在日常生活中，如果我們想要妥善的保管重要物品，通常只需要把物品放進保險箱，再把保險箱放進一個裝了防盜門的房間，門口再布置幾個攝像頭，便能夠起到很高的防盜效果。

但是在互聯(lián)網(wǎng)的時代，對于無時無刻不再產(chǎn)生的無形資產(chǎn)又該如何防護呢？

網(wǎng)絡安全紅藍對抗

互聯(lián)網(wǎng)給人們生活和工作帶來了前所未有的便利，這一點毋庸置疑。然而，與此同時，互聯(lián)網(wǎng)也帶來了前所未有的風險。具體而言，這些風險是什么呢？讓我們舉一個例子來說明。

在2018年，F(xiàn)acebook發(fā)生了數(shù)據(jù)泄露事件，導致該公司市值蒸發(fā)三百多億美元，對公司造成了災難性的后果。這時候，很自然地會有人問：“那么，我們有沒有辦法來阻止這些風險呢？”

當然，答案是肯定的。無論是安裝防火墻還是使用態(tài)勢感知等安全產(chǎn)品，都可以有效地阻擋大部分風險。

然而，隨之而來的問題是，這些安全產(chǎn)品并不便宜。如果企業(yè)領導非常重視網(wǎng)絡安全，那還好說。但如果領導并沒有意識到網(wǎng)絡安全的重要性呢？

領導們可能會想：“我為你們的安全投入了這么多資金，但到年底了，沒有發(fā)生任何事情，我也沒有看到任何成果。我的錢到底起到了作用還是白白浪費了呢？”

然而，也有另一種情況：公司遇到了嚴重的安全問題，領導們會想：“我為你們投入了這么多錢，結(jié)果一點用都沒有。我的錢到底有沒有起到作用呢？”

于是乎，一個有趣的問題出現(xiàn)了：有沒有一種方法，既能讓領導們看到成果，又不會對企業(yè)造成影響呢？

當然，答案是存在的，這就是我們要談論的紅藍對抗！

關(guān)于紅藍對抗，過于官方的解釋就不再贅述了。簡單地說，進攻方（攻擊方）模擬黑客攻擊防守方（防守方），試圖找到網(wǎng)絡系統(tǒng)的漏洞和弱點，并通過進入防守方的網(wǎng)絡系統(tǒng)獲取敏感信息或控制網(wǎng)絡。而防守方的任務則是保護網(wǎng)絡系統(tǒng)的安全和完整性，防止被進攻方攻擊和入侵。

當最終總結(jié)時，所有的成果都將展現(xiàn)在領導面前，這樣安全人員就能向領導們展示，安全工作到底做了些什么。

然而，紅藍對抗的意義并不僅僅是讓領導們知道安全工作的具體內(nèi)容。

紅藍對抗通過模擬真實的攻擊和防御情景來測試安全防御措施的有效性和弱點，并幫助企業(yè)高效迅速地提高網(wǎng)絡安全水平。

接下來，我們將詳細介紹進攻方所做的工作。

進攻方攻擊步驟

"孫子兵法"中有這樣一句名言：“知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰(zhàn)必殆。”

在紅藍對抗中，如果防守方能夠獲取到關(guān)于進攻方的情報，雖然不能保證百戰(zhàn)百勝，但至少能夠更輕松地進行防守。

接下來，我們來介紹一下進攻方在紅藍對抗中的一些行動。

一般來說，進攻方的攻擊可以分為事前、事中和事后三個階段，也可以稱為前期準備階段、對抗實施階段和總結(jié)匯報階段。

1.前期準備階段

這個階段主要涉及了紅藍對抗規(guī)則、攻擊范圍、攻擊時間等方案的制定和確認。

2.對抗實施階段

在這一階段，進攻方將全面進攻防守方，采用多種手段，包括但不限于漏洞挖掘、釣魚、社會工程等方式。進攻方的目標是完全控制防守方的系統(tǒng)。接下來詳細介紹進攻方在這個階段的操作過程：

2.1.信息收集

資產(chǎn)收集：進攻方會對目標進行信息收集，包括網(wǎng)站備案情況、IP地址、開放端口、子域名等。有關(guān)詳細內(nèi)容，請參閱之前撰寫的《如何進行有效的滲透測試信息收集》。

