边界无限陈佩文:红蓝对抗安全演练常态化的各方分析

虽然常态化演练尚未正式开始,但我们仍然希望对各方的表现进行一些分析和预测,以辅助我们对市场的判断和决策。同时,也希望通过这些初步的见解,抛砖引玉,引发更多有价值的讨论和观点。

“船停在码头是最安全的,但那不是造船的目的。”

让我们做一个极端假设,如果攻防演练只有一天,那么我相信可能90%以上的参演单位会采取应关尽关的策略,非核心业务一律关停,以最大限度地避免风险。但是,如果演练时间是一个月或两个月,又会如何呢?变量仅仅是时间,但时间意味着一切。长时间的演练不仅要求更高效的资源管理和防御策略,还需要持续的监控和应对,面对更多不可预见的挑战。

当我们讨论0Day时,我们在讨论什么?从2019年开始,红队逐渐囤积各种边界网络设备的0Day漏洞,目的是在2-3周的短期演练中能够快速实现网络隔离的突破。近几年,这一策略扩展到了Web应用和供应链系统的攻击,目标同样是尽可能快地实现网络隔离。北京边界无限科技有限公司(边界无限,BoundaryX)创始人、CEO陈佩文表示,0Day漏洞的本质在于利用过去积累的时间,在短期内换取快速突破网络边界的效果。假设演练时间延长到两个月,我们会发现上述的前提依然成立,提前准备仍然是关键,使用0Day漏洞在短时间内获取攻击入口的逻辑也不会改变。然而,时间的延长使得红队在演练过程中能够边打边挖,边挖边打,充分利用更长的时间窗口进行深入渗透和漏洞挖掘。这些仅仅是一种大面的判断,让我们深入攻防双方再来看看。

红队的视角

对于红队来说,常态化演练时间的延长既是机遇也是挑战。一方面,时间的延长为红队带来了更多实施复杂和隐蔽攻击策略的机会。例如,广义及狭义的供应链攻击在长期演练中变得可操作化,红队可以通过对供应商系统实施水坑攻击、植入后门等手段,借助供应链系统的漏洞或污染供应链代码来间接渗透目标。陈佩文表示,红队的攻击面也在扩大。随着时间的推移,边缘资产无法长期关闭,这意味着目标资产更多,红队的攻击面更广,防守单位的战线也被拉得更长。长时间的演练还使得红队的单点压强降低,红队的火力并不会每天都很凶猛。因此,错峰攻防成为可能,使防守方更难以防御。在足够长的时间下,一些在两周内不容易实施的攻击手段,如高级持续性攻击(APT)和多阶段攻击,也有了施展的空间。甚至一些在短期内无法预期的神奇的战法,可能在两个月内冒出来。安全防御需要运营,但安全的攻击也需要运营。拉长到两个月甚至更长时间来看,APT的逻辑便是攻击运营的思路之一。攻击长期运营起来后,甚至会比防御者更了解被攻击单位,这也是“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”的体现之一。总结来说,时间的延长对红队来说既是压力也是挑战。在防守方的单点防御压强减少的情况下,局部不对称的攻防现象可能会增加,边缘资产的沦陷甚至网络隔离的突破也变得更为可能。

蓝队的视角

对于防守方,常态化演练时间的延长同样带来了巨大的挑战。首先,长时间的演练对防守方的人力和技术资源提出了更高要求。团队成员需要轮班工作,以保持长时间的持续防御,这不仅增加了人员的疲惫度,还需要更多的技术和设备支持,导致资源消耗、预算消耗的显著增加。因此,不太可能再像以前一样简单堆人同时7*24小时的值守来提升防护效果。

其次,在长时间的演练中,简单粗暴的关闭一些系统的策略无法一直生效。防守方无法随意关闭风险业务系统,同时必须确保这些系统在运行中的安全性。尤其是核心业务和边缘系统,防守方需要找到有效的防御措施,避免系统在演练期间被攻破。

长期的高强度防御对防守团队的心理状态也构成了巨大挑战。团队成员需要在高压环境下工作,保持高度的警惕性,这可能导致心理疲劳和工作效率下降。

然而,常态化演练也为防守方提供了建立长效安全机制的机会。通过长时间的演练,防守方能够建立一套全面的安全防护机制。这不仅包括技术层面的提升,还涉及到团队协作、应急响应和心理支持等方面,为组织的整体网络安全防御能力提供保障。

常态化演练还强调应急响应能力的提升。长时间、多样化的攻击手段要求防守方具备高效的应急响应能力,并能够迅速应对各种突发事件。随着演练时间的延长,防守方有更多时间考虑广义及狭义的供应链安全问题。通过全面评估和加强供应链各环节的安全措施,防守方可以建立更加稳固的防御体系,防止通过供应链进行的间接攻击。

