专注APT攻击与防御
2100年12月29日星期三
为什么会有这个博客
2023年11月19日星期日
论网络安全异化(行业)
2023年11月18日星期六
论金融行业数字化人才
理论上推演可行且逻辑缜密,但现实中没有的事物。便放手去做。
2023年11月4日星期六
论“数字化”及“数字化转型”背景下企业信息安全建设路径
要让未来要发生的事情在今天思考,要让今天已做的事情成就未来。
————Micropoor
摘要
随着数字化转型逐渐进入深水区,已呈现多元融合、碎片化、复杂化发展等泛化趋势。企业需要及时调整网络安全战略定位及战略布局,从被动开展到需要打响“主动保卫战”,依托技术手段及技术工具,注重加快人才、流程、经验建设,为“业务数字化”夯实网络安全基石,最终实现与业务共同稳步发展。同时需要拓宽网络安全视角,积极探索内外交互联动方式及一体化合作发展的新型模式,最终真正实现网络安全“看得见、守得住、重沉淀、促发展、赢未来”,助力保障企业强劲竞争力。
关键字:业务数字化;网络安全;主动保卫战。
背景:
在十四五规划明确“加快数字化发展”在“加快发展现代产业体系、推动经济体系优化”目标中作为重要指导方针后,数字化浪潮便席卷而来。数字化转型对于企业来说不再是一道选择题,而是一道生存题。网络安全防护工作作为数字化转型的前提基础和坚实保障,全面提升网络安全保障能力,能够切实为企业数字化转型保驾护航,推动业务高质量发展。
引言:
“数字化”及“数字化转型”背景下的企业网络安全建设与推动发展,从技术的视角上看,数字化是IT(Information Technology)向DT(Data Technology)转化的过程。因此,就不得不提“三化”,既信息化、数字化、智能化,才能更好的理解在此背景下“企业网络安全”建设路径与重要意义。
信息化:信息化的本质是“连接”,既是将物理世界的信息和数据转换为“0与1”的二进制代码录入信息系统,以“数据”形式保存,将线下的流程和数据迁移到电脑上进行处理,以此提高效率、降低成本并提升可靠性。
信息化特点:人“主”机“辅”,即以人为主、以机器为辅。
数字化:数字化的本质是“生产力与生产关系的重构”,即是将许多复杂多变的信息转变为可以度量的数字、数据,再以这些数字、数据建立起适当的数字化模型,把它们转变为一系列二进制代码,引入计算机内部,进行统一处理,利用数字技术来改变原有商业模式并提供新的收入或新价值创造,这就是数字化的基本过程。
数字化特点:以“信息”转化为“数据”,再将数据转化成“可用”信息。
智能化:智能化的本质是“主次关系重构”,即是事物在计算机网络、大数据、物联网和人工智能等技术的支持下,所具有的能满足人的各种需求的属性。智能化是自动化技术当前和今后的发展动向之一,逐步具备类似于人类的感知能力、记忆和思维能力、学习能力、自适应能力和行为决策能力,在各种场景中,以人类的需求为中心,能动地感知外界事物,按照与人类思维模式相近的方式和给定的知识与规则,通过数据的处理和反馈,对随机性的外部环境做出决策并付诸行动。
智能化特点:机“主”人“辅”,即以机器为主、以人为辅。
正文:
在数字化转型的过程中,不仅仅要把“关注点”放在人才、流程、组织、技术等上,要清晰清楚所在的公司“数字化”转型的目的、难点、阶段等。也要从全局观去了解人类在历史中所经历的四次科技变革,只有这样,才能更清晰清楚在本次的“数字化”时代的变革中,网络安全所处于的位置、分工、重要程度、方向,以及如何能更贴近“数字化”本身而做好网络安全工作本身,才能合理的分配资源、合理的设计规划、合理有序的推进网络安全工作。
