1.3 红队

1.3.1 什么是红队

红队,在本书中是指网络实战攻防演练中的防守一方。

红队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演练期间组建的防守队伍。红队的主要工作包括演练前安全检查、整改与加固,演练期间网络安全监测、预警、分析、验证、处置,演练后期复盘和总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据等。

实战攻防演练时,红队通常会在日常安全运维工作的基础上以实战思维进一步加强安全防护措施,包括提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、加快安全分析频率、提高应急响应速度、增强溯源反制能力、建立情报搜集利用机制等,进而提升整体防守能力。

需要特别说明的是,红队并不是由实战演练中目标系统运营单位一家独力组建的,而是由目标系统运营单位、安全运营团队、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方共同组成的。组成红队的各个团队在演练中的角色与分工情况如下。

·目标系统运营单位:负责红队整体的指挥、组织和协调。

·安全运营团队:负责整体防护和攻击监控工作。

·攻防专家:负责对安全监控中发现的可疑攻击进行分析和研判,指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作。

·安全厂商:负责对自身产品的可用性、可靠性和防护监控策略进行调整。

·软件开发商:负责对自身系统进行安全加固、监控,配合攻防专家对发现的安全问题进行整改。

·网络运维队伍:负责配合攻防专家进行网络架构安全维护、网络出口整体优化、网络监控以及溯源等工作。

·云提供商(如有):负责对自身云系统进行安全加固,对云上系统的安全性进行监控,同时协助攻防专家对发现的问题进行整改。

·其他:某些情况下还会有其他组成人员,需要根据实际情况分配具体工作。

特别强调,对于红队来说,了解对手(蓝队)的情况非常重要,正所谓“知彼才能知己”。从攻击角度出发,了解攻击队的思路与打法,了解攻击队的思维,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和响应机制,才能在防守过程中争取到更大的主动权。