监管的视角

大家习惯性地讨论攻防双方的思路,但演练中监管方的视角也是一块重要的视角。从监管角度来看,常态化演练的引入并非仅仅为了增加攻击和防御的难度,而是为了真正提升整体的网络安全防护能力。当前的运动式演练通常依赖于短期内的高强度防御措施,如临时关闭非核心业务系统,尽管这种方法在短期内有效,但它并没有解决根本问题。监管方意识到,网络边界防护并非无懈可击,持续的攻击总会找到突破口。因此,常态化演练旨在推动防守方从被动防御转向主动防御,实现“以攻促防,以攻促改”。

通过长时间的实战演练,防守方能够持续检测和应对攻击,发现系统中的深层次漏洞和薄弱环节。这样不仅可以提升防御系统的整体安全性,还能在实战中验证和改进现有的防御策略。实战演练的持续性和复杂性,迫使防守方在实际环境中面对真实威胁,逐步提升应对复杂攻击的能力。

此外,常态化演练还强调应急处置能力的完善。长时间、多样化的攻击手段要求防守方具备快速响应和灵活调整的能力。通过不断的演练和调整,防守方能够建立起一套高效的应急响应机制,在突发事件中迅速恢复系统的正常运行。这不仅提升了单个单位的防护能力,也为整个网络安全生态系统的稳定和安全提供了保障。

陈佩文表示,常态化演练不仅是对网络防御能力的强化测试,更是对整体安全策略的一次深刻检验。它迫使各方从短期利益和临时措施中走出来,真正构建起长期有效的安全防御体系。通过不断的实战检验和改进,我们才能在面对复杂多变的网络威胁时,更加从容和有效地应对。

而面对常态化演练场景下的新型攻击手段,比如0Day漏洞、内存马注入等,陈佩文也表示,举贤不避亲,基于多年实战攻防积淀以及对新型攻击手段的研究,边界无限推出了基于RASP技术的靖云甲ADR应用检测与响应系统,助力客户打造更完善的应用安全防护体系,并与多种产品、方案响应,助力客户建设高效的安全运营体系与纵深防御体系。

机遇和挑战并存,面对常态化演练,无须惊慌,演练终究是为了更好地“修炼内功”,发现问题,解决问题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/773391.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【数据库】E-R图、E-R模型到关系模式的转换、关系代数表达式、范式

一、E-R图 1、基本概念 2、实体集之间的联系 3、E-R图要点 (1)实体(型)的表示 (2)E-R图属性的表示 (3)联系的表示 4、E-R模型的例题 二、E-R模型到关系模式的转换 1、实体型的转换…

pytorch-时间序列

目录 1. 时间序列2. word embedding2.1 one hot2.2 word2vec2.3 GloVe 1. 时间序列 具有时间相关性的序列叫做时间序列,比如:语音、文本句子 2. word embedding 2.1 one hot 针对句子来说,可以用[seq_len, vector_len] 有多少个单词vecto…

因为文件共享不安全,所以你不能连接到文件共享。此共享需要过时的SMB1协议,而此协议是不安全的 解决方法

目录 1. 问题所示2. 解决方法3. 解决方法1. 问题所示 输入共享文件地址的时候,出现如下信息: 因为文件共享不安全,所以你不能连接到文件共享。此共享需要过时的SMB1协议,而此协议是不安全的,可能会是你的系统遭受攻击。你的系统需要SMB2或更高版本截图如下所示: 2. 解决…

竞赛 深度学习+opencv+python实现车道线检测 - 自动驾驶

文章目录 0 前言1 课题背景2 实现效果3 卷积神经网络3.1卷积层3.2 池化层3.3 激活函数:3.4 全连接层3.5 使用tensorflow中keras模块实现卷积神经网络 4 YOLOV56 数据集处理7 模型训练8 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 &am…

【Linux】Linux常用指令合集精讲,一篇让你彻底掌握(万字真言)

文章目录 一、文件与目录操作1.1 ls - 列出目录内容1.2 cd - 切换目录1.3 pwd - 显示当前目录1.4 mkdir - 创建目录1.5 rmdir - 删除空目录1.6 rm - 删除文件或目录1.7 cp - 复制文件或目录1.8 mv - 移动或重命名文件或目录1.9 touch - 创建空文件或更新文件时间戳 二、文件内容…

朗新天霁eHR GetFunc_code.asmx SQL注入致RCE漏洞复现

0x01 产品简介 朗新天霁人力资源管理系统(LongShine eHR)是一款由北京朗新天霁软件技术有限公司研发的人力资源管理系统,该产品融合了国外先进的人力资源管理理念和国内大量人力资源管理实践经验,是国内功能较为全面、性价比较高的人力资源管理系统之一,系统凭借其集成化…

@amap/amap-jsapi-loader实现高德地图嵌入React项目中,并且做到点击地图任意一处,获得它的经纬度

1.第一步要加入项目package.json中或者直接yarn install它都可以 想必大家应该都会 "amap/amap-jsapi-loader": "0.0.7"2.加入项目中 关于接口获取key的接口 大家改成自己对应的项目请求方法 import React, { PureComponent } from react; import { Input…