从十八世纪六十年代至今,全人类经历了4次技术变革,每一次的技术变革都极大提高了生产力,改变了人与人、人与物、物与物之间的纽带,也改变了世界的面貌,而本次技术变革的过程中,恰恰也是信息安全在全人类历史的长河中,开始产生广泛和深远影响的重要阶段,也逐步从“背后”走到了“舞台中央”。今天,信息安全已成为一个世界性的问题,“信息安全”已从起初的军事领域迅速地扩展到了数字化时代社会生活的方方面面,已关乎每一个人。信息安全问题所造成的影响和后果,轻则影响公民的正常生活、威胁企业生存发展,重则危及国家和社会的稳定与安全。信息技术的辐射性、衍生性,信息资源的共享性,信息传播的跨界性,通信网络手段的多样性等,决定了信息安全环境的开放性、复杂性。而在这么一个开放、复杂的环境中,信息安全注定是一个动态变化的过程,也永远将会是一种相对的安全。这个过程需要国际社会、国家、企业组织和公民必须共同努力,共同担责,不仅解决技术与产业问题,也要解决组织合作、法律法规、安全监管的问题。
第一次工业革命时期,瓦特改良蒸汽机,迅速在许多行业中使用,把人类带进了“蒸汽时代”,既是“蒸汽化”。
第二次工业革命时期,由于发电机和电动机的发明和使用,电力逐步取代了蒸汽,把人类带进了“电气时代”,既是“电气化”。
第三次工业革命时期,以物联网、云计算、大数据为核心的新一代信息技术把人类带进了“信息技术时代”,既是“信息化”。
第四次工业革命则是利用信息化技术促进产业变革的时代,以信息物理系统为基础,以生产高度数字化、网络化、机器自组织为标志。既是“智能化”。
无论是信息安全还是网络安全,亦或数据安全等,都要深刻的理解“安全”的基本含义,即是客观上不存在威胁,主观上不存在恐惧,即客体不担心其正常状态受到影响。可以把网络安全定义为:一个网络系统不受任何威胁与侵害,能正常地实现资源共享功能。要使网络能正常地实现资源共享功能,首先要保证网络的硬件、软件能正常运行,然后要保证数据信息交换的安全。
在了解了“数字化”及“数字化转型”的历史后,那么企业网络安全的建设与推进路径也就明朗了,即是15字方针,“看得清、守得住、当沉淀、促发展、赢未来”。
看得清:看得清数字化资产的分布与暴露面,看得清业务场景的风险隐患,看得清“云网端数用边”安全形势,看得清宏观层面跨时间与空间的安全态势,看得清微观层面的攻击线索。抽象总结——“两体一道”,既是访问主体、访问通道、访问客体。
守得住:守得住数字化资产,守得住客户隐私数据,守得住商业秘密,守得住公司信誉。抽象总结——“四问”,即是外部客户访问、内部客户访问、运维管理访问、系统间访问。
当沉淀:沉淀安全分析规则、沉淀安全脚本、沉淀安全工具与平台、沉淀安全方法论、沉淀安全标准规范流程、沉淀自有安全人员。抽象即是——基础安全保护沉淀、身份与策略管控沉淀、检测响应与运营沉淀、源生安全集成沉淀。
促发展:促数据有序流通、促创新业务发展、促数字化转型。
赢未来:赢在业务创新,赢在数据开放,赢在数字化人才,赢在安全生态与安全文化,赢在未来。
数字化与数字化转型背景下企业网络安全建设的5个阶段路径:
第一个阶段,以资产和流量为视角,做看得清。
资产层面,做好资产管理是安全运营最基础性的工作,是安全事件处置、漏洞补丁修复等流程能够顺利开展、精准定位的关键要素。这一阶段,开展多维度全方位的资产探查和测绘,实现资产价值管理和精细化管理。通过明确安全运营资产对象的重要性(包括终端、重要的服务器、核心的业务系统等),并针对资产的不同维度(如类型、IP、端口、组件、组件版本、是否对外发布)进行可视化的展示和维护,提取容易造成混淆或干扰的“噪音”资产(如正向代理、反向代理、扫描器、内部DNS、不规范的应用服务器),动态分析高敏感系统和集权平台(如VPN/OA/邮件/运维监控/堡垒机/财务系统)潜在风险。
