圖片來源@視覺中國
在騰訊雲的賽博空間內,有兩支隊伍隨時保持著戰鬥狀態——他們作為保障團隊在一點點巡視騰訊雲的安全防線,一旦發現漏洞或入侵者,要立馬進行漏洞修補並對入侵者進行溯源反制。
這兩支隊伍正是騰訊雲每年紅藍對抗安全演習的主角:紅軍和藍軍。
紅藍對抗概念最初見於軍事演習,由於能夠形象表達一攻一守的作戰演習狀態,這一概念被資訊保安領域採納。就像人類對機體的體檢,騰訊雲內部也一直堅持用藍軍模擬攻擊自查安全風險,保證雲平臺的安全性。
2020年下半年,依照慣例,騰訊雲再次啟動了紅藍對抗。區別於往年,這次的紅藍對抗的特點在於,無論從團隊規模還是攻防理念都在向更高級別的攻防演練靠近。
巔峰對決:兵分四路攻擊在紅藍對抗機制升級的情況下,騰訊雲的作業成為了重點檢查物件。攻擊方案交由藍軍制定,這也是此次攻防演練的最大特點——更強調“實戰”性,將原來紅軍“指哪兒打哪兒”,改為了藍軍制定作戰方案,紅軍被動防守。
不僅如此,本次對抗聚集了來自騰訊多個頂尖安全實驗室和內部安全運維團隊的精英,如果你對安全圈稍有了解,就知道這樣的陣容組團形成的攻擊方,足以讓任何一支防禦力量膽寒。
“此次對抗的防守方,來自安全平臺部、企業IT、雲安全專項、雲鼎實驗室的聯合保障團隊,彼此間緊密協同,以隨時應對可能從任何意想不到的地方出現的入侵。”本次騰訊雲紅藍對抗紅軍負責人劉永鋼介紹。
此次藍軍負責人李鑫也對這次的團隊組成非常滿意:“朱雀實驗室、玄武實驗室、企業IT藍軍,他們在木馬病毒、APT攻擊上比較擅長,騰訊藍軍擅長生產網攻擊和內網滲透,雲鼎實驗室、安全專家服務團隊擅長漏洞挖掘,藍軍的分工讓他們各展所長。”
如此高配置的攻防對決,在騰訊雲歷次的紅藍演習中也實屬罕見。
基於騰訊雲這個資產複雜的目標,藍軍歷時一個月制定了一份詳細的作戰規劃,涉及攻擊手段及路徑和詳細的時間計劃表。在對騰訊雲全網超百萬的伺服器資產進行排查摸底之後,藍軍準備分四個場景,對騰訊雲進行針對性的攻擊。不過無論哪種攻擊,對技術能力和團隊協作要求都很高。
對抗上演藍軍進一步確定了十餘個內部核心系統作為靶向目標。根據賽制規定,這些靶向目標中只要其中一個被攻破,就算藍軍演練成功。在對抗開始的第二週,藍軍已經拿到了不止一個核心靶向目標的配置資訊,甚至挖到了幾個堪稱殺器的0day漏洞,準備進行逐個擊破。
“志在必得!”這是藍軍在發現這些漏洞時的想法。但隨著時間的推移,最弔詭的事情出現了。
“研究一晚上,一個漏洞也攻不進去,很浪費時間。”李鑫回憶。他清楚記得在攻防啟動後的第四天已經找到了不下40個漏洞。但無法從任何一個漏洞進行核心系統的突破,讓這場攻防陷入了短暫的僵局。
在其中一次攻擊嘗試中,藍軍透過物理環境攻破了分公司一臺年久未更新系統的印表機,並控制了這臺印表機的作業系統。可惜的是,藍軍的這種行為還是被紅軍發現了。
藍軍只能另闢蹊徑。“他們透過內部一些支援分享的論壇,用水坑的方式找漏洞,提前埋攻擊指令碼,一旦內部員工去訪問看文章,就會中招。”本次騰訊雲紅藍對抗的負責人張祖優在觀戰時發現了藍軍的突破手段。
紅軍也不甘示弱。基於騰訊iOA零信任產品,提升端上的入侵門檻,並在應急響應中進行溯源,增加了誘捕反制環節。“他們的誘捕反制,直接攻到了我們釣魚平臺內部。”李鑫說。
按照李鑫的說法,一些高級別的紅軍會有很強的溯源分析能力和誘捕反制能力,一不小心就會掉入圈套。“比如蜜罐,就是欺騙性防禦,欺騙你攻擊我的某個目標,然後被抓個現行,讓你沒辦法短時間內發起攻擊。”
說白了,“誘捕反制”就是“你攻我,我不但要知道你是誰,還要制止你的行為”。
對於一舉端掉藍軍的釣魚平臺,劉永鋼笑了笑:“誘捕反制是網路安全最基礎的能力,發現駭客攻擊一般都會觸發誘捕反制。這次沒有用太多這個,只是利用他們的一些木馬做了一些溯源,登入了一下他們的服務。”
這是一個雙方博弈的過程。在藍軍的釣魚平臺被紅軍拿下之後,藍軍也在釣魚平臺上放了一個竊取紅軍登陸憑證、代表紅軍身份的程式碼。“拿到他們的OA令牌,甚至就可以攻到他們的OA系統裡面去。”李鑫說。
亦敵亦友,會放水“他們的攻擊手法除了技術手段,在打法上也有了一些‘術’的感覺。”劉永鋼說。這也是李鑫最驕傲的地方,在他看來,攻擊的手段、工具會不斷變化和升級,但攻擊的方法論不會變,就像《孫子兵法》到現在依然受用一樣。
張祖優在評價這次藍軍的攻擊行動時說:“藍軍團隊有新鮮血液加入,他們的打法跟以往確實有些不同。作為裁判,我確實看到了他們雙方的猥瑣行為,但我又不能說。”
李鑫就是張祖優說得藍軍新鮮血液的代表,他剛加入騰訊安全不久,在加入騰訊之前在金融等傳統行業工作,做過甲方,也做過乙方。所以對各種場景下容易出現的風險點都比較清楚。
作為一個80後出生的白帽子駭客,李鑫的團隊大部分是95後,甚至也有00後。這些攻擊手們思維活躍,各有各的擅長方向,他們有的擅長APT、有的擅長釣魚,有的擅長蒐集情報等等。用他自己的話說是“初生牛犢不怕虎”。
在劉永鋼看來,對於亦敵亦友的藍軍,紅軍其實相當“仁慈”。劉永鋼的團隊大部分是80後,與年輕的藍軍團隊相比,紅軍更像是沉穩的老大哥。
他回憶,紅藍雙方在對抗的過程中,其實並沒有讓他覺得特別焦灼的情況。雖然大家在網路空間內分屬不同陣營,但在物理空間上都在一個辦公室。
有時候到了飯點兒,劉永鋼看到藍軍還在那兒討論,會專門去打個招呼:“藍軍的兄弟們,飯都不吃了,為什麼呀?”
