边界无限陈佩文:红蓝对抗安全演练常态化的各方分析

虽然常态化演练尚未正式开始,但我们仍然希望对各方的表现进行一些分析和预测,以辅助我们对市场的判断和决策。同时,也希望通过这些初步的见解,抛砖引玉,引发更多有价值的讨论和观点。

“船停在码头是最安全的,但那不是造船的目的。”

让我们做一个极端假设,如果攻防演练只有一天,那么我相信可能90%以上的参演单位会采取应关尽关的策略,非核心业务一律关停,以最大限度地避免风险。但是,如果演练时间是一个月或两个月,又会如何呢?变量仅仅是时间,但时间意味着一切。长时间的演练不仅要求更高效的资源管理和防御策略,还需要持续的监控和应对,面对更多不可预见的挑战。

当我们讨论0Day时,我们在讨论什么?从2019年开始,红队逐渐囤积各种边界网络设备的0Day漏洞,目的是在2-3周的短期演练中能够快速实现网络隔离的突破。近几年,这一策略扩展到了Web应用和供应链系统的攻击,目标同样是尽可能快地实现网络隔离。北京边界无限科技有限公司(边界无限,BoundaryX)创始人、CEO陈佩文表示,0Day漏洞的本质在于利用过去积累的时间,在短期内换取快速突破网络边界的效果。假设演练时间延长到两个月,我们会发现上述的前提依然成立,提前准备仍然是关键,使用0Day漏洞在短时间内获取攻击入口的逻辑也不会改变。然而,时间的延长使得红队在演练过程中能够边打边挖,边挖边打,充分利用更长的时间窗口进行深入渗透和漏洞挖掘。这些仅仅是一种大面的判断,让我们深入攻防双方再来看看。

红队的视角

对于红队来说,常态化演练时间的延长既是机遇也是挑战。一方面,时间的延长为红队带来了更多实施复杂和隐蔽攻击策略的机会。例如,广义及狭义的供应链攻击在长期演练中变得可操作化,红队可以通过对供应商系统实施水坑攻击、植入后门等手段,借助供应链系统的漏洞或污染供应链代码来间接渗透目标。陈佩文表示,红队的攻击面也在扩大。随着时间的推移,边缘资产无法长期关闭,这意味着目标资产更多,红队的攻击面更广,防守单位的战线也被拉得更长。长时间的演练还使得红队的单点压强降低,红队的火力并不会每天都很凶猛。因此,错峰攻防成为可能,使防守方更难以防御。在足够长的时间下,一些在两周内不容易实施的攻击手段,如高级持续性攻击(APT)和多阶段攻击,也有了施展的空间。甚至一些在短期内无法预期的神奇的战法,可能在两个月内冒出来。安全防御需要运营,但安全的攻击也需要运营。拉长到两个月甚至更长时间来看,APT的逻辑便是攻击运营的思路之一。攻击长期运营起来后,甚至会比防御者更了解被攻击单位,这也是“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”的体现之一。总结来说,时间的延长对红队来说既是压力也是挑战。在防守方的单点防御压强减少的情况下,局部不对称的攻防现象可能会增加,边缘资产的沦陷甚至网络隔离的突破也变得更为可能。

蓝队的视角

对于防守方,常态化演练时间的延长同样带来了巨大的挑战。首先,长时间的演练对防守方的人力和技术资源提出了更高要求。团队成员需要轮班工作,以保持长时间的持续防御,这不仅增加了人员的疲惫度,还需要更多的技术和设备支持,导致资源消耗、预算消耗的显著增加。因此,不太可能再像以前一样简单堆人同时7*24小时的值守来提升防护效果。

其次,在长时间的演练中,简单粗暴的关闭一些系统的策略无法一直生效。防守方无法随意关闭风险业务系统,同时必须确保这些系统在运行中的安全性。尤其是核心业务和边缘系统,防守方需要找到有效的防御措施,避免系统在演练期间被攻破。

长期的高强度防御对防守团队的心理状态也构成了巨大挑战。团队成员需要在高压环境下工作,保持高度的警惕性,这可能导致心理疲劳和工作效率下降。

然而,常态化演练也为防守方提供了建立长效安全机制的机会。通过长时间的演练,防守方能够建立一套全面的安全防护机制。这不仅包括技术层面的提升,还涉及到团队协作、应急响应和心理支持等方面,为组织的整体网络安全防御能力提供保障。

常态化演练还强调应急响应能力的提升。长时间、多样化的攻击手段要求防守方具备高效的应急响应能力,并能够迅速应对各种突发事件。随着演练时间的延长,防守方有更多时间考虑广义及狭义的供应链安全问题。通过全面评估和加强供应链各环节的安全措施,防守方可以建立更加稳固的防御体系,防止通过供应链进行的间接攻击。

