终于有人把红蓝对抗讲明白了

终于有人把红蓝对抗讲明白了-51CTO.COM

​作者：木羊同学

来源：大数据DT（ID：hzdashuju）

我们现在所处的时代，有人称为网络时代，有人称为信息时代，也有人称为数据时代，不管名字怎么叫吧，我想有一件事已经成为了共识，那就是我们的安全观念得要跟上时代发展。

都知道重要的东西需要好好保管，以前都怎么保管呢？找一只牢靠的保险柜重重锁上，然后再安装厚厚的防盗门，如果条件允许的话最好再在屋里养一只恶犬，这样不敢说万无一失，至少大家尽了努力。

但在当下这个时代，这种观念过时了。计算机和网络给我们的生活和生产带来空前便利的同时，也带来了空前的风险。我们看电影大片，间谍要偷个文件什么的非常费劲，又是跳飞机又是钻车底，最后还要耍杂技一般躲过各种感应器，一个不留神就满世界冒红灯，观众光是看就能把肾上素都拉满了。

但现实中可能完全是另一种画面，“小偷”一点人身风险也不需要冒，舒舒服服地坐在人体工学椅上，吹着冷气敲几下键盘就把事办了，这种小偷我们也不陌生，那就是黑客。

近年总有圈内的同学会感慨黑客也物化了，不像过去那么纯粹，我倒是觉得这也是时代的必然。最开始大多数黑客确实是把技术当作爱好，不断追求技术上的突破，喜欢分享和“炫技”。

但随着网络时代、数据时代的来临，网络数据承载了越来越多有价值的东西，同时网络攻击可以造成的损害越来越大。技术的可用武之处越来越多了，学技术的人动机自然五花八门，大家自然也就把技术捂得严严实实。

打个形象一点的比方，二十年前我黑了你的电脑顶多也就偷偷QQ密码，现在完全可以让你前段时间的工作成果付诸东流，甚至一夜之间身败名裂。这类事件时常会上新闻，对于企业就更不用说了，2018年Facebook发生数据泄露，公司市值一下蒸发360多亿美元，现在还改了名字，我想多少也有挽救公司形象的考虑在里面。

1.安全何价

当然了，有人说会被“黑”的那都是安全意识不好的企业，我们企业装了高档防火墙还搞了内外网隔离，重要数据都存在内网里，除非有内鬼配合，不然黑客再厉害也无计可施。这句话乍一听很有道理，但我们后面马上就要介绍的“内网横向移动”，就是专治这种不服。这里想先讨论另一个困扰网络安全的急迫问题，这就是认识问题。

说到网络安全意识，近些年我们确实有了长足的进步，各方都在不遗余力地宣传，安全圈的同学应该都很熟悉，国家每年都会举办网络安全宣传周，企业也基本都认识到防火墙和防盗门一样是不可或缺的必要开支。不过，认识到网络安全重要是一回事，时刻认识到网络安全重要是另一回事。

但是还有一个问题，那就是怎么衡量安全的价值。我们都说安全是无价的，但安全服务是有标价的，要购买安全设备，要聘请安全人员提供服务，都是走的市场化渠道，都需要企业实打实地掏出真金白银。所以，企业一定也都会去想两个问题，一个是想我应该掏多少钱来“买安全”的问题，一个是买了以后又要想钱花得值不值的问题。

一旦企业开始思考安全的价值问题，马上就会发现另一个悖论：安全的价值必须通过问题来体现。简单来说，我是一家企业，我今年在安全方面花了三百万，到了年底发现风平浪静啥事没有，那么，做总结的时候我到底该说自己是赚翻了还是当了冤大头？

这谁说了算？谁说都不算，科学实验讲究控制变量，我们不妨设想有个平行世界，在那个世界中这家企业没花这三百万，结果遭受网络攻击，一下损失两千万，而且还只是直接经济损失，至于事件对企业形象造成的负面形象，不但影响深远而且损失难以估算，二者一比较结论很明显，我这三百万简直赚翻了。

但是，问题难就难在没有那么一个可供比较的平行世界。再加上网络安全往往又有另一大特性，那就是要么不出事，要么出大事，无论哪一种情况，都容易会让企业的决策者感觉在安全方面的投入打了水漂。

