根据中国互联网络信息中心(CNNIC)发布的第51次《中国互联网络发展状况统计报告》,截至2022年12月,我国网民规模为10.67亿,互联网普及率达75.6%。我国有潜力建设全球规模最大、应用渗透最强的数字社会。在此背景下,网络安全事关国家安全和经济社会稳定,事关广大人民群众利益。
当前,全球新一轮科技革命和产业变革深入推进,信息技术的发展日新月异,国内外的网络安全形势日趋严峻。2020~2023年,网络安全攻击持续增加,网络攻击威胁持续上升,各种网络攻击安全事件频发,网络所面临的安全威胁愈加多样、复杂、棘手。在互联互通的数字化链条中,任何一个漏洞或者隐患都有可能造成已有的安全防护网的破坏,给企业、机构等带来信息安全风险甚至财产损失等。
面对愈演愈烈的网络安全威胁,“红蓝攻防对抗”就成了网络安全从业者在新的网络安全形势下保障国家网络安全、防患于未然的行之有效的办法之一。
本书即以为从业者讲透红蓝对抗、助力行业水准提升为目标酝酿而出的。
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
本书所讲内容仅限同行业者交流学习,不支持非法用途。
❑企业网络安全部门的研究人员。
❑参加攻防对抗的红队与蓝队人员。
❑企业IT运维人员。
❑网络安全相关专业的在校师生。
❑其他对网络安全感兴趣的读者。
本书是业内第一本基于ATT&CK攻防矩阵的专业领域图书,为安全领域的从业者系统讲解了红队视角下的安全防护体系的突破以及蓝队视角下的安全防护体系建设。本书一共分为7章,每章相互独立,读者可根据自身情况按需阅读。
❑第1章详细地介绍了红蓝对抗实战中常用的Windows安全认证机制和协议,以及关于域的基础知识。
❑第2章逐一介绍了主机发现、Windows/Linux主机信息收集、组策略信息收集、域信息收集、Exchange信息收集等多种信息收集手法。在实际内网攻防对抗中,作为红队安全测试人员,我们只有对整个网络进行全面的信息收集,才能在后续的对抗中游刃有余;而作为蓝队防守人员,我们只有深入了解潜在攻击者可能会使用的信息收集手段,才能有效防御、严密防备,从而在攻防对抗中占据优势。
❑第3章全面讲解了隧道穿透技术,同时融入大量内网穿透实战案例,为红蓝两队人员分别提供了常用攻击手法和检测防护措施。
❑第4章主要分析了红队人员在实网攻防对抗中经常使用的Windows与Linux系统的提权手法,如内核漏洞提权、错配提权、第三方服务提权等,同时为蓝队人员提供了防御提权攻击和进行溯源分析的有效措施,使两队人员能够在该环节的实战中更得心应手。
❑第5章从软件凭据获取、本地凭据获取、域内凭据等多个维度剖析了红队人员在红蓝攻防对抗中经常使用的凭据获取手法。蓝队人员也能从中获得相应的检测防护建议。
❑第6章主要通过实战来具体地剖析红队人员如何利用计划任务、远程服务、组策略、WSUS、SCCM、PsExec、WMI等系统应用服务及协议进行横向渗透。本章内容能引发安全领域从业者对内网安全体系建设的更多思考。
❑第7章主要分析了红队人员在持久化利用上经常使用的手法,如Windows单机持久化、Linux单机持久化、Windows域权限维持等,并详细讲解了如何对这些持久化手法进行检测和防御。通过本章内容,读者能够掌握持久化利用的原理、实现过程以及相应防御方式。
本书经过几番修改和自查,终得定稿。但我们的写作时间和技术水平毕竟有限,书中难免有疏忽和不足的地方,恳请读者批评指正。各位读者可以通过邮箱2637745396@qq.com与我们联系。如果你有更多的宝贵意见,也欢迎联系我们。期待能得到你的支持与反馈。
“志合者,不以山海为远。”感谢五湖四海的友人们在我们迷茫的深夜给予我们鼓励和支持。感谢刘思雨、王太愚、草老师、daiker、谢公子、王世超、于书振、李树新、k8gege、何佳欢、3gstudent、klion、KLI、指尖浮生、李东东、成鹏理、韩昌信、史晓康、傅奎、郭英达、王祥刚、周鹏、肖辉、高玉慧、邵国飞、马志伟、王海洋、徐香香、刘鑫、王新龙、路人王小明、汪汪汪、北极星、K1ey、Se7en、Xiaoli、PLZ、武宇航、张艳、王文矅、党艳辉、杨秀璋、郭镇鑫对本书的建议。
与此同时,感谢我们自己的执着,在无数个奋笔疾书的夜晚没有放弃,坚持热爱。