原创 奇安信 2025-08-19 08:45 广东
实战出真知
一、背景
在中国,网络安全领域的“蓝军”概念源自国外军事领域中同名的专业术语。蓝军的起源深深植根于军事实践之中,其核心理念在于:为了构建更加坚固的防御体系,必须主动出击,通过模拟攻击自身的防御系统来揭示潜在的薄弱环节,进而加以强化。这一理念逐渐发展成为一种名为“战争游戏”的演练模式。
在金融领域,这一理念同样得到了广泛应用。许多金融机构纷纷聘请专业的蓝军团队,每年定期开展实战化验证活动,旨在揭示现有防御体系中的漏洞,并验证其有效性。近年来,一些领先的金融机构更是建立了自己的企业蓝军队伍,积极践行“以攻促防”的理念。通过常态化的攻防测试,这些机构在日常工作中不断从攻击者的视角审视自身的防御体系,及时发现并弥补不足。这种检验防御体系的方式被证明是最为有效的,为金融机构后续的安全建设提供了有力的指导。
二、主要问题
近年来,企业蓝军的建设呈现出蓬勃发展的态势,截至2024年,参与实战攻防演习的金融行业攻击队伍数量已突破20支。然而,在金融单位蓝军能力增强的过程中,亦面临诸多挑战与瓶颈。
尽管已明确提出实战化企业蓝军的建设目标,但具体的实施规划、发展路径以及可操作的方案仍显模糊,这严重阻碍了企业蓝军建设的系统性和持续性。
蓝军的职责定位及工作界限不明确,导致日常工作中难以准确界定其职责范围,除攻防演习外,蓝军人员的价值难以得到充分展现。
蓝军人员的选拔标准与能力提升路径不清晰,实战型人才匮乏,且缺乏有效的实践锻炼和训练环境,这直接导致蓝军能力与实战需求脱节,进而影响了团队的稳定性。
在知识库、工具库以及案例库的建设方面存在明显不足,缺乏必要的积累和支撑。
三、解决思路
(一)确立目标,细化企业蓝军岗位职责与成长蓝图。
企业蓝军的组建应深度融合分子公司的精英力量,不仅需履行公司内部的攻防职责,还应积极投身于外部的比赛及攻防演习中。其职责可明确分为日常对内与对外两部分:
1、对内职责
全面渗透测试:包括但不限于上线前的渗透测试、源代码审计、业务框架的深度漏洞挖掘,特别是自研系统平台与底层框架在开发测试环境下的潜在漏洞,以及凭借内网白名单权限,随时进行不通知测试,并将发现的漏洞闭环管理于漏洞管理平台。
内部攻防实战演练:通过高度仿真的攻防场景,持续磨砺防御体系。
攻防项目管理:担任攻防类项目的项目经理,确保项目的顺利实施与高效执行。
安全事件响应与溯源:迅速响应安全事件,进行深度溯源分析,构建坚实的防守屏障。
2、对外职责
荣誉竞赛的参与:代表企业征战国内外顶尖攻防赛事,如网鼎杯、强网杯等,以卓越表现为企业赢得荣誉。
攻防演习的能力展示:作为攻击方参与各类行业、地市级攻防演习,展现企业强大的攻防实力。
品牌影响力的提升:通过参与各类论坛、大会等活动,扩大企业影响力,提升品牌形象。
需强调的是,企业蓝军不应仅满足于渗透测试团队的定位,而应致力于成为一支具备从资产识别、漏洞研究、外围打点、内网横向移动、权限维持到靶标攻陷的全链条攻击能力的APT攻击团队。因此,其成长目标应聚焦于APT攻击能力的全面构建与提升,涵盖基础能力、战术素养、实战经验、工具储备等多个维度。
(二)汇聚名师,打造不同梯队的企业蓝军
攻防课程讲师必须拥有丰富的实战经验,在Web攻防、社工渗透、内网渗透、模拟APT攻击等领域具备了扎实的技术实力。面对不同级别的人员能力提升需求,需要提供自定义组合、有侧重点的课程设计体系。
面向攻防入门人员:强化渗透测试基础,注重工具使用与动手能力培养,以满足企业蓝军的基础工作内容需求。
面向初级蓝军:提升战术素养,建设基础工具库,通过高仿真靶场进行场景化训练,全面提升战术素养、动手能力与团队协作能力,达到独立组队参加攻防演练的水平。
面向中高级蓝军:深化战术理解,强化工具研发与漏洞挖掘能力,提升团队深度配合与实战成绩取得能力。
(三)萃取实战环境,高仿真环境中锤炼实战技能
通过每年超过300场的实战经验总结,从中提炼出实战攻防场景,并在虚拟环境下进行还原,形成独特的训练环境。在模拟场景攻防演练阶段,依据攻防实战的真实案例构建的18套实训靶场环境开展。其中有8个初级技战法靶场,重点训练实战中常见的必备攻击测试基础技战法;6个中级技战法靶场,重点训练与安防设备产品对抗技术,包括杀软、WAF、堡垒机、主机安全、流量监控、容器逃逸等;4个高级技战法靶场,围绕行业特点、网络特征、业务属性、防御能力等建立的综合靶场进行高阶能力综合训练。场景分级和训练重点如下:
靶场拓扑图举例
