待提高的。纵观当前国内的情况，大家更重视这种形式的直接结果，如发现了几个漏洞之类的，却似乎很少公开提及如何将红蓝对抗更深次的价值呈现出来，这既包括横向上对防守团队的防御体系建设的促进，也包括纵向上对管理层的红蓝对抗价值呈现的理解。

笔者近年来一直在从事红蓝对抗机制和团队的建设，也在平时的工作中经常思考如何更好将红蓝对抗结果的价值呈现最大化，负责过蓝军建设的同学一定会或多或少被问到过类似的问题，即 “红蓝对抗对企业到底有多大价值？如何量化体现？”。

一般的红蓝对抗的流程会在复盘阶段的《红蓝演练行动报告》和《复盘总结报告》中呈现红蓝对抗的结果价值，按照笔者的经验大多数情况下这两个报告一般会包括如下几方面内容：

• 攻击过程与时间线
• 发现的关键漏洞和修复建议
• 发现的关键安全问题和改进建议

但是这些仅仅反映了单次红蓝演练行动中发现或者暴露的问题，而大多数情况下最终会被体现为演练过程中发现了哪些漏洞的问题。对于处于红蓝对抗演练初级或者早期阶段的企业或者组织来说，或许比较能给管理层带来短暂的震撼和重视，但是经历了多次演练后就可能会面临一些“漏洞审美疲劳”的问题，诸如：

• 蓝军发现的这些漏洞是已知漏洞
• 蓝军的这些攻击方式是已知攻击路径
• 蓝军发现的这些安全问题是已知问题，且并不关键

那么如何避免由于将红蓝对抗的结果呈现单纯漏洞化而导致非蓝军人员或者管理层片面地以为红蓝对抗就是找漏洞的误解，笔者认为应该从红蓝对抗的本质出发，我们都知道以攻促防是红蓝对抗的本质，因此需要蓝军从业人员懂得从方法论设计、根因分析模型、数据量化分析等维度来深度呈现红蓝对抗的价值。

首先我们来看看国外同行是如何从这几个维度来实践的。

方法论设计

洛克希德马丁的Kill-Chain模型就是典型的红蓝对抗的方法论，其将攻击者的思考逻辑抽象成具体的攻击步骤，指导攻击者实施攻击，同时也帮助防守者理解攻击思维。

根因分析模型

MITRE的ATT&CK则是一个标准的根因分析模型，遵循Kill-Chain方法论通过解构攻击过程中具体的TTPs让不从事攻击的人员也可以理解攻击者思维及具体的攻击过程从而做到“知己知彼”。

数据量化分析

FireEye的攻击生命周期模型（https://www.arrow.com/ecs-media/16352/fireeye-rpt-mtrends-2021.pdf）是利用数据思维量化分析攻击过程中最容易被攻击者青睐的TOP攻击点从而为防守者提供防御投入的数据依据。

通过研究和学习以上国外同行在红蓝对抗价值呈现的经验并结合自身的经历，笔者这几年也提出并实践了一套红蓝对抗价值呈现模型即红蓝对抗飞轮模型，并尝试将实战红蓝对抗演练行动解构成多个单点的攻击技术点，再通过数据统计方法挖掘防御的薄弱点，最后结合业界最佳实践提出针对性的防御体系改进建议。

红蓝对抗飞轮模型

红蓝对抗飞轮模型即实施红蓝对抗行动，从每次行动中梳理攻击路径，将攻击路径中的攻击技术点映射到MITRE的ATT&CK矩阵（也可以是组织或者企业内部自建的ATT&CK矩阵）中的TTPs上，根据映射后的攻击TTPs识别相应的安全问题，按照FireEye的攻击生命周期模型统计多次行动中的TTPs的使用频率或次数总结出共性安全问题，最后针对数据量化分析后的共性问题结合业界最佳实践提出改进建议。

0x00 实施红蓝对抗、发现攻击路径

0x01 映射攻击TTPs、识别安全问题

0x02 统计共性问题

0x03 改进防御体系

根据该模型，我们便可以建立起一个包含了方法论设计、根因分析模型及数据量化分析为一体的红蓝对抗价值呈现体系。利用这一套体系建立起横向和纵向的价值呈现标准和语言，用数据量化体现红蓝对抗的价值。

拿下思科/华为认证之后，身为普通的你可以：

跨越90%企业的招聘硬门槛

增加70%就业机会

拿下BAT全国TOP100大厂敲门砖

体系化得到网络技术硬实力

IE大佬年薪可达30w+

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

CTF比赛视频+题库+答案汇总

实战训练营

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
【点此链接】领取