摘要：在網絡安全“實戰化、常態化、體系化”的背景下，金融業在網絡安全建設中呈現出實戰與合規并重的趨勢，“紅藍對抗”可有效評估企業網絡安全防御體系有效性，已逐步在金融行業進行應用。本文介紹了網絡安全領域“紅藍對抗”定義，以及對抗中紅軍、藍軍、紫隊等角色的職責和對抗開展的流程，并從對抗場景構建、風險控制、引入ATT&CK框架、應急響應、復盤總結等方面介紹金融業進行“紅藍對抗”時的實踐經驗，希望可以給金融同業開展“紅藍對抗”活動提供幫助。

關鍵詞：網絡安全、紅藍對抗、多維度對抗場景、實網演習、風險控制、ATT&CK、加密webshell、應急響應、復盤總結、閉環管理

近年來，實戰化的網絡安全攻防演習在國家有關部門的推動下逐漸呈現出常態化趨勢，“實戰是檢驗網絡安全防護能力的唯一標準”、“網絡安全說千遍不如打一遍”等實戰化理念已逐步在各個行業形成共識，金融業在網絡安全建設中也呈現出實戰與合規并重的趨勢。在此背景下，金融業開始加速推進網絡安全建設，大都初步形成了基于縱深防御和主動防御的網絡安全防御體系，但如何通過實戰化的手段評價企業網絡安全防御體系的防御水平，如何及時發現防御體系中的薄弱環節，“紅藍對抗”應運而生。

一、“紅藍對抗”的定義

參考軍事演習中的紅藍對抗，網絡安全領域的紅藍對抗是指攻守雙方在實際環境中進行網絡攻擊和防御的一種網絡安全攻防演練。通過持續的對抗、復盤、總結來不斷優化防御體系的識別、加固、檢測、處置等各個環節，從而提升企業整體的網絡安全防護能力。

在對抗中，紅軍一般是指防守方，主要負責安全防護策略和措施，加固和整改風險，對抗中進行網絡安全監測、預警、分析、驗證、處置、應急響應和溯源反制等工作。

藍軍一般是指攻擊方，通過全場景、多層次的攻擊模擬，來衡量企業防護體系在面對真實攻擊時的防御水平。藍軍常見的攻擊手段包括信息收集、社會工程、建立據點、橫向移動、權限提升等等。

除此以外，“紅藍對抗”還需要一個組織方，一般稱為紫隊，主要負責組織紅藍對抗的規劃、授權、決策、評分、復盤等工作。

“紅藍對抗”組織架構具體如圖一所示：

圖1  紅藍對抗組織架構圖

二、網絡安全“紅藍對抗”機制實踐

1、構建多維度對抗場景，實網開展“紅藍對抗”

在“紅藍對抗”演練中，實施模式一般包括靶場模式和實網攻防模式兩種。金融行業業務環境復雜、IT環境種類繁多，而且目前國有大銀行核心系統基本基于IBM ZOS環境，在行業中特有，靶場模式一方面難以全面模擬金融業實際生產環境，另一方面也無法發現企業內部真實問題等缺陷，一般來說，“紅藍對抗”演練在實網開展的效果更好。但與此同時，金融業對生產系統的穩定運行有嚴格的監管要求，為了防止“紅藍對抗”對生產系統造成影響，金融業“紅藍對抗”實網演練環境可以先從企業測試環境開始積累實踐經驗，根據企業自身實際情況，逐步推廣至生產環境。金融行業一般都建立了比較完整的測試環境，測試環境一是與生產環境一致性較高，二是在實戰中容易成為攻擊突破口，屬于企業安全防御體系的薄弱環節，需要進行針對性的對抗演練，可以說，金融行業測試環境是“紅藍對抗”的“天然靶場”。在測試環境實網絡開展對抗的同時，還須對藍軍的攻擊行為進行嚴格的風險控制并建立應急處置措施，例如“不允許對業務系統進行破壞性的操作、不允許使用SYN FLOOD、CC等拒絕服務攻擊手段、禁止使用帶有后門的工具、重保期間停止對抗”等等，最大限度減少對系統的影響。

