论大型闪电式红蓝对抗战术方法论——上篇:攻
2022-7-13 16:18:16 Author: www.secpulse.com(查看原文) 阅读量:38 收藏

引言

要严格区分和正确处理“敌我矛盾“和"内部矛盾”这两类不同性质的矛盾。要灵活运用到整体的战术中去,将最小的“资源”发挥最大的“力量”。努力地限制“矛盾”、控制“矛盾”、引导“矛盾”

——Micropoor

注:此方法论适用于组织、规划、牵头者,或KPI原始设计模型参考、或要多维度、多视角看待事物发展规律的技术人员等,本文不涉及技术,只从公司战略层面或内部组织管理层面考虑投入产出比,在控制投入的同时又可以将力量尽可能的发挥最大化,控制“主矛盾”,平衡“次矛盾”,集中力量办大事,相信,相信就会发生。

正言

在大型的“闪电战式”红蓝对抗演练中,往往由多个平行部门、跨部门,甚至跨公司组成一个“临时”团队,“共同”对抗与应对“一定时间限制内”的红蓝对抗演练。而其中主要的资源将会采取“集中式”,主要的行动采取“闪电式”。但是在整体的行动路径上,都会发生这样与那样的“问题”,而这里的“问题”其主要抽象出来就是“矛盾”的性质与属性,而本篇“方法论”中,将会采取战术的可控流程与可控标准来限制“矛盾”、控制“矛盾”、引导“矛盾”,故本篇抛砖引玉出"战术"方法论。

理想与现实往往是矛盾并且错综复杂的,尤其是在大型红蓝对抗中是涉及到,管理、流程、技术、战术、多方人员形成合力、成本、产出等系列问题交织在一起。一般大型红蓝对抗具有一定的时间限制,各方队伍,需要在指定的时间内,完成攻坚战,并且赢得竞争对手。

正文

假设场景与条件:本次大型红蓝对抗周期20天,内部参与跨部门3个,每个部门出15人,共计45人。部门分为别A、B、C

红蓝对抗现场人员队伍组成模型

现场红蓝对抗人员保持一个宗旨:跨部门混合式人员搭配。

远程人员队伍组成模型

信息收集组:

主要做好提前信息搜集,如传统的互联网资产搜集、CMS、邮箱搜集等。也包含与目标股权有关联的子公司、分公司、供应链等。根据信息搜集整理后,大致判断目标内部网络是否在同一网络下、根据经验初步判断是否在同一内网。整理好信息后移交到“社工钓鱼组”。

社工钓鱼组:

主要根据“信息搜集组”整理后的资料,分门别类,做好相关“社工钓鱼”工作。包含但不限制于:邮箱钓鱼、手机钓鱼、APP通信软件钓鱼、供应链钓鱼、进源钓鱼等。

漏洞应用组:

主要根据“信息搜集组”整理后的完整资产(目标资产、关联资产、上下游资产、供应链资产等识别)快速定位已知CMS以及未知CMS,对于已知CMS做好自动化或bypass工作,对于未知CMS快速找到相关信息,做进一步“审计、挖掘”。

免杀对抗组:

免杀对抗组主要工作分2个方向,1)对抗安全工具。2)解密相关源码或逆向相关应用。分别支持“社工钓鱼组”的payload免杀安全对抗与“漏洞应用组”漏洞挖掘中的加密解密做“审计、挖掘”

内网对抗组:

主要支持“外网对抗组”、“社工钓鱼组”的工作。采取动态化时间作息。例如在前期工作中,内网对抗组整理开展内网工作中可能遇到的“安全工具对抗场景”、“CMS漏洞列表”等,充分与“漏洞应用组”交流,以便展开工作时,争取时间上的优势。

外网对抗组:

主要根据“信息搜集组”与“漏洞应用组”做2个方向工作,1)自动化,2)非自动化。在开展工作的过程中,采取1或2,主要根据目标的警觉性与反应速度决定、与目标的资产类决定、与目标的上下游资产决定、与目标的供应链广度决定。

机动远程组:

顾名思义机动组人员要求“经验老道”且“时间动态”,主要技能方向“bypass、反编译、加解密、漏洞挖掘、内网对抗”,分别根据动态工作中以便支持“漏洞应用组”、“免杀对抗组”、“内网对抗组”

后勤支援组:

顾名思义后勤支援组既远程队员的“物资”后勤保障,包括但不限制于“代理池、服务器、4/5G、可食用物资等”,根据经验尽可能由男女组合,因其核心要求“细心”、“坚持”、“沟通”。(因可能涉及到搬运、熬夜、记录)

工作流程

基础收集:由现场同步远程信息收集组,按照信息收集流程将目标基础信息搜集完毕

分配目标:由远程各打点组牵头人分配打点目标,2人一组进行打点

漏洞支援:期间打点组遇到需求漏洞的资产,同步至漏洞应用组进行漏洞支援。

内网渗透:获取权限后,由远程各组牵头人分配内网组渗透人员,2人一组进行内网渗透。

结果梳理:成果报告组整理打点组、内网组成果,按照比赛规则进行编写报告。

人员激励模型 - 贡献积分制

机制:积分等于权重,组长按1-10分按照贡献程度给组员分配权重。

1:在设计人员激励的过程中,一定要以“小组”为核心设计,勿以“个人”为核心设计。每个组设“技术组长”一名,负责整组的“方向、行动、沟通、同步、跨组配合”(组长是技术型组长且加入到整个对抗工作中)

2:采取积分制记录,该工作为“成果报告组”跟进。以“小组”为单位,分别对接每个小组的“技术组长”。以每组进展、结果记录对应积分。

组织架构模型

结语

整篇文章主要围绕2个核心问题而出发

(1)“敌我矛盾”(2)“内部矛盾”

其中用制度来限制“矛盾”扩散,用“工作流”来串联各个分工流转。将最小的“资源”发挥最大的“力量”。限制“矛盾”、控制“矛盾”、引导“矛盾”

渗透的本质是信息搜集,对抗的本质是资源投入,而在整个对抗的过程中,“领队”最先优先考虑“有限的资源投入”如何最大化发现其“资源价值”。解决“资源、物力、人力、储备、架构、工作流、制度”等问题后,在回归到红蓝对抗的技术本身。

本文作者:Micropoor

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/183054.html


文章来源: https://www.secpulse.com/archives/183054.html
如有侵权请联系:admin#unsafe.sh