监管的视角

大家习惯性地讨论攻防双方的思路,但演练中监管方的视角也是一块重要的视角。从监管角度来看,常态化演练的引入并非仅仅为了增加攻击和防御的难度,而是为了真正提升整体的网络安全防护能力。当前的运动式演练通常依赖于短期内的高强度防御措施,如临时关闭非核心业务系统,尽管这种方法在短期内有效,但它并没有解决根本问题。监管方意识到,网络边界防护并非无懈可击,持续的攻击总会找到突破口。因此,常态化演练旨在推动防守方从被动防御转向主动防御,实现“以攻促防,以攻促改”。

通过长时间的实战演练,防守方能够持续检测和应对攻击,发现系统中的深层次漏洞和薄弱环节。这样不仅可以提升防御系统的整体安全性,还能在实战中验证和改进现有的防御策略。实战演练的持续性和复杂性,迫使防守方在实际环境中面对真实威胁,逐步提升应对复杂攻击的能力。

此外,常态化演练还强调应急处置能力的完善。长时间、多样化的攻击手段要求防守方具备快速响应和灵活调整的能力。通过不断的演练和调整,防守方能够建立起一套高效的应急响应机制,在突发事件中迅速恢复系统的正常运行。这不仅提升了单个单位的防护能力,也为整个网络安全生态系统的稳定和安全提供了保障。

陈佩文表示,常态化演练不仅是对网络防御能力的强化测试,更是对整体安全策略的一次深刻检验。它迫使各方从短期利益和临时措施中走出来,真正构建起长期有效的安全防御体系。通过不断的实战检验和改进,我们才能在面对复杂多变的网络威胁时,更加从容和有效地应对。

而面对常态化演练场景下的新型攻击手段,比如0Day漏洞、内存马注入等,陈佩文也表示,举贤不避亲,基于多年实战攻防积淀以及对新型攻击手段的研究,边界无限推出了基于RASP技术的靖云甲ADR应用检测与响应系统,助力客户打造更完善的应用安全防护体系,并与多种产品、方案响应,助力客户建设高效的安全运营体系与纵深防御体系。

机遇和挑战并存,面对常态化演练,无须惊慌,演练终究是为了更好地“修炼内功”,发现问题,解决问题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/866505.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Hi3861 OpenHarmony嵌入式应用入门--SNTP

sntp(Simple Network Time Protocol)是一种网络时间协议,它是NTP(Network Time Protocol)的一个简化版本。 本项目是从LwIP中抽取的SNTP代码; Hi3861 SDK中已经包含了一份预编译的lwip,但没有…

线程间的通信

文章目录 线程间的通讯技术就是通过等待和唤醒机制,来实现多个线程协同操作完成某一项任务,例如经典的生产者和消费者案例。等待唤醒机制其实就是让线程进入等待状态或者让线程从等待状态中唤醒,需要用到两种方法,如下&#xff1a…

红蓝对抗下的内网横向移动渗透技术详解

一、利用Windows计划任务横向移动 Windows计划任务是一个非常实用的功能,可以帮助我们自动完成一些重复性的任务。比如,我们可以设定一个计划任务来自动备份文件、更新软件、执行脚本等,本文主要介绍了如何利用Windows计划任务进行横向渗透。 &#xf…

C#委托事件的实现

1、事件 在C#中事件是一种特殊的委托类型,用于在对象之间提供一种基于观察者模式的通知机制。 1.1、事件的发送方定义了一个委托,委托类型的声明包含了事件的签名,即事件处理器方法的签名。 1.2、事件的订阅者可以通过运算符来注册事件处理器…

Python基础小知识问答系列-过滤列表元素

1. 问题: 如何根据单一条件过滤列表的元素? 如何根据复杂条件过滤列表的元素? 2. 解决方式: 可以使用推导式生成器,进行单一条件的列表元素过滤,尤其是列表内容较多时; 也可以使用filter函数进行列…

Linux Static Keys和jump label机制

文章目录 前言一、asm goto二、API使用2.1 低版本API2.2 高版本API 三、jump label四、源码分析4.1 数据结构4.2 static_key_false4.3 jump_label_init4.4 __jump_label_transform4.5 static_key_slow_inc/dec 五、__jump_table节5.1 内核5.2 内核模块 六、修改内存代码6.1 x86…

24西安电子科技大学数学与统计学院—考研录取情况

24西安电子科技大学—数学与统计学院—考研录取统计 01、数学与统计学院各个方向 02、24数学与统计学院近三年复试分数线对比 数统院24年院线相对于23年院线增加高达30分,确实增长浮动比较高,接近30分的水平,因此大家更需要好好去努力&#x…