為了全面模擬出金融業面臨的各類網絡安全風險，提升演練效果，我們通過總結金融行業實戰對抗經驗，構建出多維度、層次化的實戰攻防對抗場景，包括：

場景一：攻擊者通過互聯網漏洞、弱口令等手段進入DMZ區，實現外圍打點；

場景二：攻擊者通過前期發現的互聯網漏洞在DMZ區建立據點，搭建隧道，進行縱向突破；

場景三：攻擊者利用VPN、虛擬云桌面設備0day、社會工程等方式，直接進入企業內網，并進行橫向移動；

紅藍對抗攻防場景具體如圖二所示：

圖2  紅藍對抗攻防場景示意圖

通過多維度、立體化的攻防場景的對抗，全面模擬出金融業面臨的各類網絡安全風險，從而提升“紅藍對抗”演練效果。

2、借鑒ATT&CK技戰法，前沿技術重點突破

在“紅藍對抗”的實踐中，企業可以充分借鑒國際上主流的ATT&CK框架，開展更具針對性的對抗演練。ATT&CK框架在洛克希德-馬丁公司提出的KillChain模型的基礎上，構建了一套更細粒度、更為全面的攻防知識庫，涵蓋了國際上APT組織常使用的12種戰術和200多種技術，具體如圖三所示。

圖3  ATT&CK框架

對抗中，藍軍借鑒ATT&CK框架的攻擊技術，建立起更加系統化、規范化的攻擊場景，并沉淀出適合金融業實際的攻擊知識庫和武器庫。紅軍研究ATT&CK框架中的監控建議和緩解措施，建立起覆蓋Windows、Linux、Hpunix、AIX、AD域等環境的網絡安全監控指標體系。

除了借鑒ATT&CK，企業還可以通過總結參加國家組織的大型網絡安全攻防演習的經驗，對于演習中前沿的攻防技術和武器進行專題研究和對抗，如加密Webshell“冰蝎”、Powershell內存馬、AD域滲透（攻擊手段涵蓋GPP、PTH、PHH、MS14-068、黃金票據、白銀票據等）、CobaltStrike攻防、后門免殺等等。藍軍在對抗中主動實施前沿攻擊技術和武器，一方面提升對抗攻擊強度和隱蔽性，另一方面提升藍軍整體作戰能力；紅軍在對抗中，分析上述前沿攻擊技術和武器的攻擊特征，跟進各類開源檢測項目，研究系統層、應用層、網絡層檢測方案，從而提升企業整體的安全防護能力。

以加密webshell“冰蝎”為例，加密webshell在國家級大型攻防演習中大放異彩，由于流量加密，給防守方帶來較大困擾。我們通過對“冰蝎”進行逆向分析、代碼審計，在流量層分析出產生隨機密鑰流量特征，在應用層測試開源項目OpenRASP的檢測效果，在主機層進行webshell掃描和審計日志分析，實踐中，對“冰蝎”已有較好的檢測效果。加密webshell“冰蝎”具體檢測思路如下圖所示：

圖4  加密webshell檢測思路

3、對抗戰果閉環管理，復盤總結舉一反三

“紅藍對抗”演練一般包括“規劃、準備、對抗、復盤”四個階段，對每一輪演練發現的問題，企業都必須進行全生命周期管理，形成安全閉環，才能最大限度提升演練的效果。演練各個階段包含的內容如下圖所示。

圖5  紅藍對抗演練階段

在演練的四個階段中，復盤是紅藍對抗的重點之一，每一輪“紅藍對抗”演練結束后，紫隊會對這一輪演練中紅軍、藍軍提交的戰果進行確認、評分、排名，并將藍軍滲透過程中的所有關鍵行為與紅軍檢測記錄到的數據進行對賬，思考如何提高入侵感知能力，提高應急響應效率，提高入侵攻擊成本，提高攻擊溯源能力等等。紫隊會根據本輪紅藍對抗中的對抗特點，動態調整評分機制，優化實施方案，進而加大攻防對抗力度。

針對發現的安全防護體系中的薄弱環節，紅藍雙方共同提出解決方案，從而提升企業整體安全防護水平。同時，對于演練中發現的漏洞，需要納入企業現有漏洞修復流程進行處置跟進，并舉一反三，防止類似的問題重復發生。

三、“紅藍對抗”進一步展望

“紅藍對抗”是企業網絡安全防御能力的試金石，企業可通過開展常態化的內部“紅藍對抗”來不斷完善對抗機制，從而提升演練效果，做好內部紅藍軍隊伍建設。未來，企業可進一步引入外部藍軍的力量來加大攻防的強度；建立并完善入侵發現率、對抗場景覆蓋率、平均響應時間MTTR等指標來量化“紅藍對抗”的效果；通過演練強化安全事件研判分析、規范安全事件處置流程，對安全事件進行及時控制，形成快速處置和響應機制，從而進一步完善企業安全運營中心（SOC）的建設。

網絡安全的本質在對抗，在網絡安全“實戰化、常態化、體系化”背景下，“紅藍對抗”可以幫助金融業在網絡安全建設中實現“以攻擊促防御、以攻擊促整改、以實戰促建設”的目標，達到網絡安全“紅軍”、“藍軍”相互促進，循環提升的效果，從而不斷提升金融企業安全防護能力。