基于关键词的大型红蓝对抗经验分享
邬晓磊
东方证券系统运行总部信息安全总监,CISSP、CISP、CISA、ISOLA,20年信息安全从业经验。
3月24日本周三晚上19:00-20:00。
群内分享。嘉宾通过文字形式,在「金融业企业安全建设实践群」和「企业安全建设实践群」,就“基于关键词的大型红蓝对抗经验分享”进行同步直播,约40钟,之后是互动问答时间,约20分钟,共计60分钟。
--------------------------------------
以下为实录:
感谢君哥和郭威总的推荐,让我有这个机会和大家分享一些HW中的心得体会。这次分享主要是挑选了一些HW中的关键词,着眼在防守方视角,特别是防守方的准备阶段,内容更多的是管理、流程和一些关键点,不会涉及太深入的技术内容。有理解不到位的地方欢迎大家指正。
之所以选择这些内容,一是群里面技术大佬太多,讲技术的内容是班门弄斧。另外就是流量NTA、蜜罐、HIDS、威胁情报等HW利器,大家应该也听过很多介绍,为了避免审美疲劳,所以今天主要介绍内部准备中的一些侧重点。
另一个原因是作为企业安全从业者,我个人觉得HW对企业的积极意义是能够将其作为一个契机,推动企业安全水平的提升。短期的应试工作虽然也要做,但是还应该乘这个机会推动一下内部安全问题的整改。
我觉得超过半数的防守单位的人员团队,日常的工作重点是安全运维管理,缺乏对抗经验,加上演练对抗覆盖的技术点有太多,因此无法在技术能力上面面俱到。而且一般准备时间不长,因此在技术上弱于攻击队是很正常的事情。
所以,如何以较少的人员在较短的时间内完成对规模庞大的信息资产安全水平的提升,考验的是组织协调能力和重点工作安排的能力。正如郭威总年HW之后的分享中有提到,小目标是不出现低级错误,其实年我们也是按照这个目标去准备的。
之前有小伙伴在问关键词到底是什么,其实我发出来大家应该就明白了。今天分享的关键词包括:
一、组织
二、资料库
三、弱口令
四、任意门
五、隐秘的角落
六、运维坏习惯
七、社工
八、自动化
以下介绍的问题,都是我们准备过程中真实发现了,可能大家也会遇到。
一、组织
我个人认为顺利完成HW任务,组织架构是第一位的。HW组织有两个要素:
一个是高,就是组长级别要高,一般要达到公司副总裁、IT分管领导的级别,这样才能够比较顺利的协调资源。需要协调的包括组内关键人员、子公司和业务部门、预算和商务等。有了大领导的