?作者：木羊同學(xué)

來源：大數(shù)據(jù)DT（ID：hzdashuju）

我們現(xiàn)在所處的時代，有人稱為網(wǎng)絡(luò)時代，有人稱為信息時代，也有人稱為數(shù)據(jù)時代，不管名字怎么叫吧，我想有一件事已經(jīng)成為了共識，那就是我們的安全觀念得要跟上時代發(fā)展。

都知道重要的東西需要好好保管，以前都怎么保管呢？找一只牢靠的保險柜重重鎖上，然后再安裝厚厚的防盜門，如果條件允許的話最好再在屋里養(yǎng)一只惡犬，這樣不敢說萬無一失，至少大家盡了努力。

但在當(dāng)下這個時代，這種觀念過時了。計算機和網(wǎng)絡(luò)給我們的生活和生產(chǎn)帶來空前便利的同時，也帶來了空前的風(fēng)險。我們看電影大片，間諜要偷個文件什么的非常費勁，又是跳飛機又是鉆車底，最后還要耍雜技一般躲過各種感應(yīng)器，一個不留神就滿世界冒紅燈，觀眾光是看就能把腎上素都拉滿了。

但現(xiàn)實中可能完全是另一種畫面，“小偷”一點人身風(fēng)險也不需要冒，舒舒服服地坐在人體工學(xué)椅上，吹著冷氣敲幾下鍵盤就把事辦了，這種小偷我們也不陌生，那就是黑客。

近年總有圈內(nèi)的同學(xué)會感慨黑客也物化了，不像過去那么純粹，我倒是覺得這也是時代的必然。最開始大多數(shù)黑客確實是把技術(shù)當(dāng)作愛好，不斷追求技術(shù)上的突破，喜歡分享和“炫技”。

但隨著網(wǎng)絡(luò)時代、數(shù)據(jù)時代的來臨，網(wǎng)絡(luò)數(shù)據(jù)承載了越來越多有價值的東西，同時網(wǎng)絡(luò)攻擊可以造成的損害越來越大。技術(shù)的可用武之處越來越多了，學(xué)技術(shù)的人動機自然五花八門，大家自然也就把技術(shù)捂得嚴(yán)嚴(yán)實實。

打個形象一點的比方，二十年前我黑了你的電腦頂多也就偷偷QQ密碼，現(xiàn)在完全可以讓你前段時間的工作成果付諸東流，甚至一夜之間身敗名裂。這類事件時常會上新聞，對于企業(yè)就更不用說了，2018年Facebook發(fā)生數(shù)據(jù)泄露，公司市值一下蒸發(fā)360多億美元，現(xiàn)在還改了名字，我想多少也有挽救公司形象的考慮在里面。

1.安全何價

當(dāng)然了，有人說會被“黑”的那都是安全意識不好的企業(yè)，我們企業(yè)裝了高檔防火墻還搞了內(nèi)外網(wǎng)隔離，重要數(shù)據(jù)都存在內(nèi)網(wǎng)里，除非有內(nèi)鬼配合，不然黑客再厲害也無計可施。這句話乍一聽很有道理，但我們后面馬上就要介紹的“內(nèi)網(wǎng)橫向移動”，就是專治這種不服。這里想先討論另一個困擾網(wǎng)絡(luò)安全的急迫問題，這就是認識問題。

說到網(wǎng)絡(luò)安全意識，近些年我們確實有了長足的進步，各方都在不遺余力地宣傳，安全圈的同學(xué)應(yīng)該都很熟悉，國家每年都會舉辦網(wǎng)絡(luò)安全宣傳周，企業(yè)也基本都認識到防火墻和防盜門一樣是不可或缺的必要開支。不過，認識到網(wǎng)絡(luò)安全重要是一回事，時刻認識到網(wǎng)絡(luò)安全重要是另一回事。

但是還有一個問題，那就是怎么衡量安全的價值。我們都說安全是無價的，但安全服務(wù)是有標(biāo)價的，要購買安全設(shè)備，要聘請安全人員提供服務(wù)，都是走的市場化渠道，都需要企業(yè)實打?qū)嵉靥统稣娼鸢足y。所以，企業(yè)一定也都會去想兩個問題，一個是想我應(yīng)該掏多少錢來“買安全”的問題，一個是買了以后又要想錢花得值不值的問題。