GTest和Catch2单元测试学习(附Cmake测试代码库)

kevin_CTest CTest 单元测试学习 Gitee库: https://gitee.com/bigearrabbit/kevin_ctest.git 示例多是从网页文章上摘取的,大部分记录在下面,或者源码内。供学习参考。 CTest 学习Catch2 框架 单个文档的测试架构,使用方便&am…

vue3中svg图标的封装与使用

组件封装&#xff1a; <template><svg :class"svgClass" :style"{ width: size px, height: size px, color: color, verticalAlign:deviationem}" aria-hidden"true"><use :xlink:href"#icon-${name}" /></s…

FreeRTOS的任务间通信

文章目录 4 FreeRTOS任务间通信4.1 队列4.1.1 队列的使用4.1.2 队列的创建&#xff0c;删除&#xff0c;复位4.1.3 队列的发送&#xff0c;接收&#xff0c;查询 4.2 邮箱&#xff08;mailbox&#xff09;4.2.1 任务中读写邮箱4.2.2 中断中读写邮箱 4.3 队列集4.3.1 队列集的创…

Vue打包文件dist放在SpringBoot项目下运行(正确实现全过程)

项目开发中&#xff0c;一般我们都会使用SpringBootVue进行前后端开发。 在部署时&#xff0c;会后端启动一个服务&#xff0c;再启动一个nginx&#xff0c;nginx中配置前端打包文件dist进行项目访问。 实际上&#xff0c;我们也可以把打包好的dist目录放在SpringBoot项目下进…

Os-hackNos

下载地址 https://download.vulnhub.com/hacknos/Os-hackNos-1.ova 环境配置如果出现&#xff0c;扫描不到IP的情况&#xff0c;可以尝试vulnhub靶机检测不到IP地址解决办法_vulnhub靶机扫描不到ip-CSDN博客 信息收集 确定靶机地址&#xff1a; 探测到存活主机192.168.111.…

如何利用AI撰写短文案获客?分享6大平台和3大步骤!

从去年开始&#xff0c;很多大厂都在裁员&#xff0c;原因就是因为AI的火爆&#xff0c;替代了很多机械式的劳动力。以前很多人可以通过机械式的工作来摸鱼&#xff0c;现在AI完成的效率比人工的要高很多倍。 国内好用的AI平台非常多&#xff0c;有时候也可以使用几个AI平台结合…

软件设计之Java入门视频(11)

软件设计之Java入门视频(11) 视频教程来自B站尚硅谷&#xff1a; 尚硅谷Java入门视频教程&#xff0c;宋红康java基础视频 相关文件资料&#xff08;百度网盘&#xff09; 提取密码&#xff1a;8op3 idea 下载可以关注 软件管家 公众号 学习内容&#xff1a; 该视频共分为1-7…

STM32学习历程(day2)

GPIO解释 GPIO(General-purpose input/output) 可以配置为八种输入输出模式 引脚电平 0V-3.3V 部分引脚可容忍5v 输出模式可控制端口输出高低电平 用以驱动LED、控制蜂鸣器、模拟通信协议输出时序 输入模式可读取端口的高低电平或电压&#xff0c;用于读取按键输入、外界…

uniapp自定义富文本现实组件(支持查看和收起)

废话不多说上代码 CollapseText.vue <template><view v-if"descr"><scroll-view class"collapse-text" :style"{maxHeight: computedMaxHeight}"><!-- <slot></slot> --><rich-text :nodes"descr&q…

2-网页请求的原理

网页请求的原理 ​ 网络爬虫请求网页的过程可以理解为用户使用浏览器加载网页的过程&#xff0c;这个过程其实是向Web服务器发送请求的过程&#xff0c;即浏览器向Web服务器发送请求&#xff0c;Web服务器会将响应内容以网页形式返回给浏览器。因此&#xff0c;了解浏览器与We…

Android Studio下载Gradle特别慢,甚至超时,失败。。。解决方法

使用Android studio下载或更新gradle时超级慢怎么办&#xff1f; 切换服务器&#xff0c;立马解决。打开gradle配置文件 修改服务器路径 distributionUrlhttps\://mirrors.cloud.tencent.com/gradle/gradle-7.3.3-bin.zip 最后&#xff0c;同步&#xff0c;下载&#xff0c;速…

数据融合工具(1)指定路径下同名图层合并

情景再现&#xff0c;呼叫小编 ————数据合并时&#xff0c;你是否也经常碰到这些情况&#xff1f; 数据存在几何错误&#xff0c;合并失败&#xff01; 数据字段类型不一致&#xff0c;合并失败&#xff01; 合并工具运行有警告信息&#xff0c;不知道是否合并成功&…

2024年中国网络安全市场全景图 -百度下载

是自2018年开始&#xff0c;数说安全发布的第七版全景图。 企业数智化转型加速已经促使网络安全成为全社会关注的焦点&#xff0c;在网络安全边界不断扩大&#xff0c;新理念、新产品、新技术不断融合发展的进程中&#xff0c;数说安全始终秉承科学的方法论&#xff0c;以遵循…