1. 极度安全首页
  2. 网络安全技术

红蓝对抗中的近源渗透

近源渗透(物理渗透)是红蓝对抗演练中的一个关键点,从相关新闻及实际测试结果来看,许多企业线上部署各种安全设备严阵以待,结果马奇诺防线在线下被物理渗透绕过 —— 物理安全或许就是部分企业的短板。本期TSRC特别邀请到腾讯企业IT部蓝军团队成员、《黑客大揭秘:近源渗透测试》第二作者杨芸菲(yyf),他将撰文与大家一起探讨近源渗透攻防。同时也向对近源渗透感兴趣的同志推荐该书。

前言

近源渗透是这两年常被安全业内人员谈起的热门话题。不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去“很过分”的近源渗透攻击手法,给防守方团队上了生动的一课。

19年的时候,笔者和朋友们就推出了漫画《黑客特战队·近源渗透》和出版书《黑客大揭秘:近源渗透测试》。作为近源渗透概念的主力“炒作者”之一,这篇文章和大家聊聊我对近源渗透的理解。

一、什么是红蓝对抗

红蓝对抗原本是一个军事概念,指在部队模拟对抗时,专门成立一个扮演假想敌的部队(蓝军)与我方正面部队(红军)进行对抗性演练。在信息安全领域中的红蓝对抗也是类似的思路,一方扮演黑客,另一方扮演防守者进行网络安全攻防演练。在演练过程中,蓝军模拟真实的攻击来评估企业现有防守体系的安全能力,红军对发现的问题做出相应的优化整改。通过周期性的红蓝对抗攻防演习,持续性地提高企业在攻击防护、威胁检测、应急响应方面的能力。

需要注意,国外流行使用Red Team(红队)代表攻击方,Blue Team(蓝队)代表防守方。

二、什么是近源渗透

在《黑客大揭秘:近源渗透测试》书中,笔者将近源渗透定义为“指测试人员靠近或位于测试目标建筑内部,利用各类无线通信技术、物理接口和智能设备进行渗透测试的方法总称”。

用通俗的话来讲,就是通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”,最后以隐秘的方式将评估结果带出上报,由此证明企业安全防护存在漏洞。

可以直观地感觉到,近源渗透与传统渗透测试的主要区别体现在对“边界”的理解上。在通过外网网络入口入侵企业这条路上,将面对防火墙、入侵检测等重重防御措施,攻击门槛逐渐变高。而在近源渗透的场景中,由于测试人员位于目标企业附近甚至建筑内部,这些地方往往存在大量被企业忽视的安全盲点。我们可以根据目标的网络状态、现场环境、物理位置等因素灵活地更换渗透测试方式,这也更接近渗透测试的本质。

三、近源渗透的测试目标

如果做完整的攻击面分析,近源渗透可以涉及到的测试对象会非常多,包括WiFi、蓝牙、RFID、ZigBee、蜂窝、Ethernet等等各类物联网通信技术,甚至包括智能设备的嵌入式安全。在本文中,笔者将挑选其中较为通用且容易在红蓝对抗中实施的近源渗透技术进行探讨。

3.1 无线渗透

在过去很长一段时间里,由于没有明显的竞争对手,人们普遍把无线安全用作Wi-Fi安全的同义词,把无线网络等同于Wi-Fi,下文中笔者将延续使用此习惯。

本文转载:腾讯TSRC安全团队,不代表 极度安全 立场,转载请注明出处:https://www.secvery.com/1495.html