科技猎腾讯云红蓝对抗实录
腾讯云红蓝对抗实录
秦聪慧
· 刚刚
攻防演练已经成为中大型政企安全系统修复和迭代的最佳方式之一。
腾讯云红蓝对抗实录
图片来源@视觉中国
在腾讯云的赛博空间内,有两支队伍随时保持着战斗状态——他们作为保障团队在一点点巡视腾讯云的安全防线,一旦发现漏洞或入侵者,要立马进行漏洞修补并对入侵者进行溯源反制。
这两支队伍正是腾讯云每年红蓝对抗安全演习的主角:红军和蓝军。
红蓝对抗概念最初见于军事演习,由于能够形象表达一攻一守的作战演习状态,这一概念被信息安全领域采纳。就像人类对机体的体检,腾讯云内部也一直坚持用蓝军模拟攻击自查安全风险,保证云平台的安全性。
2020年下半年,依照惯例,腾讯云再次启动了红蓝对抗。区别于往年,这次的红蓝对抗的特点在于,无论从团队规模还是攻防理念都在向更高级别的攻防演练靠近。
巅峰对决:兵分四路攻击
在红蓝对抗机制升级的情况下,腾讯云的作业成为了重点检查对象。攻击方案交由蓝军制定,这也是此次攻防演练的最大特点——更强调“实战”性,将原来红军“指哪儿打哪儿”,改为了蓝军制定作战方案,红军被动防守。
不仅如此,本次对抗聚集了来自腾讯多个顶尖安全实验室和内部安全运维团队的精英,如果你对安全圈稍有了解,就知道这样的阵容组团形成的攻击方,足以让任何一支防御力量胆寒。
“此次对抗的防守方,来自安全平台部、企业IT、云安全专项、云鼎实验室的联合保障团队,彼此间紧密协同,以随时应对可能从任何意想不到的地方出现的入侵。”本次腾讯云红蓝对抗红军负责人刘永钢介绍。
此次蓝军负责人李鑫也对这次的团队组成非常满意:“朱雀实验室、玄武实验室、企业IT蓝军,他们在木马病毒、APT攻击上比较擅长,腾讯蓝军擅长生产网攻击和内网渗透,云鼎实验室、安全专家服务团队擅长漏洞挖掘,蓝军的分工让他们各展所长。”
如此高配置的攻防对决,在腾讯云历次的红蓝演习中也实属罕见。
基于腾讯云这个资产复杂的目标,蓝军历时一个月制定了一份详细的作战规划,涉及攻击手段及路径和详细的时间计划表。在对腾讯云全网超百万的服务器资产进行排查摸底之后,蓝军准备分四个场景,对腾讯云进行针对性的攻击。不过无论哪种攻击,对技术能力和团队协作要求都很高。
对抗上演
蓝军进一步确定了十余个内部核心系统作为靶向目标。根据赛制规定,这些靶向目标中只要其中一个被攻破,就算蓝军演练成功。在对抗开始的第二周,蓝军已经拿到了不止一个核心靶向目标的配置信息,甚至挖到了几个堪称杀器的0day漏洞,准备进行逐个击破。
“志在必得!”这是蓝军在发现这些漏洞时的想法。但随着时间的推移,最吊诡的事情出现了。
“研究一晚上,一个漏洞也攻不进去,很浪费时间。”李鑫回忆。他清楚记得在攻防启动后的第四天已经找到了不下40个漏洞。但无法从任何一个漏洞进行核心系统的突破,让这场攻防陷入了短暂的僵局。
在其中一次攻击尝试中,蓝军通过物理环境攻破了分公司一台年久未更新系统的打印机,并控制了这台打印机的操作系统。可惜的是,蓝军的这种行为还是被红军发现了。
蓝军只能另辟蹊径。“他们通过内部一些支持分享的论坛,用水坑的方式找漏洞,提前埋攻击脚本,一旦内部员工去访问看文章,就会中招。”本次腾讯云红蓝对抗的负责人张祖优在观战时发现了蓝军的突破手段。
红军也不甘示弱。基于腾讯iOA零信任产品,提升端上的入侵门槛,并在应急响应中进行溯源,增加了诱捕反制环节。“他们的诱捕反制,直接攻到了我们钓鱼平台内部。”李鑫说。
按照李鑫的说法,一些高级别的红军会有很强的溯源分析能力和诱捕反制能力,一不小心就会掉入圈套。“比如蜜罐,就是欺骗性防御,欺骗你攻击我的某个目标,然后被抓个现行,让你没办法短时间内发起攻击。”
说白了,“诱捕反制”就是“你攻我,我不但要知道你是谁,还要制止你的行为”。
对于一举端掉蓝军的钓鱼平台,刘永钢笑了笑:“诱捕反制是网络安全最基础的能力,发现黑客攻击一般都会触发诱捕反制。这次没有用太多这个,只是利用他们的一些木马做了一些溯源,登录了一下他们的服务。”