一旦企業(yè)開始思考安全的價值問題，馬上就會發(fā)現(xiàn)另一個悖論：安全的價值必須通過問題來體現(xiàn)。簡單來說，我是一家企業(yè)，我今年在安全方面花了三百萬，到了年底發(fā)現(xiàn)風(fēng)平浪靜啥事沒有，那么，做總結(jié)的時候我到底該說自己是賺翻了還是當(dāng)了冤大頭？

這誰說了算？誰說都不算，科學(xué)實驗講究控制變量，我們不妨設(shè)想有個平行世界，在那個世界中這家企業(yè)沒花這三百萬，結(jié)果遭受網(wǎng)絡(luò)攻擊，一下?lián)p失兩千萬，而且還只是直接經(jīng)濟損失，至于事件對企業(yè)形象造成的負面形象，不但影響深遠而且損失難以估算，二者一比較結(jié)論很明顯，我這三百萬簡直賺翻了。

但是，問題難就難在沒有那么一個可供比較的平行世界。再加上網(wǎng)絡(luò)安全往往又有另一大特性，那就是要么不出事，要么出大事，無論哪一種情況，都容易會讓企業(yè)的決策者感覺在安全方面的投入打了水漂。

2.紅藍對抗

接下來我想聊聊紅藍對抗。紅藍對抗從不同角度可以有很多種聊法，不過，我想順著上面的問題談?wù)勎易约旱乃伎肌槭裁窗踩珪堑眠@么被動呢？因為別無他法。網(wǎng)絡(luò)安全天然就劃分成攻方和守方，而無論什么領(lǐng)域，守方天然就帶有被動性。

更嚴(yán)重的被動性是守方心理上的被動性。對于大部分企業(yè)來說，安全是無法直接創(chuàng)造利潤的，是一個純花錢的項目。既然是“花錢買平安”，企業(yè)的高層甚至其它部門肯定有很多的人心里想的不是網(wǎng)絡(luò)安全有多重要，公司應(yīng)該加大在安全方面的宣傳和投入，而是對于安全部門，守住了那叫你的本分，守不住那是你的責(zé)任。

外人很難了解攻方的對抗有多激烈，自然很難承認安全部門的努力和成績。這種心理上的被動性，毫無疑問會造成更多消極的影響。有一個很熟悉的詞可以形容這種感覺，那就是憋屈。

守方不是天然就得憋屈呢？不是，歷史上就有很多一守成名的歷史人物。不過，首先得有一個前提：那就是大家都承認眼前存在危機。挽狂瀾于既倒，扶大廈之將傾，首先得讓大家明白眼下已經(jīng)到了狂瀾既倒、大廈將傾的時候，然后守住就能守出名堂。

但是，網(wǎng)絡(luò)安全又往往具有隱蔽性，別說是事發(fā)之前，哪怕是事發(fā)以后，很多企業(yè)還是在新聞頭條上刷到了自己的名字，才驚訝地發(fā)現(xiàn)自己出現(xiàn)了安全問題。遲了，太遲了！當(dāng)企業(yè)認識到自己的安全存在大問題的時候，往往也意味著接下來要進入各個部門互相扯皮踢皮球的環(huán)節(jié)。

有沒有辦法轉(zhuǎn)化網(wǎng)絡(luò)安全的這種被動性，至少讓公司在做明年網(wǎng)絡(luò)安全預(yù)算的時候，要錢的理直氣壯，掏錢的也心甘情愿呢？

我想，那就是紅藍對抗。說到紅藍對抗，就要說說藍軍。早些年“藍軍”還是個比較陌生的詞，近年我接觸過一些企業(yè)，知道不少已經(jīng)組建了自己的藍軍隊伍，企業(yè)內(nèi)部自己就搞起了紅藍對抗。

