TSRC马超在此，快来共决攻防！《2021企业安全运营实践研究报告》先导篇

话说安全大势，日新月异，东西贯通。前有勒索软件，后有漏洞追击。安全运营借势高楼起，横扫天下，人人趋之若鹜。四杰出世，引领风骚；零信任之父，独占鳌头。锦马超一枪决战攻防，孙伯符霸略溯源反制。握筹布画看周郎，子龙长枪扫八方。伯言火烧七百里，傲骨狂血魏文长。群英荟萃，乱世争锋。安全运营谁堪伯仲间？风流人物，还看今朝。

马踏飞燕，超然脱俗。护一方山河九州同，破千营兵马四海平。平沙无垠，群山纠纷。敌营深处，天降五钩神。召同袍相助，虎插双翼。出手法，西凉掌，夺命三枪溃敌军。一将功成是何人？TSRC马超在此，快来共决攻防。

人物台词：

漏洞因你所欲而来，却不因你所欲而止

技能属性：

【锁定技】快速抵达攻击方战场。

召唤一名蓝军攻击指定目标，造成伤害和减速效果。

召唤所有飞行蓝军返回身边时附带斩杀效果，

补刀残血时达到最高伤害。

人物背景：

胡珀（lake2），腾讯安全平台部总监，腾讯安全应急响应中心（TSRC）、Blade Team和腾讯蓝军负责人。

“基于红蓝对抗验证的安全运营体系优化”部分内容节选

安全风险是不断变化的，所以需要有安全运营来修正安全工作的当前阶段重点建设方向。经过一段时间的建设，随着安全系统的完善部署、安全规章制度流程的建立，安全运营体系也日趋完善。一切都看起来很好，但是实际上情况如何呢？这里就有一个问题，如何验证安全运营体系的有效性？

如何进行实战？笔者给到的答案是：红蓝对抗验证。

笔者以为红蓝对抗是渗透测试的升级版，红蓝对抗与渗透测试在具体技术上并无本质区别，不过红蓝对抗的关注点有所不同而已。

第一，关注点会扩大。渗透测试更适合叫漏洞挖掘，它关注点仅仅在发现业务的安全风险（毕竟要靠漏洞拿下目标），而红蓝对抗不仅关注业务的安全风险，同时还要关注安全防御系统及整个安全运营体系的有效性。

举个例子，在某次红蓝对抗行动中，红队通过某业务的一个严重Web漏洞拿下业务服务器，同时又通过各类横向移动手法扩大战果直至最终拿到靶标。这个时候蓝队要做什么呢？要详细复盘。一是复盘围绕Web漏洞建设的相关安全系统是否生效，另一个是红队的模拟入侵过程相关的安全系统和应急流程是否生效。

一般来说，Web漏洞的复盘点是相关安全系统（WAF/IPS/Web漏洞扫描器/代码审计系统/IDS/RSAP）是否正常处置（检测或拦截）。而入侵事件是整个入侵过程涉及的几类手法（一般分为WebShell、CmdShell、Scan、Malware、Backdoor、Brute、Connection、Clean几大类若干小类，也可参考ATT&CK）是否有发现，以及发现后安全系统的响应及运营人员的应急流程是否及时、完备和专业。对于所有不符合预期的问题都要记录并且提出优化方案，落地执行，一段时间后再进行检查，确保闭环。

如下图即是若干年前由笔者执行的一次红蓝对抗后的复盘邮件，对腾讯自研的HIDS入侵检测能力进行复盘并提出改进建议。

图：某次红蓝对抗复盘邮件

（图源：lake2）

除此之外，基于红蓝对抗验证的安全运营体系优化还需关注以下三点：

· 红蓝对抗的关注领域要扩大

· 红蓝对抗的检验视角需要多样性

· 红蓝对抗需更具备实战性

此处内容摘取于《2021企业安全运营实践研究报告》中“基于红蓝对抗验证的安全运营体系优化”章节，由腾讯安全平台部总监胡珀（lake2）根据数年安全运营研究心得及经验展现，更多详细内容敬请关注完整版报告。

更多安全群雄，敬请期待！