流量层面,立体化覆盖边界流量(不限于互联网边界、安全域边界)、横向流量、重要服务器流量(不限于Web/DNS/Email/database服务器)等,精准区分内对外、外对内、内对内流量,充分运用SSL卸载以及加密流量分析引擎,根据规则匹配、语义分析、流量特征、关联分析等技术手段,快速识别漏洞、恶意软件,切实做到流量可见、风险可视。
第二个阶段,以威胁狩猎和高效闭环为视角,做守得住。
在看清安全形势的同时,需要一双火眼睛睛抓住高风险事件,并进行及时、恰当地处置,不断推动安全能力的持续提升,方能守得住。第二阶段,以威胁狩猎和高效闭环为视角,充分利用当前的安全资源,提升安全监测的有效性、安全响应的高效性,守住网络安全和数据安全。
威胁狩猎的首要任务是做好安全数据治理、建立威胁建模。安全数据治理,是对数据理解的过程,包含了数据采集-数据标准化-数据增强-数据分析-响应处置-复盘这个迭代过程中的数据治理部分。依据运营预期、需求、基础设施、预算、客观条件,明确采集范围、采集方式、采集格式、采集目的、数据接口管理、处置接口管理、预估存储大小、明确存储时间、数据源统一监控、变更管理等,明确前端数据源标准,明确数据模型。在贴合业务的场景下,建立威胁规则模型,基于攻防对抗、攻击模拟、历史安全事件、外部情报等,持续进行编排和优化,并利用各种验证框架提升威胁规则模型的有效性。在建立威胁规则模型的基础上,进一步开展数据强化分析,即威胁狩猎工作,利用各种方式区分正常与异常行为,例如分析影响范围和意图,加快事件调查和对根本原因的理解。
高效闭环,需要高效的事件闭环流程,一方面,结合业务特点,制定自动化处置策略,如对业务时段、非业务时段制定不同封禁策略;另一方面,通过标准化的应急处置、通知预警、协同联动流程,辅以可视化的类工单系统进行事件的跟踪与管理,直至事件闭环。
第三个阶段,以人和工具为视角,做当沉淀。
看得清、守得住的最终目标是为了促发展、赢未来,而沉淀是其中必不可少的桥梁。小到沉淀一个安全分析规则、一个安全脚本,大到沉淀一套安全方法论、一套安全体系,都将给企业高质量创新发展注入新动力。
因为沉淀,才能培养高精专的自有人才,打造特色的自有安全团队;因为沉淀,才能将常态化运营和实战化经验相结合,转化为可以传承、共享的知识,通过不断地流动与迭代加以完善,形成公司级或者行业级标准、规范、最佳实践等,从赋能一个系统扩展到赋能多个系统,从赋能一个创新业务扩展到赋能多个创新业务,对各个团队、各个业务部门甚至整个行业产生积极的影响。
第四个阶段,以促进数字化转型为视角,促发展。
数字化转型是企业围绕“数据赋能业务”为核心进行全面布局并长期坚持的工作。数字化转型必须从技术、战略和人才的层面去思考,以技术赋能企业运营为起点,以战略重塑商业模式为核心,以人才打造组织能力为根本,实现这三个方面的有机结合。
有了安全技术、安全人才相关的沉淀,方能在各类创新业务飞速发展的当下,不会因为不熟悉的应用组件、多样的API接口、复杂的数据流动而心生恐惧,盲目阻断创新业务的上线;也不会因为缺少有效、可落地的安全管控,而发生数据安全泄露等事件。
总之,以促进数字化转型为视角,通过持续加深对业务安全的理解,建立健全数据安全规范体系,构建确保数据要素有序流通的基础能力,健全数据安全技术保障能力,谋求安全与业务共发展。
