?作者：木羊同學(xué)

來(lái)源：大數(shù)據(jù)DT（ID：hzdashuju）

我們現(xiàn)在所處的時(shí)代，有人稱為網(wǎng)絡(luò)時(shí)代，有人稱為信息時(shí)代，也有人稱為數(shù)據(jù)時(shí)代，不管名字怎么叫吧，我想有一件事已經(jīng)成為了共識(shí)，那就是我們的安全觀念得要跟上時(shí)代發(fā)展。

都知道重要的東西需要好好保管，以前都怎么保管呢？找一只牢靠的保險(xiǎn)柜重重鎖上，然后再安裝厚厚的防盜門(mén)，如果條件允許的話最好再在屋里養(yǎng)一只惡犬，這樣不敢說(shuō)萬(wàn)無(wú)一失，至少大家盡了努力。

但在當(dāng)下這個(gè)時(shí)代，這種觀念過(guò)時(shí)了。計(jì)算機(jī)和網(wǎng)絡(luò)給我們的生活和生產(chǎn)帶來(lái)空前便利的同時(shí)，也帶來(lái)了空前的風(fēng)險(xiǎn)。我們看電影大片，間諜要偷個(gè)文件什么的非常費(fèi)勁，又是跳飛機(jī)又是鉆車底，最后還要耍雜技一般躲過(guò)各種感應(yīng)器，一個(gè)不留神就滿世界冒紅燈，觀眾光是看就能把腎上素都拉滿了。

但現(xiàn)實(shí)中可能完全是另一種畫(huà)面，“小偷”一點(diǎn)人身風(fēng)險(xiǎn)也不需要冒，舒舒服服地坐在人體工學(xué)椅上，吹著冷氣敲幾下鍵盤(pán)就把事辦了，這種小偷我們也不陌生，那就是黑客。

近年總有圈內(nèi)的同學(xué)會(huì)感慨黑客也物化了，不像過(guò)去那么純粹，我倒是覺(jué)得這也是時(shí)代的必然。最開(kāi)始大多數(shù)黑客確實(shí)是把技術(shù)當(dāng)作愛(ài)好，不斷追求技術(shù)上的突破，喜歡分享和“炫技”。

但隨著網(wǎng)絡(luò)時(shí)代、數(shù)據(jù)時(shí)代的來(lái)臨，網(wǎng)絡(luò)數(shù)據(jù)承載了越來(lái)越多有價(jià)值的東西，同時(shí)網(wǎng)絡(luò)攻擊可以造成的損害越來(lái)越大。技術(shù)的可用武之處越來(lái)越多了，學(xué)技術(shù)的人動(dòng)機(jī)自然五花八門(mén)，大家自然也就把技術(shù)捂得嚴(yán)嚴(yán)實(shí)實(shí)。

打個(gè)形象一點(diǎn)的比方，二十年前我黑了你的電腦頂多也就偷偷QQ密碼，現(xiàn)在完全可以讓你前段時(shí)間的工作成果付諸東流，甚至一夜之間身敗名裂。這類事件時(shí)常會(huì)上新聞，對(duì)于企業(yè)就更不用說(shuō)了，2018年Facebook發(fā)生數(shù)據(jù)泄露，公司市值一下蒸發(fā)360多億美元，現(xiàn)在還改了名字，我想多少也有挽救公司形象的考慮在里面。

1.安全何價(jià)

當(dāng)然了，有人說(shuō)會(huì)被“黑”的那都是安全意識(shí)不好的企業(yè)，我們企業(yè)裝了高檔防火墻還搞了內(nèi)外網(wǎng)隔離，重要數(shù)據(jù)都存在內(nèi)網(wǎng)里，除非有內(nèi)鬼配合，不然黑客再厲害也無(wú)計(jì)可施。這句話乍一聽(tīng)很有道理，但我們后面馬上就要介紹的“內(nèi)網(wǎng)橫向移動(dòng)”，就是專治這種不服。這里想先討論另一個(gè)困擾網(wǎng)絡(luò)安全的急迫問(wèn)題，這就是認(rèn)識(shí)問(wèn)題。

