郎国军-传统企业的红蓝对抗和紫队建设_20241129145253.pdf

1、安世加安世加安世加安世加安世加安世加传统企业的红蓝对抗和紫队建设郎国军2024/11/29安世加安世加安世加安世加安世加安世加红蓝对抗简介网络安全威胁日益严重，企业亟待提高安全防御能力，红蓝对抗演练成为必要的手段来提升企业在面对真实世界的攻击时的防御能力。红蓝对抗可以为企业带来以下收益：提高网络安全防御能力提高应急响应能力增强安全意识安世加安世加安世加安世加安世加安世加红队蓝队紫队之间的关系安世加安世加安世加安世加安世加安世加红队蓝队紫队的定义防守安全运营团队负责识别、检测、阻止、响应和恢复任务日常网络监控和日志分析风险评估，威胁检测攻击负责攻击并获取目标网络或者系统的控制权限渗透测试漏洞扫描

2、社会工程模拟攻击方法识别系统和网络的漏洞协作拥有蓝队和红队的经验，整合蓝队和红队的数据，分析漏洞验证防御措施健康状态、有效性为安全运营团队提供改进建议蓝队红队紫队安世加安世加安世加安世加安世加安世加双剑合璧，天下无敌企业通常先有蓝队，在蓝队积累到一定经验后，会邀请第三方红队来检查安全防御措施的有效性。紫队是蓝队和红队能力的完美融合，最大化红蓝对抗收益的关键。Red+Blue=Purple?安世加安世加安世加安世加安世加安世加紫队的价值增强红队和蓝队的协作前摄防御持续提升技能成长真实世界演练安世加安世加安世加安世加安世加安世加如何架设有效的蓝队、红队和紫队？8企业内部的固定团队，有红队的经验，将

3、红队的输出转换为持续验证，有蓝队的信任，持续提升蓝队的防御检测能力。团队规模不需要很大。对传统企业来说，通常为第三方、会经常更换，更符合攻击者视角，技术上更容易持续更新。团队规模居中，通常为短期合作。企业内部安全团队，管理安全的人员、流程和技术，基础设施和运维团队配合调度。团队规模最大。紫队蓝队红队安世加安世加安世加安世加安世加安世加如何让红队发现更多的问题？采用专业的第三方渗透团队，更符合攻击者视角经常更换，才能覆盖更多的领域，尤其是新的漏洞和攻击手段，带来更多经验。安世加安世加安世加安世加安世加安世加紫队如何把红队发现的收益最大化？从红蓝对抗发现的问题中学习新的漏洞和攻击手段，可以从红蓝对

4、抗报告的复测开始。将红蓝对抗发现的问题做根源分析和归纳，通过自动化方式进行持续检测。紫队对企业的基础设施、应用、防御手段、特有的漏洞更熟悉，红队只能用黑盒的手段检测。可以基于红队、蓝队两边的信息以及灰盒的检测手段做持续自动化检测，尤其是边界。验证安全事件响应全流程每个环节是否符合预期，比如事件源是否记录、事件是否发送到SIEM、SOC是否有有效的告警等。对蓝队进行攻击手段的培训，攻击路径的演示。安世加安世加安世加安世加安世加安世加紫队如何建立持续监督能力针对企业设备做针对性的端口、漏洞、弱密码的定期扫描。自动化边界安全检查(红队发现的企业特有问题持续检测、基于蓝队的Security Score

5、 Card,CSPM，漏洞管理等Governance工具发现的问题，进行深度扫描）通过与蓝队合作，收集所有关键项目的名字、代码库中主要的关键词等，在公开的代码库中定期搜索。基于红队的渗透测试手段，结合蓝队拥有的信息，将红队红蓝对抗期间发现问题的方法针对企业进行持续深度的检测。安世加安世加安世加安世加安世加安世加紫队如何帮助蓝队做持续健康检查如何确认安全运营团队的事件响应体系整体是否健康？是否在发生安全事件时才发现相关的服务日志并未正确发送到SIEM？针对所有预定义类型的安全事件，定期触发一个测试事件，以检查从事件源-SIEM-事件规则-安全运营人员的响应的健康检测。安世加安世加安世加安世加安世

6、加安世加蓝队如何更好的利用红队和紫队的输出？将发现的问题落实到人员、流程和技术的提升安全框架安全意识培训（全体员工和特定领域工作人员）安全治理（前置识别并解决红队发现的问题,What&How&Result）What:安全策略标准流程和基线配置+合同安全条款+应用安全需求How:设计阶段的安全评估Result:上线前安全检查安全运营（检测、响应和恢复）安世加安世加安世加安世加安世加安世加安全运营的检测响应和恢复安全防护产品的检测能力，包括Anti-Virus,EDR,IPS,W