什么是红蓝对抗?

 

类似于军事领域的红蓝军对抗,企业可以通过红蓝对抗来检验企业安全状况,同时也可以通过红蓝对抗演练来寻找自身所存在的防御薄弱点。

 

在网络安全中,红蓝对抗中蓝军扮演黑客、红军扮演防御者。在国外的话,扮演黑客的团队经常称作红队,但是在国内称为蓝队才是应该比较准确的说法。

 

(本文采用黑客团队作为红队的讲法)

 

红队的目标和所需的技能是什么?

 

红蓝对抗的目标就是来评估企业的安全性,有助于找出企业安全中最脆弱的环节,来提升企业安全能力的建设。

 

红队相比渗透测试不仅仅关注技术安全问题,例如应用、系统、网络、组件等,也关注管理安全问题,例如蓝队的组织、流程、规范等。

同时红队测试的范围更广、攻击程度更猛烈、测试时间更长、行动目标更大。

 

 

红队所需的技能包括:渗透测试、漏洞研究、软件开发、逆向工程、社会工程学、物理安全等等。应此红蓝对抗不仅需要渗透测试的人才,还需要逆向工程师、数据安全工程师等一系列人员。

 

 

作为红队队员应该注意什么事项以及法律法规?

 

需要注意内容如下:

1、测试前要提前进行报备

2、可能会影响到正常业务时必须提前进行沟通

3、漏洞的确认按照公司的规范制度制定

4、漏洞和业务沟通确认后再发工单进行修复

5、漏洞要进行闭环,不能发现漏洞而不去修复漏洞

 

 

网络安全相关的法律法规如下:

1、《计算机信息网络国际联网安全保护管理办法》。

2、《中华人民共和国计算机信息系统安全保护条例》。

3、《互联网上网服务营业场所管理条例》。

4、《关于维护互联网安全的决定》。

5、《中华人民共和国保守国家秘密法》。

6、《中华人民共和国刑法》(摘录):第二百八十五条,第二百八十六条,第二百八十七条。

 

 

网络安全重要的法律法规解读:

《全国人民代表大会常务委员会关于维护互联网安全的决定》(摘要)

1、为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;

(二)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;

(三)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。

2、为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;

(二)通过互联网窃取、泄露国家秘密、情报或者军事秘密;

(三)利用互联网煽动民族仇恨、民族歧视,破坏民族团结;

(四)利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。

3、为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网销售伪劣产品或者对商品、服务作虚假宣传;

(二)利用互联网损害他人商业信誉和商品声誉;

(三)利用互联网侵犯他人知识产权;

(四)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;

(五)在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。

4、为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网侮辱他人或者捏造事实诽谤他人;

(二)非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;

(三)利用互联网进行盗窃、诈骗、敲诈勒索

《全国人民代表大会常务委员会关于加强网络信息保护的决定》(摘要)

1、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。

2、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。

网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

3、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

4、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。

5、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

6、网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。

7、任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

8、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。

 

红队工作环境所需的工具与运行环境?

 

常用工具:

Nmap,Sqlmap,CobalStrike,MSF,FOFA,Kiwi等等

 

运行环境:

C,Java,Python,Ruby

 

红队如何加固自身,防止被溯源?

1、使用代理IP,隐藏自己的真实IP

2、通过域名 + CDN 隐藏 C2