2.红蓝对抗

接下来我想聊聊红蓝对抗。红蓝对抗从不同角度可以有很多种聊法，不过，我想顺着上面的问题谈谈我自己的思考。为什么安全会非得这么被动呢？因为别无他法。网络安全天然就划分成攻方和守方，而无论什么领域，守方天然就带有被动性。

更严重的被动性是守方心理上的被动性。对于大部分企业来说，安全是无法直接创造利润的，是一个纯花钱的项目。既然是“花钱买平安”，企业的高层甚至其它部门肯定有很多的人心里想的不是网络安全有多重要，公司应该加大在安全方面的宣传和投入，而是对于安全部门，守住了那叫你的本分，守不住那是你的责任。

外人很难了解攻方的对抗有多激烈，自然很难承认安全部门的努力和成绩。这种心理上的被动性，毫无疑问会造成更多消极的影响。有一个很熟悉的词可以形容这种感觉，那就是憋屈。

守方不是天然就得憋屈呢？不是，历史上就有很多一守成名的历史人物。不过，首先得有一个前提：那就是大家都承认眼前存在危机。挽狂澜于既倒，扶大厦之将倾，首先得让大家明白眼下已经到了狂澜既倒、大厦将倾的时候，然后守住就能守出名堂。

但是，网络安全又往往具有隐蔽性，别说是事发之前，哪怕是事发以后，很多企业还是在新闻头条上刷到了自己的名字，才惊讶地发现自己出现了安全问题。迟了，太迟了！当企业认识到自己的安全存在大问题的时候，往往也意味着接下来要进入各个部门互相扯皮踢皮球的环节。

有没有办法转化网络安全的这种被动性，至少让公司在做明年网络安全预算的时候，要钱的理直气壮，掏钱的也心甘情愿呢？

我想，那就是红蓝对抗。说到红蓝对抗，就要说说蓝军。早些年“蓝军”还是个比较陌生的词，近年我接触过一些企业，知道不少已经组建了自己的蓝军队伍，企业内部自己就搞起了红蓝对抗。

那么，什么叫蓝军？红蓝对抗又能怎样转化网络安全的被动性呢？

对军事有所了解的同学对红军、蓝军的用词应该不陌生，对抗性的军事演习一般会设两个阵营，分别叫红军和蓝军，然后让双方对抗或演练攻防。过去红军蓝军是为了搞演习临时设置的角色，后来慢慢演化出职业蓝军，人称专业“打脸”部队。

解放军的“朱日和”军演就有一支专业的蓝军部队，据说不少平时浓妆艳抹的红军部队在朱日和被狠狠地卸了妆，大家都憋着一股怒气，要“踏平朱日和，活捉满广志”。

不过，蓝军打脸不是为了让红军丢脸，重点还是评价水平和暴露问题。在网络安全中，红蓝对抗是红队和蓝队对抗，红队是防守者，蓝队则扮演类似黑客的攻击者角色，有时候还要设置一个“紫队”，承担组织工作。

蓝队目标只有一个，那就是用实战攻击回答你家企业存在多严重的网络安全问题。企业的安全措施做得到不到位，还有哪些漏洞能被利用，这些过去平行世界才能知道的事，现在交由红蓝对抗就可以告诉你。

3.蓝队养成计划

有同学可能要问，我家企业会定期做渗透测试，是不是可以替代红蓝对抗呢？

还真不行。不同企业对渗透测试的理解不一样，不过基本遵循一个大原则，那就是点到为止。

虽然渗透测试很多都自称是要以黑客的角度审视企业安全问题，不过流程走到发现漏洞也就差不多了，毕竟渗透测试也是服务，也受服务条款的约束，很多企业都会要求渗透测试不得影响主营业务，这个看起来理所当然的要求，其实免不了会导致渗透测试束手束脚。当然，更关键的还是钱。

但是黑客这边有一个特点那就是“路子野”，人家可没什么服务条款约束，目标只有一个那就是偷最值钱的东西，或者造成最大的破坏，出发点不一样，效果也就截然不同。

再加上网络安全领域木桶效应明显，而你家企业最短的那条木板可能不是技术而是人，技术看来牢不可破的认证体系，黑客发封钓鱼邮件就全搞掂了。类似场景下的安全问题往往需要红蓝对抗才能充分暴露出来。