說(shuō)到網(wǎng)絡(luò)安全意識(shí)，近些年我們確實(shí)有了長(zhǎng)足的進(jìn)步，各方都在不遺余力地宣傳，安全圈的同學(xué)應(yīng)該都很熟悉，國(guó)家每年都會(huì)舉辦網(wǎng)絡(luò)安全宣傳周，企業(yè)也基本都認(rèn)識(shí)到防火墻和防盜門(mén)一樣是不可或缺的必要開(kāi)支。不過(guò)，認(rèn)識(shí)到網(wǎng)絡(luò)安全重要是一回事，時(shí)刻認(rèn)識(shí)到網(wǎng)絡(luò)安全重要是另一回事。

但是還有一個(gè)問(wèn)題，那就是怎么衡量安全的價(jià)值。我們都說(shuō)安全是無(wú)價(jià)的，但安全服務(wù)是有標(biāo)價(jià)的，要購(gòu)買安全設(shè)備，要聘請(qǐng)安全人員提供服務(wù)，都是走的市場(chǎng)化渠道，都需要企業(yè)實(shí)打?qū)嵉靥统稣娼鸢足y。所以，企業(yè)一定也都會(huì)去想兩個(gè)問(wèn)題，一個(gè)是想我應(yīng)該掏多少錢(qián)來(lái)“買安全”的問(wèn)題，一個(gè)是買了以后又要想錢(qián)花得值不值的問(wèn)題。

一旦企業(yè)開(kāi)始思考安全的價(jià)值問(wèn)題，馬上就會(huì)發(fā)現(xiàn)另一個(gè)悖論：安全的價(jià)值必須通過(guò)問(wèn)題來(lái)體現(xiàn)。簡(jiǎn)單來(lái)說(shuō)，我是一家企業(yè)，我今年在安全方面花了三百萬(wàn)，到了年底發(fā)現(xiàn)風(fēng)平浪靜啥事沒(méi)有，那么，做總結(jié)的時(shí)候我到底該說(shuō)自己是賺翻了還是當(dāng)了冤大頭？

這誰(shuí)說(shuō)了算？誰(shuí)說(shuō)都不算，科學(xué)實(shí)驗(yàn)講究控制變量，我們不妨設(shè)想有個(gè)平行世界，在那個(gè)世界中這家企業(yè)沒(méi)花這三百萬(wàn)，結(jié)果遭受網(wǎng)絡(luò)攻擊，一下?lián)p失兩千萬(wàn)，而且還只是直接經(jīng)濟(jì)損失，至于事件對(duì)企業(yè)形象造成的負(fù)面形象，不但影響深遠(yuǎn)而且損失難以估算，二者一比較結(jié)論很明顯，我這三百萬(wàn)簡(jiǎn)直賺翻了。

但是，問(wèn)題難就難在沒(méi)有那么一個(gè)可供比較的平行世界。再加上網(wǎng)絡(luò)安全往往又有另一大特性，那就是要么不出事，要么出大事，無(wú)論哪一種情況，都容易會(huì)讓企業(yè)的決策者感覺(jué)在安全方面的投入打了水漂。

2.紅藍(lán)對(duì)抗

接下來(lái)我想聊聊紅藍(lán)對(duì)抗。紅藍(lán)對(duì)抗從不同角度可以有很多種聊法，不過(guò)，我想順著上面的問(wèn)題談?wù)勎易约旱乃伎?。為什么安全?huì)非得這么被動(dòng)呢？因?yàn)閯e無(wú)他法。網(wǎng)絡(luò)安全天然就劃分成攻方和守方，而無(wú)論什么領(lǐng)域，守方天然就帶有被動(dòng)性。

更嚴(yán)重的被動(dòng)性是守方心理上的被動(dòng)性。對(duì)于大部分企業(yè)來(lái)說(shuō)，安全是無(wú)法直接創(chuàng)造利潤(rùn)的，是一個(gè)純花錢(qián)的項(xiàng)目。既然是“花錢(qián)買平安”，企業(yè)的高層甚至其它部門(mén)肯定有很多的人心里想的不是網(wǎng)絡(luò)安全有多重要，公司應(yīng)該加大在安全方面的宣傳和投入，而是對(duì)于安全部門(mén)，守住了那叫你的本分，守不住那是你的責(zé)任。

外人很難了解攻方的對(duì)抗有多激烈，自然很難承認(rèn)安全部門(mén)的努力和成績(jī)。這種心理上的被動(dòng)性，毫無(wú)疑問(wèn)會(huì)造成更多消極的影響。有一個(gè)很熟悉的詞可以形容這種感覺(jué)，那就是憋屈。

