引子
红蓝对抗是这几年国内安全圈比较热门的概念,趁着攻防演练这一波理念的践行,有太多安全同行的服务、产品和事业受益,但红蓝对抗的核心概念大多数人并不是真的理解,一些安全场景也逐渐呈现出画皮不画骨的怪现状,种种这些笔者决定写这么一篇短文来解读一下真正的红蓝对抗。
概念
红蓝对抗实际上是一个军事演习概念衍生出来的网络战概念,双方的关系是敌我,而不是现在网络对抗演习里只有你攻我守两种唯一角色的对应关系。敌我双方关系的确定,决定敌我同时是攻击者也是防御者,敌我是拥有对等资源的双方在互相进行战斗,不死不休。
要素
真正的红蓝对抗包括了进攻、防御和威慑等这些传统的战争要素,但这些网络战攻防概念在普通的组织机构里几乎无法践行。一个战场概念,试想有那么一天,孱弱的普通民众去拿起刀枪和专业素养的军人对抗,所有的形势只会是一边倒。网络攻击的成本很低,网络防御的成本很高,让弱势的一方去负重前行是何等的不公平。
过程
网络可被攻击是因为计算机系统天生存在缺陷,网络能被攻击的前提是可以被访问,并且存在安全漏洞。网络攻击是否可行,取决于被攻击目标的复杂程度,攻击者可以通过前期侦查发现目标系统中存在的具体安全漏洞,但真正的攻击效果取决于攻击者对目标系统的了解有多少,以及目标在遭受攻击时所暴露出来的动作与安全人员相应的反应策略。
战术
真正的红蓝对抗始终是围绕反制溯源展开的。在网络战中,前期的网络渗透必须谨慎和隐蔽,忌讳被敌方发现,以此招来反制、溯源和报复等。而最终的攻击目的从来只有一击必杀,攻击要保证精确有效,没有任何多余的步骤,一击直接让对方的关键设施瘫痪。
与真实战争要获取制空权不同,网络红蓝对抗的攻击更趋向于隐蔽控制,因为敌方一旦发现安全漏洞或我方暴露了攻击意图,敌方的系统将变得更加坚固,难以攻破。
在网络战中,如果网络攻击不会受到惩罚,那么攻击者将会肆无忌惮,永远不会停止攻击。网络攻击中要找到真正的攻击实施者太困难,一旦溯源成功即可能引发被攻击方的报复,因此攻击者经常会使用“假旗”手段来迷惑对方,错误的溯源将树立新的敌人。同时也缺乏中立的组织机构判断网络攻击到底是报复行为还是侵略行为。网络战的威慑概念在政企安全场景中并不适用,但是对于一些网络犯罪团伙,组织机构一定的威慑力是有必要的。
防守方的资产可能每时每刻都在发生变化,目标在被我方攻击过程中,敌方安全人员的反应都是不可预测的,所有的攻击效果都由安全人员对于攻击的发现、处理和反应决定,攻击方无法保证一直对被攻击资产有控制权。
切换到敌我双方的视角,在网络战的概念里,如果目标对于相关攻击没有进行报复或披露,那么攻击者会愿意冒险进行重复的攻击行动,如果攻击者因为敌方报复发现了自身的安全问题,提升了自身的安全防御,改进了攻击技术手段,攻击者也会有理由继续发动重复的攻击行动。
在一个电脑和网络普及且黑客可能无处不在的世界里,网络攻击将永远不会停止。