?作者：木羊同學

來源：大數據DT（ID：hzdashuju）

我們現在所處的時代，有人稱為網絡時代，有人稱為信息時代，也有人稱為數據時代，不管名字怎么叫吧，我想有一件事已經成為了共識，那就是我們的安全觀念得要跟上時代發展。

都知道重要的東西需要好好保管，以前都怎么保管呢？找一只牢靠的保險柜重重鎖上，然后再安裝厚厚的防盜門，如果條件允許的話最好再在屋里養一只惡犬，這樣不敢說萬無一失，至少大家盡了努力。

但在當下這個時代，這種觀念過時了。計算機和網絡給我們的生活和生產帶來空前便利的同時，也帶來了空前的風險。我們看電影大片，間諜要偷個文件什么的非常費勁，又是跳飛機又是鉆車底，最后還要耍雜技一般躲過各種感應器，一個不留神就滿世界冒紅燈，觀眾光是看就能把腎上素都拉滿了。

但現實中可能完全是另一種畫面，“小偷”一點人身風險也不需要冒，舒舒服服地坐在人體工學椅上，吹著冷氣敲幾下鍵盤就把事辦了，這種小偷我們也不陌生，那就是黑客。

近年總有圈內的同學會感慨黑客也物化了，不像過去那么純粹，我倒是覺得這也是時代的必然。最開始大多數黑客確實是把技術當作愛好，不斷追求技術上的突破，喜歡分享和“炫技”。

但隨著網絡時代、數據時代的來臨，網絡數據承載了越來越多有價值的東西，同時網絡攻擊可以造成的損害越來越大。技術的可用武之處越來越多了，學技術的人動機自然五花八門，大家自然也就把技術捂得嚴嚴實實。

打個形象一點的比方，二十年前我黑了你的電腦頂多也就偷偷QQ密碼，現在完全可以讓你前段時間的工作成果付諸東流，甚至一夜之間身敗名裂。這類事件時常會上新聞，對于企業就更不用說了，2018年Facebook發生數據泄露，公司市值一下蒸發360多億美元，現在還改了名字，我想多少也有挽救公司形象的考慮在里面。

1.安全何價

當然了，有人說會被“黑”的那都是安全意識不好的企業，我們企業裝了高檔防火墻還搞了內外網隔離，重要數據都存在內網里，除非有內鬼配合，不然黑客再厲害也無計可施。這句話乍一聽很有道理，但我們后面馬上就要介紹的“內網橫向移動”，就是專治這種不服。這里想先討論另一個困擾網絡安全的急迫問題，這就是認識問題。

說到網絡安全意識，近些年我們確實有了長足的進步，各方都在不遺余力地宣傳，安全圈的同學應該都很熟悉，國家每年都會舉辦網絡安全宣傳周，企業也基本都認識到防火墻和防盜門一樣是不可或缺的必要開支。不過，認識到網絡安全重要是一回事，時刻認識到網絡安全重要是另一回事。

但是還有一個問題，那就是怎么衡量安全的價值。我們都說安全是無價的，但安全服務是有標價的，要購買安全設備，要聘請安全人員提供服務，都是走的市場化渠道，都需要企業實打實地掏出真金白銀。所以，企業一定也都會去想兩個問題，一個是想我應該掏多少錢來“買安全”的問題，一個是買了以后又要想錢花得值不值的問題。

一旦企業開始思考安全的價值問題，馬上就會發現另一個悖論：安全的價值必須通過問題來體現。簡單來說，我是一家企業，我今年在安全方面花了三百萬，到了年底發現風平浪靜啥事沒有，那么，做總結的時候我到底該說自己是賺翻了還是當了冤大頭？

這誰說了算？誰說都不算，科學實驗講究控制變量，我們不妨設想有個平行世界，在那個世界中這家企業沒花這三百萬，結果遭受網絡攻擊，一下損失兩千萬，而且還只是直接經濟損失，至于事件對企業形象造成的負面形象，不但影響深遠而且損失難以估算，二者一比較結論很明顯，我這三百萬簡直賺翻了。

但是，問題難就難在沒有那么一個可供比較的平行世界。再加上網絡安全往往又有另一大特性，那就是要么不出事，要么出大事，無論哪一種情況，都容易會讓企業的決策者感覺在安全方面的投入打了水漂。