守方不是天然就得憋屈呢？不是，歷史上就有很多一守成名的歷史人物。不過(guò)，首先得有一個(gè)前提：那就是大家都承認(rèn)眼前存在危機(jī)。挽狂瀾于既倒，扶大廈之將傾，首先得讓大家明白眼下已經(jīng)到了狂瀾既倒、大廈將傾的時(shí)候，然后守住就能守出名堂。

但是，網(wǎng)絡(luò)安全又往往具有隱蔽性，別說(shuō)是事發(fā)之前，哪怕是事發(fā)以后，很多企業(yè)還是在新聞?lì)^條上刷到了自己的名字，才驚訝地發(fā)現(xiàn)自己出現(xiàn)了安全問(wèn)題。遲了，太遲了！當(dāng)企業(yè)認(rèn)識(shí)到自己的安全存在大問(wèn)題的時(shí)候，往往也意味著接下來(lái)要進(jìn)入各個(gè)部門(mén)互相扯皮踢皮球的環(huán)節(jié)。

有沒(méi)有辦法轉(zhuǎn)化網(wǎng)絡(luò)安全的這種被動(dòng)性，至少讓公司在做明年網(wǎng)絡(luò)安全預(yù)算的時(shí)候，要錢(qián)的理直氣壯，掏錢(qián)的也心甘情愿呢？

我想，那就是紅藍(lán)對(duì)抗。說(shuō)到紅藍(lán)對(duì)抗，就要說(shuō)說(shuō)藍(lán)軍。早些年“藍(lán)軍”還是個(gè)比較陌生的詞，近年我接觸過(guò)一些企業(yè)，知道不少已經(jīng)組建了自己的藍(lán)軍隊(duì)伍，企業(yè)內(nèi)部自己就搞起了紅藍(lán)對(duì)抗。

那么，什么叫藍(lán)軍？紅藍(lán)對(duì)抗又能怎樣轉(zhuǎn)化網(wǎng)絡(luò)安全的被動(dòng)性呢？

對(duì)軍事有所了解的同學(xué)對(duì)紅軍、藍(lán)軍的用詞應(yīng)該不陌生，對(duì)抗性的軍事演習(xí)一般會(huì)設(shè)兩個(gè)陣營(yíng)，分別叫紅軍和藍(lán)軍，然后讓雙方對(duì)抗或演練攻防。過(guò)去紅軍藍(lán)軍是為了搞演習(xí)臨時(shí)設(shè)置的角色，后來(lái)慢慢演化出職業(yè)藍(lán)軍，人稱專業(yè)“打臉”部隊(duì)。

解放軍的“朱日和”軍演就有一支專業(yè)的藍(lán)軍部隊(duì)，據(jù)說(shuō)不少平時(shí)濃妝艷抹的紅軍部隊(duì)在朱日和被狠狠地卸了妝，大家都憋著一股怒氣，要“踏平朱日和，活捉滿廣志”。

不過(guò)，藍(lán)軍打臉不是為了讓紅軍丟臉，重點(diǎn)還是評(píng)價(jià)水平和暴露問(wèn)題。在網(wǎng)絡(luò)安全中，紅藍(lán)對(duì)抗是紅隊(duì)和藍(lán)隊(duì)對(duì)抗，紅隊(duì)是防守者，藍(lán)隊(duì)則扮演類似黑客的攻擊者角色，有時(shí)候還要設(shè)置一個(gè)“紫隊(duì)”，承擔(dān)組織工作。

藍(lán)隊(duì)目標(biāo)只有一個(gè)，那就是用實(shí)戰(zhàn)攻擊回答你家企業(yè)存在多嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。企業(yè)的安全措施做得到不到位，還有哪些漏洞能被利用，這些過(guò)去平行世界才能知道的事，現(xiàn)在交由紅藍(lán)對(duì)抗就可以告訴你。

