网络红蓝对抗中进攻方要怎么做？

在日常生活中，如果我们想要妥善的保管重要物品，通常只需要把物品放进保险箱，再把保险箱放进一个装了防盗门的房间，门口再布置几个摄像头，便能够起到很高的防盗效果。

但是在互联网的时代，对于无时无刻不再产生的无形资产又该如何防护呢？

网络安全红蓝对抗

互联网给人们生活和工作带来了前所未有的便利，这一点毋庸置疑。然而，与此同时，互联网也带来了前所未有的风险。具体而言，这些风险是什么呢？让我们举一个例子来说明。

在2018年，Facebook发生了数据泄露事件，导致该公司市值蒸发三百多亿美元，对公司造成了灾难性的后果。这时候，很自然地会有人问：“那么，我们有没有办法来阻止这些风险呢？”

当然，答案是肯定的。无论是安装防火墙还是使用态势感知等安全产品，都可以有效地阻挡大部分风险。

然而，随之而来的问题是，这些安全产品并不便宜。如果企业领导非常重视网络安全，那还好说。但如果领导并没有意识到网络安全的重要性呢？

领导们可能会想：“我为你们的安全投入了这么多资金，但到年底了，没有发生任何事情，我也没有看到任何成果。我的钱到底起到了作用还是白白浪费了呢？”

然而，也有另一种情况：公司遇到了严重的安全问题，领导们会想：“我为你们投入了这么多钱，结果一点用都没有。我的钱到底有没有起到作用呢？”

于是乎，一个有趣的问题出现了：有没有一种方法，既能让领导们看到成果，又不会对企业造成影响呢？

当然，答案是存在的，这就是我们要谈论的红蓝对抗！

关于红蓝对抗，过于官方的解释就不再赘述了。简单地说，进攻方（攻击方）模拟黑客攻击防守方（防守方），试图找到网络系统的漏洞和弱点，并通过进入防守方的网络系统获取敏感信息或控制网络。而防守方的任务则是保护网络系统的安全和完整性，防止被进攻方攻击和入侵。

当最终总结时，所有的成果都将展现在领导面前，这样安全人员就能向领导们展示，安全工作到底做了些什么。

然而，红蓝对抗的意义并不仅仅是让领导们知道安全工作的具体内容。

红蓝对抗通过模拟真实的攻击和防御情景来测试安全防御措施的有效性和弱点，并帮助企业高效迅速地提高网络安全水平。

接下来，我们将详细介绍进攻方所做的工作。

进攻方攻击步骤

"孙子兵法"中有这样一句名言：“知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼，不知己，每战必殆。”

在红蓝对抗中，如果防守方能够获取到关于进攻方的情报，虽然不能保证百战百胜，但至少能够更轻松地进行防守。

接下来，我们来介绍一下进攻方在红蓝对抗中的一些行动。

一般来说，进攻方的攻击可以分为事前、事中和事后三个阶段，也可以称为前期准备阶段、对抗实施阶段和总结汇报阶段。

1.前期准备阶段

这个阶段主要涉及了红蓝对抗规则、攻击范围、攻击时间等方案的制定和确认。

2.对抗实施阶段

在这一阶段，进攻方将全面进攻防守方，采用多种手段，包括但不限于漏洞挖掘、钓鱼、社会工程等方式。进攻方的目标是完全控制防守方的系统。接下来详细介绍进攻方在这个阶段的操作过程：

2.1.信息收集

资产收集：进攻方会对目标进行信息收集，包括网站备案情况、IP地址、开放端口、子域名等。有关详细内容，请参阅之前撰写的《如何进行有效的渗透测试信息收集》。

社会工程和钓鱼：在信息收集过程中，进攻方还会利用社会工程和钓鱼等手段，获取目标账户的邮箱和密码，以及目标公司VPN账号等其他敏感信息。

信息泄露：信息收集阶段，进攻方还会通过泄露的信息获取敏感数据，从而实现重大突破。

2.2.边界突破

完成信息收集后，进攻方利用收集到的信息进行下一步渗透，目的是进入防守方的内部网络环境。

为了实现这个目标，采取以下策略：

站点突破：利用之前收集到的防守方网络资产，进行渗透测试，并利用各种漏洞（如0day、nday和cve等）获取系统shell，然后突破内部网络。

敏感信息泄露：在信息收集阶段，进攻方还会搜索GitHub、码云、文库、网盘和在线文档编辑工具等公共平台，以查找目标企业是否存在敏感信息泄露。这些信息可能包含重要的账户和密码等内容，一旦泄露，进攻方就可以利用这些信息攻击防守方系统。

一旦敏感信息泄露到公共网络环境，并被进攻方发现并利用，后果将难以估量。

2.3.内网横向扩展

当成功进入内网后，进攻方将开始进行内部攻击。

进入内网后，我们需要对网络进行进一步的信息收集，包括内网网段、存活主机、开放端口和操作系统等信息。

然后，我们需要查找内网中是否存在可利用的主机漏洞或其他网络服务漏洞，以控制更多的主机，获取最高权限，并获得管理员信息，从而获取域凭证，进一步获取域控权限，甚至完全控制整个内网。

自此，进攻方的目标达成，红蓝对抗也结束了。

3.总结汇报

到达这个阶段，我们需要向上级报告红蓝对抗的成果，汇报战果，并对本次红蓝对抗进行复盘分析，详细讲述攻防过程和入侵路径，讨论攻击手段和技巧、攻击成果，并根据实际情况提出优化建议，巩固红蓝对抗的成果。最后，总结红蓝对抗的整个过程和成果，并提供安全建议。

在红蓝对抗中，进攻方必须牢记，红蓝对抗只是一种演练，因此在攻击过程中应遵守法律和道德准则，确保攻击行为的合法性和合理性。进攻方的主要目的是测试目标系统的安全性，并帮助防守方改进防御措施，而不是从事非法或有害的攻击行为。

红蓝对抗演练是一种模拟攻击与防御的训练活动，它通过模拟真实世界中的网络攻击行为，帮助组织和个人了解黑客的思维方式和攻击技术，并学习如何识别和应对这些威胁。据我个人的有限认知来看，无论是黑客入侵还是红蓝对抗，除了掌握常规步骤以外，还需要掌握过硬的技术。高度的网络攻防技术会带来出乎意料的成果。

中培IT学院网络安全红蓝对抗实践培训涵盖了以下方面：

进攻技术：学习各种渗透测试工具和技术，了解攻击者的思维方式，学会模拟攻击并发现系统的安全漏洞。

防护技术：掌握网络安全监控、入侵检测、事件响应等技术，学会及时发现和应对攻击行为，并加强系统的安全性。

红蓝对抗实战：通过模拟真实的攻防场景，让学员在实践中学习和应用红蓝队技术，提高他们的应对能力和协作能力。

安全框架和方法论：介绍网络安全领域常用的框架和方法，如PTES、CKC、ATT&CK等，帮助学员建立系统化的安全思维和方法。

参加中培IT学院网络安全红蓝对抗实践培训将使学员能够掌握红蓝队技术和方法，增强技术人员在网络安全领域的专业能力。这将有助于技术人员更好地保护组织的信息资产和数据安全，并提高对网络威胁的预测和响应能力。