第五个阶段,以共建安全开放生态为视角,赢未来。
安全与创新是一个恒久的话题。只有快速适应未来安全形势的变化和细分安全能力的需求,为开放创新提供基础支撑,共建安全开放生态与安全文化,深度赋能业务发展与业务升级,企业才能在快速发展过程中树立行业地位、增强企业自身竞争力,赢在当下,且赢在未来。
企业数字化、数字化转型中网络安全建设六点建议
(一)企业网络安全建设是重大战略问题,是典型的“一把手”工程
“以安全保发展、以发展促安全”的要求,充分体现了马克思主义的辩证法,体现了科学的发展观。要解决数字化转型安全问题,需要企业从经营战略视角进行统一规划,建立系统性的安全防御机制,安全不再只是某个部门的工作范畴,更需要管理层战略关注,数字化时代,安全更成为“一把手”工程。
(二)加强“顶层设计”,提升体系化安全能力
要对安全体系建设进行统一的规划,制定安全体系框架,明确保障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。同步强调“统一规划建设、全面综合防御、技术管理并重、保障运营安全”,规划中要体现安全保障的重要性,利用多种安全保障机制,保障网络和信息系统的运行安全,在实战中保障业务的持续性和业务数据的安全性。
(三)善从外部借力,形成联动联合、互动互联
企业数字化转型过程中业务环境将更加开放,业务生态将更加复杂,这将对未来安全管理与保障带来巨大的挑战。未来“多云共存”“异构管理”等新安全挑战将成为企业数字化安全建设和发展面临的新常态,可以通过安全研究机构、产商等联合赋能,聚合企业数字化转型所需的安全能力,促进企业数字化相关安全系统形成一体化安全保障机制。探索安全管控赋能主动对接各系统安全态势感知及安全大数据支撑平台,实现相互交互联动,形成“一盘棋”的安全管理局面。
(四)加强人才培养,网络安全领域不拘一格降人才
数字化转型涉及的技术和场景众多,需要培养既懂网络安全技术,又了解数字化转型方法论,业务场景相关技术的复合型人才,才能更好地完成数字化转型下的网络安全相关工作,于企业而言,应逐步建立网络安全专业人才的招聘选拔培养任用机制,通过安排技术技能培训与考核,参与技能大赛和红蓝对抗演练等方式,实现人才队伍从信息安全等级保障,保护合规测评能力,向网络攻防专业技术能力及实践能力的“双轮驱动”提升。
(五)探索建设企业网络安全大数据中心
利用“实时、全样、精准”的安全大数据建立全程在线、跨厂商、全域覆盖、实时反馈的“企业网络与数据安全态势全景图”,全天候全方位监测预警网络安全威胁,提高对网络安全风险的感知、预警和防护能力,实现集约化、常态化的威胁发现和应急处置,实现“用数据感知、用数据决策、用数据管理”的网络安全治理新模式。
(六)把“网络安全”融入企业文化,助力企业“数字化转型”
企业文化是一个组织的核心价值观,体现在企业日常运行中的各个方面,是一个企业的基因。与传统企业内部笃信“领导经验”不同,一个数字化的企业上下皆以“数据”作为衡量决策及结果的唯一标准。要想让企业顺利完成“数字化转型”,需要在企业内部打造“网络安全”这样的文化,可以起到事倍功半的效果。
经过多年的信息化建设,企业进入到在线化、协同化、数字化、智能化的发展阶段,而数据是推动数字化、智能化的核心基础,数字化不仅带来企业运营效率提升、成本降低,更重要的还是在于商业模式的变革与新价值创造。而前置条件便是网络安全、信息安全、数据安全。
一切企业不注重“网络安全”就谈数字化转型都是纸老虎。
一切企业不注重“数字化”就谈发展的都会被时代所抛弃。