这是一个双方博弈的过程。在蓝军的钓鱼平台被红军拿下之后,蓝军也在钓鱼平台上放了一个窃取红军登陆凭证、代表红军身份的代码。“拿到他们的OA令牌,甚至就可以攻到他们的OA系统里面去。”李鑫说。
亦敌亦友,会放水
“他们的攻击手法除了技术手段,在打法上也有了一些‘术’的感觉。”刘永钢说。这也是李鑫最骄傲的地方,在他看来,攻击的手段、工具会不断变化和升级,但攻击的方法论不会变,就像《孙子兵法》到现在依然受用一样。
张祖优在评价这次蓝军的攻击行动时说:“蓝军团队有新鲜血液加入,他们的打法跟以往确实有些不同。作为裁判,我确实看到了他们双方的猥琐行为,但我又不能说。”
李鑫就是张祖优说得蓝军新鲜血液的代表,他刚加入腾讯安全不久,在加入腾讯之前在金融等传统行业工作,做过甲方,也做过乙方。所以对各种场景下容易出现的风险点都比较清楚。
作为一个80后出生的白帽子黑客,李鑫的团队大部分是95后,甚至也有00后。这些攻击手们思维活跃,各有各的擅长方向,他们有的擅长APT、有的擅长钓鱼,有的擅长搜集情报等等。用他自己的话说是“初生牛犊不怕虎”。
在刘永钢看来,对于亦敌亦友的蓝军,红军其实相当“仁慈”。刘永钢的团队大部分是80后,与年轻的蓝军团队相比,红军更像是沉稳的老大哥。
他回忆,红蓝双方在对抗的过程中,其实并没有让他觉得特别焦灼的情况。虽然大家在网络空间内分属不同阵营,但在物理空间上都在一个办公室。
有时候到了饭点儿,刘永钢看到蓝军还在那儿讨论,会专门去打个招呼:“蓝军的兄弟们,饭都不吃了,为什么呀?”
他有时候也会放水,明明已经捕捉到了蓝军的动态,在蓝军不会有关键进攻的情况下,红军会选择按兵不动。
“不会立马阻断掉、删除掉,在没有产生实质危害之前,我们会继续让它挖掘更多”,刘永钢说,“如果我们第一时间发现他,就把它给处置掉,这意味着后面的线索就断了。”
如果攻击被判定为是由外部黑客发起的,那么红军会不留情面地处理掉。
对此,李鑫也说,他在拿到关键攻击目标后也不会做更“恶劣”的动作:“点到为止了,演习的底线是保持系统稳定安全运行。我们的目的跟红军一样都是让腾讯云更安全。”
合纵连横,打造更安全的云
攻防结束后,双方都会就对抗过程进行复盘。协同和安全,是这次复盘双方提到最多的词。
从红军防御的角度来看,红蓝实时对抗,考验得是它的应急响应与处置能力。“如果黑客入侵的时候,涉及多个环节,就需要把多个环节的反应能力联动起来,合纵连横才会产生效果。”刘永钢说。
红军成员实际都有各自的日常工作。在风险响应上,他们本身也有一套标准处理流程。但在战时状态下,腾讯云的安全团队会对这些标准流程做一些调整,在某些时候会迅速通过联合团队的特定或专业人员开展跟进,并基于特定的情景去展开包括反制溯源的一些分析工作。
“我们遇到一些战时状态的时候,需要通过这个机制把它的合纵连横起来,什么样的环节他们处理,在战时机制里面在哪一些的流程的节点上有需要转到腾讯云来处理,在做一些特别的流程之后,大家闭环工作。”刘永钢说。
李鑫也说,演习其实是检验整个队伍打仗的能力,不光是方案的能力、组织的能力、技术人员能力,也是查漏补缺的很好的手段。
在此次红蓝对抗中,蓝军采用了“大分工,小协同”的方案。在四个大的攻击场景之间,每个团队又建立了协同关系。“团队之间会存在情报共享等方面的协作,比如路径1里面有价值的信息共享给路径4。”
站在裁判角度,张祖优表示,红蓝对抗不会强调输赢的概念,他认为演习的意义其实是快速校验危害腾讯云的核心问题。之后,再把一些问题同步给业务部门,把腾讯云安全的水位线做更进一步的拉升。
红蓝对抗过程中积累的工具、方法论也会输出为腾讯安全的专家服务,这在几家政企金融大客户中的实战效果已经被证明是正确的。