3.藍(lán)隊(duì)養(yǎng)成計(jì)劃

有同學(xué)可能要問(wèn)，我家企業(yè)會(huì)定期做滲透測(cè)試，是不是可以替代紅藍(lán)對(duì)抗呢？

還真不行。不同企業(yè)對(duì)滲透測(cè)試的理解不一樣，不過(guò)基本遵循一個(gè)大原則，那就是點(diǎn)到為止。

雖然滲透測(cè)試很多都自稱是要以黑客的角度審視企業(yè)安全問(wèn)題，不過(guò)流程走到發(fā)現(xiàn)漏洞也就差不多了，畢竟?jié)B透測(cè)試也是服務(wù)，也受服務(wù)條款的約束，很多企業(yè)都會(huì)要求滲透測(cè)試不得影響主營(yíng)業(yè)務(wù)，這個(gè)看起來(lái)理所當(dāng)然的要求，其實(shí)免不了會(huì)導(dǎo)致滲透測(cè)試束手束腳。當(dāng)然，更關(guān)鍵的還是錢(qián)。

但是黑客這邊有一個(gè)特點(diǎn)那就是“路子野”，人家可沒(méi)什么服務(wù)條款約束，目標(biāo)只有一個(gè)那就是偷最值錢(qián)的東西，或者造成最大的破壞，出發(fā)點(diǎn)不一樣，效果也就截然不同。

再加上網(wǎng)絡(luò)安全領(lǐng)域木桶效應(yīng)明顯，而你家企業(yè)最短的那條木板可能不是技術(shù)而是人，技術(shù)看來(lái)牢不可破的認(rèn)證體系，黑客發(fā)封釣魚(yú)郵件就全搞掂了。類似場(chǎng)景下的安全問(wèn)題往往需要紅藍(lán)對(duì)抗才能充分暴露出來(lái)。

最后說(shuō)一點(diǎn)藍(lán)隊(duì)怎么培養(yǎng)的問(wèn)題。其實(shí)這個(gè)問(wèn)題很簡(jiǎn)單，黑客怎么培養(yǎng)藍(lán)隊(duì)就怎么培養(yǎng)，二者越像效果越好。譬如說(shuō)藍(lán)隊(duì)?wèi)?yīng)該怎樣開(kāi)展攻擊呢？很簡(jiǎn)單，黑客怎么攻擊你就怎么攻擊，你就是掛了工牌的黑客。

說(shuō)到黑客我想多說(shuō)兩句。有人說(shuō)黑客是壞人，有人說(shuō)黑客是牛人，也有人說(shuō)黑客是道德敗壞的技術(shù)牛人。我不想標(biāo)簽化地描述這個(gè)人數(shù)相當(dāng)可觀的群體，黑客所使用的技術(shù)五花八門(mén)，這里不妨簡(jiǎn)稱為黑客技術(shù)，技術(shù)是中立，黑客技術(shù)也不例外，就好比菜刀，有人用菜刀來(lái)切菜，也有人用菜刀來(lái)傷人，我們可以把這些人都被籠統(tǒng)地稱為“拿菜刀的人”，而黑客也不過(guò)就是“使用黑客技術(shù)的人”。

說(shuō)到黑客技術(shù)，自然就說(shuō)到另一個(gè)問(wèn)題?，F(xiàn)在有黑客角色的影視作品越來(lái)越多，我能理解編劇為了凸顯角色的不同，非要給劇里的黑客安排一些怪異的癖好，但這也很容易讓外人產(chǎn)生一個(gè)誤解，覺(jué)得黑客都是一群怪人，非要用野路子才能培養(yǎng)。

這是不對(duì)的，前面已經(jīng)說(shuō)了，黑客技術(shù)也是技術(shù)，是技術(shù)就能學(xué)習(xí)掌握，只要方法適當(dāng)，普通人也能學(xué)會(huì)黑客技術(shù)，再說(shuō)了，我知道不少黑客也追劇呢，你說(shuō)這群人是普通人還是怪人？

4.藍(lán)隊(duì)如何攻擊

藍(lán)隊(duì)是怎樣攻擊的呢？一般分四個(gè)階段，準(zhǔn)備階段、信息收集階段、外網(wǎng)突破階段和內(nèi)網(wǎng)橫向移動(dòng)階段。這個(gè)過(guò)程看起來(lái)和滲透測(cè)試挺像的，實(shí)際上也確實(shí)是八九不離十，但差就差在那一二上。

