聊聊企业蓝军攻防的关键

目录隐藏

写在前面

我记得大概从2016年左右，国内有越来越多的企业开始构建自己的蓝军攻防团队。

我想这和当时《网络安全法》颁布，以及大型攻防演练的举办有密不可分的关系。

企业希望通过组建企业级的蓝军攻防团队，来验证企业安全能力建设水平，并指导企业安全建设方向。

之后很长一段时间，我在企业也带过蓝军攻防团队。时至今日，蓝军攻防团队已经成为一些相对成熟的企业建设安全团队的必备配置。

在过去将近十年的时间里，大家都在不断的摸索和迭代企业蓝军攻防到底应该怎么做，如何才能产生更好的效果。

这个过程中大家应该也都踩过很多坑，也积累了很多经验和心得。

今天我们出来创业之后，也会接一些企业的蓝军攻防演练的项目，或者给企业攻防演练的工作提供一些支持。

过去也经常会有很多企业负责蓝军攻防演练的安全大佬，和我交流应该如何做好这项工作，刚好今天下午去一家大型互联网企业交流的时候，还聊起来这个事情，我想可以稍微总结一下我自己过去的一些心得和实践经验，也包括踩过的一些坑。

可能并不是行业的最佳实践，但是也希望给各位带来一点点启发。

当企业安全治理到一定程度之后，企业安全负责人开始会面临来自企业管理层的灵魂拷问：安全建设了这么多年，最近好像也没出啥问题，我们是不是已经很安全了？

那么作为企业的安全负责人，应该怎么回答这个问题呢？

实际上你怎么说好像都不对，你说已经很安全了，可能实际是很多安全问题你并没有发现。

如果你说还是不够安全，但是管理者说你现在并没有发现什么新的问题，看起来也没有出什么新的安全问题。如果你硬要说还不够安全，管理者会认为你就是在忽悠他，继续投入更多资源，来搞你自己的技术研究工作，并没有解决企业的实际问题。

这里面还有一个巨大的陷阱是，当你用你自己当下对于安全问题的认知，去建设企业的安全时，你做的再好，其实也只是解决了你认知范围之内的东西，可能很多你（这里更多指的是企业安全建设团队）认知之外的风险，是没有办法去暴露和治理的。

而实际情况就是，所有人的认知都是有局限性的。

所以，这个时候企业开始发现，通过企业蓝军攻防这个角色，来模拟对企业进行“真实”（这里其实大多数时候也只能做到相对真实，因为你没办法真正去搞破坏性的事情）的攻击演练，从而能够充分的暴露问题。

同时通过不同的攻击者视角，来解决自身认知的局限性，以及自己很难评估自己到底做的好或者不好的问题。

进而在这个过程中，充分暴露问题的同时，能够更加高效的指导企业安全下一步的建设方向。

这看起来是一项非常有意义且必要的工作，尤其是在企业把一些显而易见的安全问题解决之后。

过去跟很多负责企业蓝军攻防的小伙伴交流的时候，大家大致都会吐槽一些问题：

每次搞企业内部的攻防演练，都是挖一堆漏洞，然后攻破了企业内部的关键系统，搞了几次之后，感觉大家都疲了，没啥意思；
企业内部的蓝军攻防部门会经常被内部吐槽：你自己在企业内部，很多都是已知问题，或者很多时候你都知道我们是怎么防的，那你来攻击我们，有啥意义？实际攻击者肯定不会对我们的防护策略了解的这么清楚；
老板吐槽说，最近我们出了好几次业务被攻击事件（比如业务活动被薅羊毛、因为隐私问题被处罚等等），你们这些蓝军自己怎么没有提前发现这些问题？你们在干啥呢？

等等，可能还有很多类似的吐槽。

这背后我想意味着的都是我们在做蓝军攻防的时候存在的一些误区：

蓝军攻防演练的目的一方面是为了暴露风险，但是更重要的终极目标是为了推进企业安全防护水平的进步。通过攻击演练的手段暴露风险，然后结合自己对攻击以及企业安全防护、基础技术架构、业务架构的理解，给出更好的更长效的治理方案，并推进落地治理。而攻击演练只是一个开始；
过去很多攻防演练都更多的聚焦在漏洞或者纯技术的攻防演练。而实际业务所面临的更多风险并不局限于安全漏洞攻击场景，甚至更多的是业务上的设计缺陷、安全意识及安全管理上的缺失所带来的风险。而对于蓝军攻防来说，更多的其实应该面向企业的所有潜在风险场景出发进行演练和促进企业安全建设；
关于企业内部的蓝军攻防团队是否会因为本身对于安全防护能力很了解，所以打起来很容易，缺乏演练的实际意义。这件事情看你做演练的出发点是什么？如果企业内部安全防护团队已经充分意识到的问题，并且正在积极改进，那么利用这样的信息来做演练以取得效果，确实意义不大。如果不是，那么还是应该打的：）