“这其实也在验证腾讯云安全建设的强度”,张祖优总结道,“‘攻’和‘防’在机制上的本质不同是,‘攻’遵循木桶原理,只要攻击单点,找到最短的板就能突破;但‘防’是需要每块板都做到足够长,把防御水位线做高,它考验的是安全团队的综合能力。得益于这么多安全团队对云的支持,腾讯云安全水位线一直在持续上升。”
当下,红蓝对抗在腾讯云已经常态化,腾讯云也在年复一年的红蓝对抗中,不断提升自身以及向外输出安全服务的能力。
作为云计算行业“排头兵”之一的腾讯云,保障系统安全,就是保障用户的数据和隐私安全。红蓝对抗不但是腾讯云保护自己的方式,更是一种社会担当。
未来,随着越来越多的企事业单位上云,攻防演练成为中大型政企安全系统修复和迭代的最佳方式之一。腾讯云也正在将这种实战攻防的能力对外输出,助力企业在数字化转型升级的浪潮下提升安全水位线,更好地享有数字经济的发展成果。(本文首发钛媒体APP,作者 |秦聪慧)
186篇资讯
44.6k关注
秦聪慧 认证作者
产业互联网,云计算、网络安全等企服方向:conghuiqin@tmtpost.com
最近资讯
- 腾讯云红蓝对抗实录
- 油气领域,产业智能该如何构建?
- 共识 | 数字化如何成为房企的第二增长曲线?
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里。
敬原创,有钛度,得赞赏
411人赞赏钛媒体文章
-
钛粉65171 赞赏了
敬“墨茶”一篮草莓,希望他在远方没有病痛和穷苦
约2天以前 -
钛粉38610 赞赏了
网络平台涉黄屡禁不止,网络环境何时迎来健康未来?
约4天以前 -
钛粉91023 赞赏了
巨头下注,播客虚火
上周 -
钛粉25879 赞赏了
中国下一个 “巨无霸”交易平台是什么?
2021-01-18 16:09 -
钛粉50426 赞赏了
谁会是中国小电厨电第一个千亿之王?
2021-01-13 16:45 -
钛a2I9ui 赞赏了
特斯拉降价,苦了自主新能源车
2021-01-11 23:04 -
蒙MYH 赞赏了
“喝”出万亿大市场:0糖更快乐,植物基出圈
2021-01-11 14:39 -
hU8dfb 赞赏了
中国电商的下一个绝佳机会
2021-01-05 15:37 -
钛粉76789 赞赏了
一个“傻瓜式”的SaaS开店工具,如何赚得千亿美金...
2021-01-04 14:16 -
钛粉68961 赞赏了
挑战海拉尔零下30度,体验一汽丰田双擎混动技术 |...
2021-01-03 16:31 -
钛粉18683 赞赏了
2020年最后一天,社交平台Uki被Soul前员工...
2020-12-31 10:30 -
钛粉17696 赞赏了
2020年最后一天,社交平台Uki被Soul前员工...
2020-12-31 10:23 -
h2WkpG 赞赏了
2020年最后一天,社交平台Uki被Soul前员工...
2020-12-31 10:17 -
hwDjnH 赞赏了
2020年最后一天,社交平台Uki被Soul前员工...
2020-12-31 10:10 -
钛粉40181 赞赏了
石家庄,工厂子弟,和“万青”失去的十年
2020-12-25 14:33 -
钛粉89488 赞赏了
中高端MPV竞争,微妙平衡中寻找取胜之道
2020-12-18 16:41 -
钛粉89860 赞赏了
中高端MPV竞争,微妙平衡中寻找取胜之道
2020-12-18 16:32 -
钛粉15908 赞赏了
英特尔:硅谷文化的最后传承者 | 钛媒体深度
2020-12-15 13:47 -
钛粉77486 赞赏了
苹果:拨弄中、美、日命运的人
2020-12-07 08:11 -
钛粉02929 赞赏了
为何上海高院未按反垄断法第14条判决?
2020-11-25 15:39 -
Kris00135 赞赏了
“优爱腾”难题无解,长视频去向何方?
2020-11-24 12:04 -
钛粉88011 赞赏了
从荷兰回到张家口种树莓,他想用AI无人种植改变中国...