那么，什么叫藍軍？紅藍對抗又能怎樣轉(zhuǎn)化網(wǎng)絡(luò)安全的被動性呢？

對軍事有所了解的同學(xué)對紅軍、藍軍的用詞應(yīng)該不陌生，對抗性的軍事演習(xí)一般會設(shè)兩個陣營，分別叫紅軍和藍軍，然后讓雙方對抗或演練攻防。過去紅軍藍軍是為了搞演習(xí)臨時設(shè)置的角色，后來慢慢演化出職業(yè)藍軍，人稱專業(yè)“打臉”部隊。

解放軍的“朱日和”軍演就有一支專業(yè)的藍軍部隊，據(jù)說不少平時濃妝艷抹的紅軍部隊在朱日和被狠狠地卸了妝，大家都憋著一股怒氣，要“踏平朱日和，活捉滿廣志”。

不過，藍軍打臉不是為了讓紅軍丟臉，重點還是評價水平和暴露問題。在網(wǎng)絡(luò)安全中，紅藍對抗是紅隊和藍隊對抗，紅隊是防守者，藍隊則扮演類似黑客的攻擊者角色，有時候還要設(shè)置一個“紫隊”，承擔(dān)組織工作。

藍隊目標(biāo)只有一個，那就是用實戰(zhàn)攻擊回答你家企業(yè)存在多嚴(yán)重的網(wǎng)絡(luò)安全問題。企業(yè)的安全措施做得到不到位，還有哪些漏洞能被利用，這些過去平行世界才能知道的事，現(xiàn)在交由紅藍對抗就可以告訴你。

3.藍隊養(yǎng)成計劃

有同學(xué)可能要問，我家企業(yè)會定期做滲透測試，是不是可以替代紅藍對抗呢？

還真不行。不同企業(yè)對滲透測試的理解不一樣，不過基本遵循一個大原則，那就是點到為止。

雖然滲透測試很多都自稱是要以黑客的角度審視企業(yè)安全問題，不過流程走到發(fā)現(xiàn)漏洞也就差不多了，畢竟?jié)B透測試也是服務(wù)，也受服務(wù)條款的約束，很多企業(yè)都會要求滲透測試不得影響主營業(yè)務(wù)，這個看起來理所當(dāng)然的要求，其實免不了會導(dǎo)致滲透測試束手束腳。當(dāng)然，更關(guān)鍵的還是錢。

但是黑客這邊有一個特點那就是“路子野”，人家可沒什么服務(wù)條款約束，目標(biāo)只有一個那就是偷最值錢的東西，或者造成最大的破壞，出發(fā)點不一樣，效果也就截然不同。

再加上網(wǎng)絡(luò)安全領(lǐng)域木桶效應(yīng)明顯，而你家企業(yè)最短的那條木板可能不是技術(shù)而是人，技術(shù)看來牢不可破的認證體系，黑客發(fā)封釣魚郵件就全搞掂了。類似場景下的安全問題往往需要紅藍對抗才能充分暴露出來。

最后說一點藍隊怎么培養(yǎng)的問題。其實這個問題很簡單，黑客怎么培養(yǎng)藍隊就怎么培養(yǎng)，二者越像效果越好。譬如說藍隊?wèi)?yīng)該怎樣開展攻擊呢？很簡單，黑客怎么攻擊你就怎么攻擊，你就是掛了工牌的黑客。

說到黑客我想多說兩句。有人說黑客是壞人，有人說黑客是牛人，也有人說黑客是道德敗壞的技術(shù)牛人。我不想標(biāo)簽化地描述這個人數(shù)相當(dāng)可觀的群體，黑客所使用的技術(shù)五花八門，這里不妨簡稱為黑客技術(shù)，技術(shù)是中立，黑客技術(shù)也不例外，就好比菜刀，有人用菜刀來切菜，也有人用菜刀來傷人，我們可以把這些人都被籠統(tǒng)地稱為“拿菜刀的人”，而黑客也不過就是“使用黑客技術(shù)的人”。

說到黑客技術(shù)，自然就說到另一個問題。現(xiàn)在有黑客角色的影視作品越來越多，我能理解編劇為了凸顯角色的不同，非要給劇里的黑客安排一些怪異的癖好，但這也很容易讓外人產(chǎn)生一個誤解，覺得黑客都是一群怪人，非要用野路子才能培養(yǎng)。