厂家技术 最新钨蚀刻液的制作方法

网盘 https://pan.baidu.com/s/15ZAiUicstYEiFPvNKK72VA?pwd6u4x VCSEL芯片金薄膜蚀刻液及其蚀刻方法.pdf 废铝蚀刻液回收磷酸的方法.pdf 抑制二氧化硅蚀刻的无C蚀刻液.pdf 氮化硅和钨的选择性蚀刻液.pdf 用于在穿孔中选择性沉积钨的系统和方法.pdf 蚀刻液和使用了所述蚀刻液…

香橙派AIpro开发板评测:部署yolov5模型实现图像和视频中物体的识别

OrangePi AIpro 作为业界首款基于昇腾深度研发的AI开发板,自发布以来就引起了我的极大关注。其配备的8/20TOPS澎湃算力,堪称目前开发板市场中的顶尖性能,实在令人垂涎三尺。如此强大的板子,当然要亲自体验一番。今天非常荣幸地拿到…

【C++】BMP图片结构深度解析及其在C++中的操作与应用

引言 BMP(Bitmap Image File)是一种与设备无关的图像文件格式,它采用了一种非常直接的方式来存储图像数据,即按照图像的行和列顺序,逐像素地存储颜色值。由于其简单性和可移植性,BMP文件在图像处理、图像分…

看看这组B端规范,你就会感叹:钱真是万能的。

B端设计规范的作用和价值主要体现在以下几个方面: 统一视觉风格和用户体验:B端设计规范可以规定统一的视觉风格和用户界面,使得不同的产品和服务在外观和交互上保持一致,提升用户的使用体验和满意度。 提高产品开发效率&#xf…

Android Studio下载Gradle特别慢,甚至超时,失败。。。解决方法

使用Android studio下载或更新gradle时超级慢怎么办? 切换服务器,立马解决。打开gradle配置文件 修改服务器路径 distributionUrlhttps\://mirrors.cloud.tencent.com/gradle/gradle-7.3.3-bin.zip 最后,同步,下载,速…

【RAG检索增强生成】MaxKB:构建企业级知识库问答系统(Ollama+Qwen2)

目录 引言1、MaxKB概述1.1 定义与目标1.2 特点与优势 2、MaxKB原理3、MaxKB架构4、基于MaxKBOllamaQwen2搭建本地知识库4.1 环境准备4.2 部署MaxKB4.3 部署Ollama4.4 部署运行qwen24.5 知识库配置4.5.1登录 MaxKB 系统4.5.2上传文档4.5.3设置分段规则 4.6 模型配置4.7 创建应用…

一入“网贷”深似海:来自多名负债人的真实自述!

在温州,有个名叫小琴的25岁女孩,她的故事,是许多年轻人深陷网贷泥潭的一个缩影。小琴,一个普通的大学毕业生,两年的职场生涯并未能让她摆脱大学时期留下的网贷阴影。那时,她每月靠着1000元的生活费勉强维持…

注意!Vue.js 或 Nuxt.js 中请停止使用.value

大家好,我是CodeQi! 一位热衷于技术分享的码仔。 当您在代码中使用.value时,必须每次都检查变量是否存在并且是引用。 这可能很麻烦,因为在运行时使用.value可能会导致错误。然而,有一个简单的解决方法,即…

力扣61. 旋转链表(java)

思路:用快慢指针找到最后链表k个需要移动的节点,然后中间断开节点,原尾节点连接原头节点,返回新的节点即可; 但因为k可能比节点数大,所以需要先统计节点个数,再取模,看看k到底需要移…

【Linux系统编程】深入剖析:四大IO模型机制与应用(阻塞、非阻塞、多路复用、信号驱动IO 全解读)

目录 概述: 1. 阻塞IO (Blocking IO) 2. 非阻塞IO (Non-blocking IO) 3. IO多路复用 (I/O Multiplexing) 4. 信号驱动IO (Signal-driven IO) 阻塞式IO 非阻塞式IO 信号驱动IO(Signal-driven IO) 信号IO实例: IO多路复用…

2024企业加密软件丨为什么企业需要防泄密

企业为什么需要防泄密? 企业的数据中包含了许多核心机密,如研发成果、商业计划、客户资料等。这些信息的泄露可能使竞争对手获得不正当的优势,给企业带来严重损失。 数据泄露事件往往会对企业的声誉造成负面影响,降低客户信任度…

【ROS2】Ubuntu 24.04 源码编译安装 Jazzy Jalisco

目录 系统要求 系统设置 设置区域启用所需的存储库安装开发工具 构建 ROS 2 获取 ROS 2 代码使用 rosdep 安装依赖项安装额外的 RMW 实现(可选)在工作区构建代码 设置环境 尝试一些例子 下一步 备用编译器 Clang保持最新状态 故障排除 卸载 系统要求 当前…

RRStudio 下载及安装(详尽版)

R语言来自S语言,是S语言的一个变种。S语言、C语言、Unix系统都是贝尔实验室的研究成果。R 语言是一种解释型的面向数学理论研究工作者的语言,主要用于统计分析、绘图、数据挖掘。 R 语言自由软件,免费、开放源代码,支持各个主要计…