最后说一点蓝队怎么培养的问题。其实这个问题很简单，黑客怎么培养蓝队就怎么培养，二者越像效果越好。譬如说蓝队应该怎样开展攻击呢？很简单，黑客怎么攻击你就怎么攻击，你就是挂了工牌的黑客。

说到黑客我想多说两句。有人说黑客是坏人，有人说黑客是牛人，也有人说黑客是道德败坏的技术牛人。我不想标签化地描述这个人数相当可观的群体，黑客所使用的技术五花八门，这里不妨简称为黑客技术，技术是中立，黑客技术也不例外，就好比菜刀，有人用菜刀来切菜，也有人用菜刀来伤人，我们可以把这些人都被笼统地称为“拿菜刀的人”，而黑客也不过就是“使用黑客技术的人”。

说到黑客技术，自然就说到另一个问题。现在有黑客角色的影视作品越来越多，我能理解编剧为了凸显角色的不同，非要给剧里的黑客安排一些怪异的癖好，但这也很容易让外人产生一个误解，觉得黑客都是一群怪人，非要用野路子才能培养。

这是不对的，前面已经说了，黑客技术也是技术，是技术就能学习掌握，只要方法适当，普通人也能学会黑客技术，再说了，我知道不少黑客也追剧呢，你说这群人是普通人还是怪人？

4.蓝队如何攻击

蓝队是怎样攻击的呢？一般分四个阶段，准备阶段、信息收集阶段、外网突破阶段和内网横向移动阶段。这个过程看起来和渗透测试挺像的，实际上也确实是八九不离十，但差就差在那一二上。

准备阶段和信息收集阶段很简单，就是你要拉起一支队伍，准备好相关的工具设备，然后收集要攻击目标的各类信息，也俗称“踩点”。接下来就是外网突破阶段，首先肯定是要发现一些漏洞，渗透测试做到这一步基本就可以收工了，但对于蓝队来说这只是开始。

渗透测试好比是博物馆聘请的安全检查组，检查组的任务是发现安全隐患，比如说检查发现二楼排气口的铁栅栏生锈了，他就会在报告中记录这件事，然后建议尽快更换，检查组的任务也就到此为止。

但是黑客不同，黑客好比是小偷，他也发现铁栅栏生锈了，不过铁栅栏生锈对小偷来说毫无价值，所以他就会接着琢磨怎么利用生锈的铁栅栏制造机会溜进博物馆，然后七拐八拐偷了馆里最值钱的那颗宝石。

这也是蓝队要做的事。蓝队发现了外部漏洞，首先要想的同样是怎样利用外部漏洞进入内网，然后在内网的各个节点中来回跳跃，直到达到存储了重要数据或者运行了重要系统的那个节点。这个过程也称为“内网横向移动”。

黑客也好，蓝队也好，都需要保持一颗“总想要溜进去偷点什么”的心。我们上面说的差那一二，就差在这一点上。有些企业自身防护确实做得不错，光从企业自身很难发现漏洞，对于渗透测试来说，出一份漂亮的报告工作也就可以告一段落。但对于蓝队来说，这仍然是一个需要攻克的问题。

电影里经常也能看到类似的情节，敌方总部防守严密，主角想要溜进去怎么办呢？藏在送饭菜的车队里面。在网络安全里，这叫“供应链攻击”。

说实话，黑客入侵，红蓝对抗也罢，除了需要掌握各种工具方法，还需要很多灵光闪现的创作，这是技术，也是艺术。毕竟军事里面有句话叫“出其不意攻其不备”，这句话放在这里同样适用，网络安全不是比力气，想要取得最大的攻击效果，就要找到防守者意想不到的地方。

这种既有技术又有艺术的领域，层次不够讲不清楚，层次够了又基本都是大牛，容易嫌麻烦。不过，最近华章出了一本很难得的书叫《红蓝攻防》，里面系统地介绍了这部分内容，包括蓝方怎么攻，红方怎么守，以及紫方怎么组织，还有实战案例，想要深入了解这部分内容的同学，不妨读读这本书。

关于作者：莫凡，网名木羊同学。娱乐向机器学习解说选手，《机器学习算法的数学解析与Python实现》作者，前沿技术发展观潮者，擅长高冷技术的“白菜化”解说，微信公众号“睡前机器学习”，个人知乎号“木羊”。​