2.紅藍對抗

接下來我想聊聊紅藍對抗。紅藍對抗從不同角度可以有很多種聊法，不過，我想順著上面的問題談談我自己的思考。為什么安全會非得這么被動呢？因為別無他法。網絡安全天然就劃分成攻方和守方，而無論什么領域，守方天然就帶有被動性。

更嚴重的被動性是守方心理上的被動性。對于大部分企業來說，安全是無法直接創造利潤的，是一個純花錢的項目。既然是“花錢買平安”，企業的高層甚至其它部門肯定有很多的人心里想的不是網絡安全有多重要，公司應該加大在安全方面的宣傳和投入，而是對于安全部門，守住了那叫你的本分，守不住那是你的責任。

外人很難了解攻方的對抗有多激烈，自然很難承認安全部門的努力和成績。這種心理上的被動性，毫無疑問會造成更多消極的影響。有一個很熟悉的詞可以形容這種感覺，那就是憋屈。

守方不是天然就得憋屈呢？不是，歷史上就有很多一守成名的歷史人物。不過，首先得有一個前提：那就是大家都承認眼前存在危機。挽狂瀾于既倒，扶大廈之將傾，首先得讓大家明白眼下已經到了狂瀾既倒、大廈將傾的時候，然后守住就能守出名堂。

但是，網絡安全又往往具有隱蔽性，別說是事發之前，哪怕是事發以后，很多企業還是在新聞頭條上刷到了自己的名字，才驚訝地發現自己出現了安全問題。遲了，太遲了！當企業認識到自己的安全存在大問題的時候，往往也意味著接下來要進入各個部門互相扯皮踢皮球的環節。

有沒有辦法轉化網絡安全的這種被動性，至少讓公司在做明年網絡安全預算的時候，要錢的理直氣壯，掏錢的也心甘情愿呢？

我想，那就是紅藍對抗。說到紅藍對抗，就要說說藍軍。早些年“藍軍”還是個比較陌生的詞，近年我接觸過一些企業，知道不少已經組建了自己的藍軍隊伍，企業內部自己就搞起了紅藍對抗。

那么，什么叫藍軍？紅藍對抗又能怎樣轉化網絡安全的被動性呢？

對軍事有所了解的同學對紅軍、藍軍的用詞應該不陌生，對抗性的軍事演習一般會設兩個陣營，分別叫紅軍和藍軍，然后讓雙方對抗或演練攻防。過去紅軍藍軍是為了搞演習臨時設置的角色，后來慢慢演化出職業藍軍，人稱專業“打臉”部隊。

解放軍的“朱日和”軍演就有一支專業的藍軍部隊，據說不少平時濃妝艷抹的紅軍部隊在朱日和被狠狠地卸了妝，大家都憋著一股怒氣，要“踏平朱日和，活捉滿廣志”。

不過，藍軍打臉不是為了讓紅軍丟臉，重點還是評價水平和暴露問題。在網絡安全中，紅藍對抗是紅隊和藍隊對抗，紅隊是防守者，藍隊則扮演類似黑客的攻擊者角色，有時候還要設置一個“紫隊”，承擔組織工作。

藍隊目標只有一個，那就是用實戰攻擊回答你家企業存在多嚴重的網絡安全問題。企業的安全措施做得到不到位，還有哪些漏洞能被利用，這些過去平行世界才能知道的事，現在交由紅藍對抗就可以告訴你。

3.藍隊養成計劃

有同學可能要問，我家企業會定期做滲透測試，是不是可以替代紅藍對抗呢？

還真不行。不同企業對滲透測試的理解不一樣，不過基本遵循一個大原則，那就是點到為止。

雖然滲透測試很多都自稱是要以黑客的角度審視企業安全問題，不過流程走到發現漏洞也就差不多了，畢竟滲透測試也是服務，也受服務條款的約束，很多企業都會要求滲透測試不得影響主營業務，這個看起來理所當然的要求，其實免不了會導致滲透測試束手束腳。當然，更關鍵的還是錢。

但是黑客這邊有一個特點那就是“路子野”，人家可沒什么服務條款約束，目標只有一個那就是偷最值錢的東西，或者造成最大的破壞，出發點不一樣，效果也就截然不同。

再加上網絡安全領域木桶效應明顯，而你家企業最短的那條木板可能不是技術而是人，技術看來牢不可破的認證體系，黑客發封釣魚郵件就全搞掂了。類似場景下的安全問題往往需要紅藍對抗才能充分暴露出來。