企业安全建设一定要有战略思维、战略眼光,不能仅停留在“技术本身”,信息安全不是一个或几个部门的任务,而是数字化时代对于整个公司提出的新要求。在不同时期,对网络安全有过不同的称谓和解释,其内涵在不断深化,外延在不断扩展。而我们每一个人、每一个企业、每一个组织都需要重视并顺应“数字化转型”的趋势,并投身其中,为产业升级、建设数字中国贡献一份力量。
2022年7月24日星期日
我的网络安全观:论双赢即“客户”(第五季)
任何的改变,是且仅是面向对象发生了改变。
————Micropoor
(注:第四季内容较为“抽象”,笔者尽可能以“举例”的形式,阐述论“双赢”既客户)
第一季《论服务既“销售”》主要围绕了网络安全行销售与“新销售”的边界、技术与“新技术”的舞台(乙方视角)。
第二季《论质量既“品牌”》主要围绕了网络安全产品“质量”与“品牌”之间错综复杂的关系、以及售后跟进的重要性(甲方视角)。
第三季《论“事前”企业信息安全建设》主要围绕了“事前”企业信息安全建设,主要从4个维度、3个方向进行规划与考虑。(甲方视角)
第四季《论大型闪电式红蓝对抗战术方法论——上篇:攻》主要围绕“矛盾”视角展开。努力地限制“矛盾”、控制“矛盾”、引导“矛盾”。(红队视角)
第五季围绕《论双赢即“客户”》,作为第一季与第三季的延展与补充。(全局视角)
现代社会中,“高质量”市场经济竞争背景下,“以客户为中心”是许多企业的流行口号,尤其是网络安全行业,本方向类型的“价值观”存在于各个企业。不过各方的不同演绎,也就是客户二字的的不同定义。
按照传统分类,“客户”主要范畴如下:
(1)消费客户
购买最终产品或服务的零散客户,通常是个人或家庭。
(2)B2B客户
购买你的产品(或服务),并在其企业内部将你的产品附加到自己的产品上,再销售给其他客户或企业以赢取利润或获得服务的客户。
(3)渠道、分销商、代销商
不直接为你工作的个人或机构,通常无需你支付工资。此类客户购买你的产品用于销售,或作为该产品在该地区的代表、代理处。
(4)内部客户
企业(或相关企业)内部的个人或机构,需要利用企业的产品或服务来达到其商业目的。这类客户往往最容易被忽略,而随着时间的流逝,他们也是最能盈利(潜在)客户。
本文主论(5)“双赢”即客户,抽象“客户”的直接定义且唯一定义。
“双赢”既客户,仅5个字,一旦抽象出来,便共有4个维度的思想升华
(1)什么是“客户”
(2)什么是“双赢”
(3)什么是“赢”
(4)附加“时间”概念
举例阐述笔者思想:
(一)什么是“客户”
笔者乙方时视角:销售是我的客户、甲方是我的客户、内部跨部门是我的客户等,也就是说一切可双赢为前提的“自然人”或“组织”都是我的客户。
笔者甲方时视角:乙方是我的客户、内部跨部门是我的客户、业务部门是我的客户等,也就是说一切以双赢为前提的“自然人”或组织都是我的客户。
(二)什么是“双赢”
A与B之间满足最“基本”所需、所求 或 可减少、降低成本(这里的成本可经济成本、时间成本、人力成本、精神成本、心里成本等)、形成“共赢”。
(三)什么是“赢”
“赢”要展开考虑,其抽象核心思想:要考虑对方“主赢”,也就是“主核心主诉求”,而考虑自身最低“基本诉求”。在宏观思想中,“赢”的概念里一定要忘记且去掉“金钱”概念,抽象并且总结成时间概念、成本概念、人力概念、品牌概念、心里概念、精神概念。
例如:我“养”一条狗,我与它“双赢”,这里便没有“金钱”概念,而其“我”是心里概念、精神概念、感情概念”等。而狗是“安全概念、归属概念、生存概念、心里概念、精神概念”等。
(四)附加“时间”概念