這是不對的，前面已經(jīng)說了，黑客技術(shù)也是技術(shù)，是技術(shù)就能學(xué)習(xí)掌握，只要方法適當(dāng)，普通人也能學(xué)會黑客技術(shù)，再說了，我知道不少黑客也追劇呢，你說這群人是普通人還是怪人？

4.藍隊如何攻擊

藍隊是怎樣攻擊的呢？一般分四個階段，準(zhǔn)備階段、信息收集階段、外網(wǎng)突破階段和內(nèi)網(wǎng)橫向移動階段。這個過程看起來和滲透測試挺像的，實際上也確實是八九不離十，但差就差在那一二上。

準(zhǔn)備階段和信息收集階段很簡單，就是你要拉起一支隊伍，準(zhǔn)備好相關(guān)的工具設(shè)備，然后收集要攻擊目標(biāo)的各類信息，也俗稱“踩點”。接下來就是外網(wǎng)突破階段，首先肯定是要發(fā)現(xiàn)一些漏洞，滲透測試做到這一步基本就可以收工了，但對于藍隊來說這只是開始。

滲透測試好比是博物館聘請的安全檢查組，檢查組的任務(wù)是發(fā)現(xiàn)安全隱患，比如說檢查發(fā)現(xiàn)二樓排氣口的鐵柵欄生銹了，他就會在報告中記錄這件事，然后建議盡快更換，檢查組的任務(wù)也就到此為止。

但是黑客不同，黑客好比是小偷，他也發(fā)現(xiàn)鐵柵欄生銹了，不過鐵柵欄生銹對小偷來說毫無價值，所以他就會接著琢磨怎么利用生銹的鐵柵欄制造機會溜進博物館，然后七拐八拐偷了館里最值錢的那顆寶石。

這也是藍隊要做的事。藍隊發(fā)現(xiàn)了外部漏洞，首先要想的同樣是怎樣利用外部漏洞進入內(nèi)網(wǎng)，然后在內(nèi)網(wǎng)的各個節(jié)點中來回跳躍，直到達到存儲了重要數(shù)據(jù)或者運行了重要系統(tǒng)的那個節(jié)點。這個過程也稱為“內(nèi)網(wǎng)橫向移動”。

黑客也好，藍隊也好，都需要保持一顆“總想要溜進去偷點什么”的心。我們上面說的差那一二，就差在這一點上。有些企業(yè)自身防護確實做得不錯，光從企業(yè)自身很難發(fā)現(xiàn)漏洞，對于滲透測試來說，出一份漂亮的報告工作也就可以告一段落。但對于藍隊來說，這仍然是一個需要攻克的問題。

電影里經(jīng)常也能看到類似的情節(jié)，敵方總部防守嚴(yán)密，主角想要溜進去怎么辦呢？藏在送飯菜的車隊里面。在網(wǎng)絡(luò)安全里，這叫“供應(yīng)鏈攻擊”。

說實話，黑客入侵，紅藍對抗也罷，除了需要掌握各種工具方法，還需要很多靈光閃現(xiàn)的創(chuàng)作，這是技術(shù)，也是藝術(shù)。畢竟軍事里面有句話叫“出其不意攻其不備”，這句話放在這里同樣適用，網(wǎng)絡(luò)安全不是比力氣，想要取得最大的攻擊效果，就要找到防守者意想不到的地方。

這種既有技術(shù)又有藝術(shù)的領(lǐng)域，層次不夠講不清楚，層次夠了又基本都是大牛，容易嫌麻煩。不過，最近華章出了一本很難得的書叫《紅藍攻防》，里面系統(tǒng)地介紹了這部分內(nèi)容，包括藍方怎么攻，紅方怎么守，以及紫方怎么組織，還有實戰(zhàn)案例，想要深入了解這部分內(nèi)容的同學(xué)，不妨讀讀這本書。

關(guān)于作者：莫凡，網(wǎng)名木羊同學(xué)。娛樂向機器學(xué)習(xí)解說選手，《機器學(xué)習(xí)算法的數(shù)學(xué)解析與Python實現(xiàn)》作者，前沿技術(shù)發(fā)展觀潮者，擅長高冷技術(shù)的“白菜化”解說，微信公眾號“睡前機器學(xué)習(xí)”，個人知乎號“木羊”。?