(四)选工具,工具库助力实战效能跃升
在企业蓝军能力提升过程中,攻防工具的应用是突破瓶颈的关键。鉴于团队规模与运营成本限制,工具积累往往成为企业蓝军的短板。同时,工具免杀、木马维持、功能升级等方面也面临着高昂的运营成本。为解决这些问题,研发了一体化工具平台,通过SaaS服务方式为企业提供高效工具与服务。
该平台将助力企业蓝军在短时间内实现能力飞跃,通过提供丰富的攻防工具与专业的服务支持,解决工具积累不足、免杀与木马维持难题,以及功能升级等方面的挑战。
四、最佳实践
(一)组建初级红队
1.需求与目标
某金融行业单位新成立攻防团队,规划团队岗位职责,并确定了以内部选拔为主,外部招聘为辅的全公司范围人才选拔策略,组建企业蓝军。
以组建攻击队为核心目标,通过网络安全专业人才培训、选拔,寻找有攻防技术功底、有潜质并且有意愿从事攻防技术进行深入研究的技术人员,在2-3年内将队伍塑造成为行业内有一定实力的攻防队伍。
2.能力提升规划路径
2023年侧重单位内部人才选拔,2024年通过实战带训、联合组队以及构建全面的知识库,全方位提升蓝军的实战能力,2025年将更侧重实战及工具库能力叠加,最终可达到中级红队的能力。
3.核心特色亮点
1)人才选拔及评估
针对入围科技人员进行统一的攻防技术培训,通过线上考试完成攻防人才的初步评估,攻击队资深专家亲自面试,综合评估攻击队人员的能力。从Web安全、漏洞利用、主机安全、信息收集、外网打点、权限维持等方面评估,并形成能力雷达矩阵图,最终选拔出有潜力的人员作为一线蓝军队伍。通过每年定期评估人员可持续直观的看到蓝军人员能力变化。
2)实战化训练体系落地
根据年度目标拆解带训计划,采用阶段性带训结合重点攻防场景授课、蓝军靶场练兵及持续能力考核的方式,在掌握理论和方法的同时,通过实战化的靶场环境中进行练兵,确保学员掌握攻击队常用的攻击技巧,最后通过联合组队验证学员实战能力,形成了螺旋式提升攻击队人员能力的方法。
3)建立攻防评估标准
以攻促防已经成为打造企业蓝军的最终目标,从攻击、防护以及工具研发方面,建立攻防能力评价标准,树立能力提升目标,有针对性的提出提升蓝军成员的Web打点、客户端攻防、内网攻防、代码审计、社工、漏洞挖掘等方面的能力标准;在工具侧设计开源工具魔改、自动化工具、权限维持等方面建立能力标准;在数据分析能力方面和应急响应方面建立关联分析、上机排查和溯源的能力标准,打造攻防兼备的能力体系架构。
(二)高级攻击队:大战之前的实战练兵
1.需求与目标
某金融行业单位攻击队近期要参加攻防演习,但实战经验不足,备战时间较短,但是攻击队有一定的实战经验,急需攻防演习前的集训。
借助高仿真的攻防技术模拟靶场环境,结合实操演练与专业指导,帮助攻击队人员在信息搜集、漏洞利用、互联网外网突破、内网拓展、社工钓鱼、漏洞挖掘等方面重点强化,在“大战之前”获取宝贵经验。
2.通过实战化的课程体系拓宽攻防思路
根据攻防演练需求设计了与本次攻防对抗相关的主要内容,具有丰富经验的攻击队专家亲自授课,将课程内容与实际攻防案例结合,启发学员的攻防思路,如下所示:
3.通过实战靶场练兵熟悉攻防组合套路
通过历年国家级攻防演习场景还原,组合各种常见攻击方式,有针对性的、有重点的对参演人员进行训练,达到了快速进入攻击场景,熟悉攻击路线的作用。
结语
数字经济为金融业带来发展机遇的同时,也对金融安全带来了巨大挑战。在国家推进金融安全体系建设的当下,金融机构正积极的将网络安全建设推向一个更加注重实战效能的新阶段。对于证券行业而言,蓝军的培养还需注重实战经验的积累和攻防思路的拓宽,以应对日益复杂的网络安全挑战。未来,随着攻防技术的不断演进,企业蓝军的建设也将持续加强,为证券行业网络安全提供保障,助力金融业在数字经济的浪潮中稳健前行。
作者介绍
奇安信观星实验室成员均为攻防领域的高级技术专家,拥有丰富的国家及省部级攻防演习经验,在各行业演习中名列前茅。实验室通过实战研发了多套技战法和工具,在Web攻防、社工渗透、内网渗透及模拟APT攻击等方面技术扎实、灵活,实战能力获业内高度认可。
李鸣远,奇安信金融行业安全服务专家,负责攻防领域人才培养以及实战化安全运营体系的设计与落地。
盛浩月,奇安信金融行业解决方案经理,有丰富的内容运营及活动策划经验,曾撰写过多项证券行业网络安全相关研究报告。
关于 安全村文集·证券行业专刊
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org