最后說一點藍隊怎么培養的問題。其實這個問題很簡單，黑客怎么培養藍隊就怎么培養，二者越像效果越好。譬如說藍隊應該怎樣開展攻擊呢？很簡單，黑客怎么攻擊你就怎么攻擊，你就是掛了工牌的黑客。

說到黑客我想多說兩句。有人說黑客是壞人，有人說黑客是牛人，也有人說黑客是道德敗壞的技術牛人。我不想標簽化地描述這個人數相當可觀的群體，黑客所使用的技術五花八門，這里不妨簡稱為黑客技術，技術是中立，黑客技術也不例外，就好比菜刀，有人用菜刀來切菜，也有人用菜刀來傷人，我們可以把這些人都被籠統地稱為“拿菜刀的人”，而黑客也不過就是“使用黑客技術的人”。

說到黑客技術，自然就說到另一個問題?，F在有黑客角色的影視作品越來越多，我能理解編劇為了凸顯角色的不同，非要給劇里的黑客安排一些怪異的癖好，但這也很容易讓外人產生一個誤解，覺得黑客都是一群怪人，非要用野路子才能培養。

這是不對的，前面已經說了，黑客技術也是技術，是技術就能學習掌握，只要方法適當，普通人也能學會黑客技術，再說了，我知道不少黑客也追劇呢，你說這群人是普通人還是怪人？

4.藍隊如何攻擊

藍隊是怎樣攻擊的呢？一般分四個階段，準備階段、信息收集階段、外網突破階段和內網橫向移動階段。這個過程看起來和滲透測試挺像的，實際上也確實是八九不離十，但差就差在那一二上。

準備階段和信息收集階段很簡單，就是你要拉起一支隊伍，準備好相關的工具設備，然后收集要攻擊目標的各類信息，也俗稱“踩點”。接下來就是外網突破階段，首先肯定是要發現一些漏洞，滲透測試做到這一步基本就可以收工了，但對于藍隊來說這只是開始。

滲透測試好比是博物館聘請的安全檢查組，檢查組的任務是發現安全隱患，比如說檢查發現二樓排氣口的鐵柵欄生銹了，他就會在報告中記錄這件事，然后建議盡快更換，檢查組的任務也就到此為止。

但是黑客不同，黑客好比是小偷，他也發現鐵柵欄生銹了，不過鐵柵欄生銹對小偷來說毫無價值，所以他就會接著琢磨怎么利用生銹的鐵柵欄制造機會溜進博物館，然后七拐八拐偷了館里最值錢的那顆寶石。

這也是藍隊要做的事。藍隊發現了外部漏洞，首先要想的同樣是怎樣利用外部漏洞進入內網，然后在內網的各個節點中來回跳躍，直到達到存儲了重要數據或者運行了重要系統的那個節點。這個過程也稱為“內網橫向移動”。

黑客也好，藍隊也好，都需要保持一顆“總想要溜進去偷點什么”的心。我們上面說的差那一二，就差在這一點上。有些企業自身防護確實做得不錯，光從企業自身很難發現漏洞，對于滲透測試來說，出一份漂亮的報告工作也就可以告一段落。但對于藍隊來說，這仍然是一個需要攻克的問題。

電影里經常也能看到類似的情節，敵方總部防守嚴密，主角想要溜進去怎么辦呢？藏在送飯菜的車隊里面。在網絡安全里，這叫“供應鏈攻擊”。

說實話，黑客入侵，紅藍對抗也罷，除了需要掌握各種工具方法，還需要很多靈光閃現的創作，這是技術，也是藝術。畢竟軍事里面有句話叫“出其不意攻其不備”，這句話放在這里同樣適用，網絡安全不是比力氣，想要取得最大的攻擊效果，就要找到防守者意想不到的地方。

這種既有技術又有藝術的領域，層次不夠講不清楚，層次夠了又基本都是大牛，容易嫌麻煩。不過，最近華章出了一本很難得的書叫《紅藍攻防》，里面系統地介紹了這部分內容，包括藍方怎么攻，紅方怎么守，以及紫方怎么組織，還有實戰案例，想要深入了解這部分內容的同學，不妨讀讀這本書。

關于作者：莫凡，網名木羊同學。娛樂向機器學習解說選手，《機器學習算法的數學解析與Python實現》作者，前沿技術發展觀潮者，擅長高冷技術的“白菜化”解說，微信公眾號“睡前機器學習”，個人知乎號“木羊”。?