他有時候也會放水,明明已經捕捉到了藍軍的動態,在藍軍不會有關鍵進攻的情況下,紅軍會選擇按兵不動。
“不會立馬阻斷掉、刪除掉,在沒有產生實質危害之前,我們會繼續讓它挖掘更多”,劉永鋼說,“如果我們第一時間發現他,就把它給處置掉,這意味著後面的線索就斷了。”
如果攻擊被判定為是由外部駭客發起的,那麼紅軍會不留情面地處理掉。
對此,李鑫也說,他在拿到關鍵攻擊目標後也不會做更“惡劣”的動作:“點到為止了,演習的底線是保持系統穩定安全執行。我們的目的跟紅軍一樣都是讓騰訊雲更安全。”
合縱連橫,打造更安全的雲攻防結束後,雙方都會就對抗過程進行復盤。協同和安全,是這次覆盤雙方提到最多的詞。
從紅軍防禦的角度來看,紅藍實時對抗,考驗得是它的應急響應與處置能力。“如果駭客入侵的時候,涉及多個環節,就需要把多個環節的反應能力聯動起來,合縱連橫才會產生效果。”劉永鋼說。
紅軍成員實際都有各自的日常工作。在風險響應上,他們本身也有一套標準處理流程。但在戰時狀態下,騰訊雲的安全團隊會對這些標準流程做一些調整,在某些時候會迅速透過聯合團隊的特定或專業人員開展跟進,並基於特定的情景去展開包括反制溯源的一些分析工作。
“我們遇到一些戰時狀態的時候,需要透過這個機制把它的合縱連橫起來,什麼樣的環節他們處理,在戰時機制裡面在哪一些的流程的節點上有需要轉到騰訊雲來處理,在做一些特別的流程之後,大家閉環工作。”劉永鋼說。
李鑫也說,演習其實是檢驗整個隊伍打仗的能力,不光是方案的能力、組織的能力、技術人員能力,也是查漏補缺的很好的手段。
在此次紅藍對抗中,藍軍採用了“大分工,小協同”的方案。在四個大的攻擊場景之間,每個團隊又建立了協同關係。“團隊之間會存在情報共享等方面的協作,比如路徑1裡面有價值的資訊共享給路徑4。”
站在裁判角度,張祖優表示,紅藍對抗不會強調輸贏的概念,他認為演習的意義其實是快速校驗危害騰訊雲的核心問題。之後,再把一些問題同步給業務部門,把騰訊雲安全的水位線做更進一步的拉昇。
紅藍對抗過程中積累的工具、方法論也會輸出為騰訊安全的專家服務,這在幾家政企金融大客戶中的實戰效果已經被證明是正確的。
“這其實也在驗證騰訊雲安全建設的強度”,張祖優總結道,“‘攻’和‘防’在機制上的本質不同是,‘攻’遵循木桶原理,只要攻擊單點,找到最短的板就能突破;但‘防’是需要每塊板都做到足夠長,把防禦水位線做高,它考驗的是安全團隊的綜合能力。得益於這麼多安全團隊對雲的支援,騰訊雲安全水位線一直在持續上升。”
當下,紅藍對抗在騰訊雲已經常態化,騰訊雲也在年復一年的紅藍對抗中,不斷提升自身以及向外輸出安全服務的能力。
作為雲計算行業“排頭兵”之一的騰訊雲,保障系統安全,就是保障使用者的資料和隱私安全。紅藍對抗不但是騰訊雲保護自己的方式,更是一種社會擔當。
未來,隨著越來越多的企事業單位上雲,攻防演練成為中大型政企安全系統修復和迭代的最佳方式之一。騰訊雲也正在將這種實戰攻防的能力對外輸出,助力企業在數字化轉型升級的浪潮下提升安全水位線,更好地享有數字經濟的發展成果。(本文首發鈦媒體APP,作者 |秦聰慧)