準(zhǔn)備階段和信息收集階段很簡(jiǎn)單，就是你要拉起一支隊(duì)伍，準(zhǔn)備好相關(guān)的工具設(shè)備，然后收集要攻擊目標(biāo)的各類信息，也俗稱“踩點(diǎn)”。接下來(lái)就是外網(wǎng)突破階段，首先肯定是要發(fā)現(xiàn)一些漏洞，滲透測(cè)試做到這一步基本就可以收工了，但對(duì)于藍(lán)隊(duì)來(lái)說(shuō)這只是開(kāi)始。

滲透測(cè)試好比是博物館聘請(qǐng)的安全檢查組，檢查組的任務(wù)是發(fā)現(xiàn)安全隱患，比如說(shuō)檢查發(fā)現(xiàn)二樓排氣口的鐵柵欄生銹了，他就會(huì)在報(bào)告中記錄這件事，然后建議盡快更換，檢查組的任務(wù)也就到此為止。

但是黑客不同，黑客好比是小偷，他也發(fā)現(xiàn)鐵柵欄生銹了，不過(guò)鐵柵欄生銹對(duì)小偷來(lái)說(shuō)毫無(wú)價(jià)值，所以他就會(huì)接著琢磨怎么利用生銹的鐵柵欄制造機(jī)會(huì)溜進(jìn)博物館，然后七拐八拐偷了館里最值錢(qián)的那顆寶石。

這也是藍(lán)隊(duì)要做的事。藍(lán)隊(duì)發(fā)現(xiàn)了外部漏洞，首先要想的同樣是怎樣利用外部漏洞進(jìn)入內(nèi)網(wǎng)，然后在內(nèi)網(wǎng)的各個(gè)節(jié)點(diǎn)中來(lái)回跳躍，直到達(dá)到存儲(chǔ)了重要數(shù)據(jù)或者運(yùn)行了重要系統(tǒng)的那個(gè)節(jié)點(diǎn)。這個(gè)過(guò)程也稱為“內(nèi)網(wǎng)橫向移動(dòng)”。

黑客也好，藍(lán)隊(duì)也好，都需要保持一顆“總想要溜進(jìn)去偷點(diǎn)什么”的心。我們上面說(shuō)的差那一二，就差在這一點(diǎn)上。有些企業(yè)自身防護(hù)確實(shí)做得不錯(cuò)，光從企業(yè)自身很難發(fā)現(xiàn)漏洞，對(duì)于滲透測(cè)試來(lái)說(shuō)，出一份漂亮的報(bào)告工作也就可以告一段落。但對(duì)于藍(lán)隊(duì)來(lái)說(shuō)，這仍然是一個(gè)需要攻克的問(wèn)題。

電影里經(jīng)常也能看到類似的情節(jié)，敵方總部防守嚴(yán)密，主角想要溜進(jìn)去怎么辦呢？藏在送飯菜的車隊(duì)里面。在網(wǎng)絡(luò)安全里，這叫“供應(yīng)鏈攻擊”。

說(shuō)實(shí)話，黑客入侵，紅藍(lán)對(duì)抗也罷，除了需要掌握各種工具方法，還需要很多靈光閃現(xiàn)的創(chuàng)作，這是技術(shù)，也是藝術(shù)。畢竟軍事里面有句話叫“出其不意攻其不備”，這句話放在這里同樣適用，網(wǎng)絡(luò)安全不是比力氣，想要取得最大的攻擊效果，就要找到防守者意想不到的地方。

這種既有技術(shù)又有藝術(shù)的領(lǐng)域，層次不夠講不清楚，層次夠了又基本都是大牛，容易嫌麻煩。不過(guò)，最近華章出了一本很難得的書(shū)叫《紅藍(lán)攻防》，里面系統(tǒng)地介紹了這部分內(nèi)容，包括藍(lán)方怎么攻，紅方怎么守，以及紫方怎么組織，還有實(shí)戰(zhàn)案例，想要深入了解這部分內(nèi)容的同學(xué)，不妨讀讀這本書(shū)。

關(guān)于作者：莫凡，網(wǎng)名木羊同學(xué)。娛樂(lè)向機(jī)器學(xué)習(xí)解說(shuō)選手，《機(jī)器學(xué)習(xí)算法的數(shù)學(xué)解析與Python實(shí)現(xiàn)》作者，前沿技術(shù)發(fā)展觀潮者，擅長(zhǎng)高冷技術(shù)的“白菜化”解說(shuō)，微信公眾號(hào)“睡前機(jī)器學(xué)習(xí)”，個(gè)人知乎號(hào)“木羊”。?