2020-11-19 17:52 -
钛粉39442 赞赏了
看完美国大选,是时候聊聊国内综艺的投票机制了
2020-11-09 12:59 -
在天空中自由翱翔的百灵鸟 赞赏了
透露一个共享办公的惊人事实:空置率70%-90%
2020-11-06 13:48 -
在天空中自由翱翔的百灵鸟 赞赏了
雷军:继续死磕硬核技术,小米2021年扩招5000...
2020-11-05 18:13 -
钛粉94592 赞赏了
手机用户“被5G”?三大运营商回应:办理4G业务建...
2020-11-04 21:12 -
在天空中自由翱翔的百灵鸟 赞赏了
详解互联网+医保新政:什么病能用?什么钱能报?
2020-11-04 16:51 -
钛粉18709 赞赏了
陈天桥再捐5亿支持中国脑科学研究,先在上海打造这个...
2020-10-23 20:30 -
钛aw26M5 赞赏了
深藏大山的汞矿遗址,孤身守矿的他,一辈子没有离开|...
2020-10-16 08:59 -
钛粉94035 赞赏了
海底捞涉嫌抄袭巴奴,4万亿餐饮行业什么才是核心竞争...
2020-10-10 01:25 -
钛粉15375 赞赏了
中国游戏的光荣与破灭
2020-10-06 13:44 -
钛哥儿 赞赏了
赵何娟对话薇娅:两个女人的知世故而不世故
2020-09-25 13:07 -
钛粉85193 赞赏了
以应用带产品,“自适应”工业级机器人Flexiv试...
2020-09-23 11:43 -
那只猫已转身不见 赞赏了
低房价、高收入,这些城市买房性价比最高
2020-09-18 16:36 -
一潭浑水 赞赏了
豆瓣评分4.8的《花木兰》,真的那么烂吗?
2020-09-12 13:24 -
钛粉59301 赞赏了
市值超四千亿,创造首富,农夫山泉为何这么“甜”?
2020-09-08 17:57 -
钛粉14259 赞赏了
到95后的茶杯里兴风作浪
2020-09-08 12:30 -
钛粉55117 赞赏了
中国APP出海“变形记”:再见工具,你好社交
2020-09-06 23:36 -
钛粉96933 赞赏了
银行与实体经济如何产融对接?产业要全面深入,数据需...
2020-09-05 09:42 -
钛粉86548 赞赏了
代餐赛道会跑出下一个“三只松鼠”吗?| 钛媒体深度
2020-09-01 16:39 -
钛粉22511 赞赏了
【书评】光环效应,另一种乌合之众
2020-08-21 09:43 -
钛粉92962 赞赏了
【钛晨报】Airbnb向美国证监会秘密递交IPO注...
2020-08-20 13:30 -
苑晶 赞赏了
完美世界“杀入”邮箱红海意欲何为?
2020-08-14 09:47 -
钛粉20283 赞赏了
汽车行业新老势力竞逐新赛道,谁会是幸存者?
2020-08-12 13:31 -
钛粉54633 赞赏了
腾讯发起虎牙斗鱼合并建议,结束同质化竞争
2020-08-11 12:02 -
钛粉20377 赞赏了
Zoom在中国暂停直销,或与TikTok“同因”
2020-08-04 15:21 -
钛粉88981 赞赏了
华为改变松山湖,松山湖改变东莞
2020-07-27 10:37 -
钛粉88609 赞赏了
WWD CHINA与量子云合作,成立营销机构“华耘...
2020-07-24 15:57 -
钛粉22894 赞赏了
AI芯片的十字路口:RISC-V能带来下一代芯片吗...
2020-07-21 12:35 -
钛粉46303 赞赏了
中国的暗网,迷失的闲鱼
2020-07-13 19:44 - 查看精彩文章,打开钛媒体客户端
挺钛度,加点码!
- ¥ 5
- ¥ 10
- ¥ 20
- ¥ 50
- ¥ 100
支付方式
支付
支付金额:¥6
赞赏金额:¥ 6
赞赏时间:2020.02.11 17:32
账户【未登录】提示!
个人中心将无法记录并同步您的赞赏记录,
是否进行登录
分享文章
猜你喜欢
虾米、悟空问答、米聊:被遗忘者迟到的讣告
芯华章完成数亿元A+轮融资,红杉宽带数字产业基金领投,高瓴、高榕跟投|钛媒体首发
油气领域,产业智能该如何构建?
奥特曼「土酷」回潮
《乘风破浪的姐姐2》:“她综艺”的品牌化困境
科学家发现:猫咪或能帮助自闭症儿童减轻焦虑
Oh! no
您是否确认要删除该条评论吗?
分享文章
