1.2 蓝队
1.2.1 什么是蓝队
在本书中,蓝队是指网络实战攻防演练中的攻击一方。
蓝队一般会针对目标单位的从业人员以及目标系统所在网络内的软件、硬件设备执行多角度、全方位、对抗性的混合式模拟攻击,通过技术手段实现系统提权、控制业务、获取数据等渗透目标,从而发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。
蓝队人员并不是一般意义上的黑客,黑客往往以攻破系统、获取利益为目标,而蓝队则是以发现系统薄弱环节、提升系统安全性为目标。此外,对于一般的黑客来说,只要发现某一种攻击方法可以达成目标,通常就没有必要再去尝试其他的攻击方法和途径;而蓝队的目标则是尽可能找出系统中存在的所有安全问题,因此蓝队往往会穷尽已知的所有方法来完成攻击。换句话说,蓝队人员需要的是全面的攻防能力,而不仅仅是一两项很强的黑客技术。
蓝队的工作与业界熟知的渗透测试也有所区别。渗透测试通常是指按照规范技术流程对目标系统进行安全性测试;而蓝队攻击一般只限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。渗透测试过程一般只要验证漏洞的存在即可,而蓝队攻击则要求实际获取系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用社工手段(通过对人的诱导、欺骗等方法完成攻击),而蓝队则可以在一定范围内使用社工手段。
还有一点必须说明,虽然实战攻防演练过程中通常不会严格限定蓝队的攻击手法,但所有技术的使用、目标的达成都必须严格遵守国家相关的法律法规。
在演练中,蓝队通常会以3人为一个战斗小组,1人为组长。组长通常是蓝队中综合能力最强的,需要具备较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长,具备边界突破、横向拓展(利用一台受控设备攻击其他相邻设备)、情报搜集或武器研制等某一方面或几方面的专长。
蓝队工作对人员的能力要求往往是综合性的、全面的,蓝队人员不仅要会熟练使用各种黑客工具、分析工具,还要熟知目标系统及其安全配置,并具备一定的代码开发能力,以便应对特殊问题。