社會工程和釣魚：在信息收集過程中，進攻方還會利用社會工程和釣魚等手段，獲取目標賬戶的郵箱和密碼，以及目標公司VPN賬號等其他敏感信息。

信息泄露：信息收集階段，進攻方還會通過泄露的信息獲取敏感數(shù)據(jù)，從而實現(xiàn)重大突破。

2.2.邊界突破

完成信息收集后，進攻方利用收集到的信息進行下一步滲透，目的是進入防守方的內(nèi)部網(wǎng)絡環(huán)境。

為了實現(xiàn)這個目標，采取以下策略：

站點突破：利用之前收集到的防守方網(wǎng)絡資產(chǎn)，進行滲透測試，并利用各種漏洞（如0day、nday和cve等）獲取系統(tǒng)shell，然后突破內(nèi)部網(wǎng)絡。

敏感信息泄露：在信息收集階段，進攻方還會搜索GitHub、碼云、文庫、網(wǎng)盤和在線文檔編輯工具等公共平臺，以查找目標企業(yè)是否存在敏感信息泄露。這些信息可能包含重要的賬戶和密碼等內(nèi)容，一旦泄露，進攻方就可以利用這些信息攻擊防守方系統(tǒng)。

一旦敏感信息泄露到公共網(wǎng)絡環(huán)境，并被進攻方發(fā)現(xiàn)并利用，后果將難以估量。

2.3.內(nèi)網(wǎng)橫向擴展

當成功進入內(nèi)網(wǎng)后，進攻方將開始進行內(nèi)部攻擊。

進入內(nèi)網(wǎng)后，我們需要對網(wǎng)絡進行進一步的信息收集，包括內(nèi)網(wǎng)網(wǎng)段、存活主機、開放端口和操作系統(tǒng)等信息。

然后，我們需要查找內(nèi)網(wǎng)中是否存在可利用的主機漏洞或其他網(wǎng)絡服務漏洞，以控制更多的主機，獲取最高權(quán)限，并獲得管理員信息，從而獲取域憑證，進一步獲取域控權(quán)限，甚至完全控制整個內(nèi)網(wǎng)。

自此，進攻方的目標達成，紅藍對抗也結(jié)束了。

3.總結(jié)匯報

到達這個階段，我們需要向上級報告紅藍對抗的成果，匯報戰(zhàn)果，并對本次紅藍對抗進行復盤分析，詳細講述攻防過程和入侵路徑，討論攻擊手段和技巧、攻擊成果，并根據(jù)實際情況提出優(yōu)化建議，鞏固紅藍對抗的成果。最后，總結(jié)紅藍對抗的整個過程和成果，并提供安全建議。

在紅藍對抗中，進攻方必須牢記，紅藍對抗只是一種演練，因此在攻擊過程中應遵守法律和道德準則，確保攻擊行為的合法性和合理性。進攻方的主要目的是測試目標系統(tǒng)的安全性，并幫助防守方改進防御措施，而不是從事非法或有害的攻擊行為。

紅藍對抗演練是一種模擬攻擊與防御的訓練活動，它通過模擬真實世界中的網(wǎng)絡攻擊行為，幫助組織和個人了解黑客的思維方式和攻擊技術(shù)，并學習如何識別和應對這些威脅。據(jù)我個人的有限認知來看，無論是黑客入侵還是紅藍對抗，除了掌握常規(guī)步驟以外，還需要掌握過硬的技術(shù)。高度的網(wǎng)絡攻防技術(shù)會帶來出乎意料的成果。

中培IT學院網(wǎng)絡安全紅藍對抗實踐培訓涵蓋了以下方面：

進攻技術(shù)：學習各種滲透測試工具和技術(shù)，了解攻擊者的思維方式，學會模擬攻擊并發(fā)現(xiàn)系統(tǒng)的安全漏洞。

防護技術(shù)：掌握網(wǎng)絡安全監(jiān)控、入侵檢測、事件響應等技術(shù)，學會及時發(fā)現(xiàn)和應對攻擊行為，并加強系統(tǒng)的安全性。

紅藍對抗實戰(zhàn)：通過模擬真實的攻防場景，讓學員在實踐中學習和應用紅藍隊技術(shù)，提高他們的應對能力和協(xié)作能力。

安全框架和方法論：介紹網(wǎng)絡安全領域常用的框架和方法，如PTES、CKC、ATT&CK等，幫助學員建立系統(tǒng)化的安全思維和方法。

網(wǎng)絡安全紅藍對抗實踐培訓將使學員能夠掌握紅藍隊技術(shù)和方法，增強技術(shù)人員在網(wǎng)絡安全領域的專業(yè)能力。這將有助于技術(shù)人員更好地保護組織的信息資產(chǎn)和數(shù)據(jù)安全，并提高對網(wǎng)絡威脅的預測和響應能力。感興趣的小伙伴可以咨詢我了解詳情。