A与B在“双赢”的基础上,一旦附加“时间”概念,“客户”概念也随之消失,将会转化成“朋友”概念。但是一旦终止或长期以不均衡“双赢”的基础上,那么“朋友”概念,将会转化“客户”概念。如果长期持续维持“不均衡”或长期“终止”双赢,那么“客户”概念将会转化“敌人”概念。(此处“敌人”概念也指“陌生人”概念)
正如此篇文章,在总结的过程中,读者便是我的“客户”,抛砖引玉,引起共鸣,在写作的同时重新结构化自身的知识体系,而读者同样也或多或少受益,也就是说我的“客户”既是读者,读者的“客户”也是我。周而复始,许多“读者”也便成为了朋友,主论“双赢即客户”。
随着社会经济的快速发展,互联网的高度普及,许多“面向对象”,发生了质的变化,从一对一,到一对多、多对多的概念。既面向对象发生了改变。
面向对象的改变,也直接改变了人、事、物的发展轨迹。
笔者只管理“自身”的时候,回复“留言”很快。当笔者负责某个“业务”或者某个“大团队”的时候,回复“留言”很慢,甚至“遗忘”回复。其本质是“面向对象”的范围增大。
某酒水最初原始价格相对“较低”,它面向的对象是“爱好”品尝它的群体。随之发展,其附属属性增加“收藏价值”,价格“水涨船高”,其本质是“面向对象”的范围变广。(这里涉及到另一个视角问题,既:改变商品属性便改变了原有价值,未来会更新)
抽象同理阐述,既:增大客户“面向”对象群体基数既“捷径”,而其前提便是“双赢”。
后者的话:
服务侧、销售测、前端侧、后台侧等,当其共有同一个面向对象既“经济价值客户为中心”时,此时每个不同的“侧”,其“主”矛盾是什么?其“次”矛盾是什么?其立场是什么?内部流转、配合、联动又会遇到什么“矛盾”?这是每一个网络安全行业的管理者值得深思的一个问题。
我的网络安全观:论大型闪电式红蓝对抗战术方法论——上篇:攻(第四季)
引言
要严格区分和正确处理“敌我矛盾“和"内部矛盾”这两类不同性质的矛盾。要灵活运用到整体的战术中去,将最小的“资源”发挥最大的“力量”。努力地限制“矛盾”、控制“矛盾”、引导“矛盾”
——Micropoor
注:此方法论适用于组织、规划、牵头者,或KPI原始设计模型参考、或要多维度、多视角看待事物发展规律的技术人员等,本文不涉及技术,只从公司战略层面或内部组织管理层面考虑投入产出比,在控制投入的同时又可以将力量尽可能的发挥最大化,控制“主矛盾”,平衡“次矛盾”,集中力量办大事,相信,相信就会发生。
正言
在大型的“闪电战式”红蓝对抗演练中,往往由多个平行部门、跨部门,甚至跨公司组成一个“临时”团队,“共同”对抗与应对“一定时间限制内”的红蓝对抗演练。而其中主要的资源将会采取“集中式”,主要的行动采取“闪电式”。但是在整体的行动路径上,都会发生这样与那样的“问题”,而这里的“问题”其主要抽象出来就是“矛盾”的性质与属性,而本篇“方法论”中,将会采取战术的可控流程与可控标准来限制“矛盾”、控制“矛盾”、引导“矛盾”,故本篇抛砖引玉出"战术"方法论。
理想与现实往往是矛盾并且错综复杂的,尤其是在大型红蓝对抗中是涉及到,管理、流程、技术、战术、多方人员形成合力、成本、产出等系列问题交织在一起。一般大型红蓝对抗具有一定的时间限制,各方队伍,需要在指定的时间内,完成攻坚战,并且赢得竞争对手。
正文
假设场景与条件:本次大型红蓝对抗周期20天,内部参与跨部门3个,每个部门出15人,共计45人。部门分为别A、B、C
红蓝对抗现场人员队伍组成模型
现场红蓝对抗人员保持一个宗旨:跨部门混合式人员搭配。既“平衡”矛盾、“限制”矛盾、“融合”矛盾。
远程人员队伍组成模型
信息收集组:
主要做好提前信息搜集,如传统的互联网资产搜集、CMS、邮箱搜集等。也包含与目标股权有关联的子公司、分公司、供应链等。根据信息搜集整理后,大致判断目标内部网络是否在同一网络下、根据经验初步判断是否在同一内网。整理好信息后移交到“社工钓鱼组”。
社工钓鱼组:
主要根据“信息搜集组”整理后的资料,分门别类,做好相关“社工钓鱼”工作。包含但不限制于:邮箱钓鱼、手机钓鱼、APP通信软件钓鱼、供应链钓鱼、进源钓鱼等。
漏洞应用组:
主要根据“信息搜集组”整理后的完整资产(目标资产、关联资产、上下游资产、供应链资产等识别)快速定位已知CMS以及未知CMS,对于已知CMS做好自动化或bypass工作,对于未知CMS快速找到相关信息,做进一步“审计、挖掘”。
免杀对抗组:
免杀对抗组主要工作分2个方向,1)对抗安全工具。2)解密相关源码或逆向相关应用。分别支持“社工钓鱼组”的payload免杀安全对抗与“漏洞应用组”漏洞挖掘中的加密解密做“审计、挖掘”
内网对抗组:
主要支持“外网对抗组”、“社工钓鱼组”的工作。采取动态化时间作息。例如在前期工作中,内网对抗组整理开展内网工作中可能遇到的“安全工具对抗场景”、“CMS漏洞列表”等,充分与“漏洞应用组”交流,以便展开工作时,争取时间上的优势。
外网对抗组:
主要根据“信息搜集组”与“漏洞应用组”做2个方向工作,1)自动化,2)非自动化。在开展工作的过程中,采取1或2,主要根据目标的警觉性与反应速度决定、与目标的资产类决定、与目标的上下游资产决定、与目标的供应链广度决定。
机动远程组:
顾名思义机动组人员要求“经验老道”且“时间动态”,主要技能方向“bypass、反编译、加解密、漏洞挖掘、内网对抗”,分别根据动态工作中以便支持“漏洞应用组”、“免杀对抗组”、“内网对抗组”
后勤支援组:
顾名思义后勤支援组既远程队员的“物资”后勤保障,包括但不限制于“代理池、服务器、4/5G、可食用物资等”,根据经验尽可能由男女组合,因其核心要求“细心”、“坚持”、“沟通”。(因可能涉及到搬运、熬夜、记录)
工作流程
- 基础收集,由现场同步远程信息收集组,按照信息收集流程将目标基础信息搜集完毕
- 分配目标,由远程各打点组牵头人分配打点目标,2人一组进行打点
- 漏洞支援,期间打点组遇到需求漏洞的资产,同步至漏洞应用组进行漏洞支援。
- 内网渗透,获取权限后,由远程各组牵头人分配内网组渗透人员,2人一组进行内网渗透。
- 结果梳理,成果报告组 整理打点组、内网组成果,按照比赛规则进行编写报告。
人员激励模型 - 贡献积分制
机制:积分等于权重,组长按1-10分按照贡献程度给组员分配权重。
1:在设计人员激励的过程中,一定要以“小组”为核心设计,勿以“个人”为核心设计。每个组设“技术组长”一名,负责整组的“方向、行动、沟通、同步、跨组配合”(组长是技术型组长且加入到整个对抗工作中)
2:采取积分制记录,该工作为“成果报告组”跟进。以“小组”为单位,分别对接每个小组的“技术组长”。以每组进展、结果记录对应积分。
组织架构模型
结束语
整篇文章主要围绕2个核心问题而出发
(1)“敌我矛盾”
(2)“内部矛盾”
其中用制度来限制“矛盾”扩散,用“工作流”来串联各个分工流转。将最小的“资源”发挥最大的“力量”。限制“矛盾”、控制“矛盾”、引导“矛盾”
渗透的本质是信息搜集,对抗的本质是资源投入,而在整个对抗的过程中,“领队”最先优先考虑“有限的资源投入”如何最大化发现其“资源价值”。解决“资源、物力、人力、储备、架构、工作流、制度”等问题后,在回归到红蓝对抗的技术本身。