論大型閃電式紅藍對抗戰術方法論——上篇：攻

引言

要嚴格區分和正確處理“敵我矛盾“和"內部矛盾”這兩類不同性質的矛盾。要靈活運用到整體的戰術中去，將最小的“資源”發揮最大的“力量”。努力地限制“矛盾”、控制“矛盾”、引導“矛盾”

——Micropoor

注：此方法論適用于組織、規劃、牽頭者，或KPI原始設計模型參考、或要多維度、多視角看待事物發展規律的技術人員等，本文不涉及技術，只從公司戰略層面或內部組織管理層面考慮投入產出比，在控制投入的同時又可以將力量盡可能的發揮最大化，控制“主矛盾”，平衡“次矛盾”，集中力量辦大事，相信，相信就會發生。

正言

在大型的“閃電戰式”紅藍對抗演練中，往往由多個平行部門、跨部門，甚至跨公司組成一個“臨時”團隊，“共同”對抗與應對“一定時間限制內”的紅藍對抗演練。而其中主要的資源將會采取“集中式”，主要的行動采取“閃電式”。但是在整體的行動路徑上，都會發生這樣與那樣的“問題”，而這里的“問題”其主要抽象出來就是“矛盾”的性質與屬性，而本篇“方法論”中，將會采取戰術的可控流程與可控標準來限制“矛盾”、控制“矛盾”、引導“矛盾”，故本篇拋磚引玉出"戰術"方法論。

理想與現實往往是矛盾并且錯綜復雜的，尤其是在大型紅藍對抗中是涉及到，管理、流程、技術、戰術、多方人員形成合力、成本、產出等系列問題交織在一起。一般大型紅藍對抗具有一定的時間限制，各方隊伍，需要在指定的時間內，完成攻堅戰，并且贏得競爭對手。

正文

假設場景與條件：本次大型紅藍對抗周期20天，內部參與跨部門3個，每個部門出15人，共計45人。部門分為別A、B、C

紅藍對抗現場人員隊伍組成模型

現場紅藍對抗人員保持一個宗旨：跨部門混合式人員搭配。

遠程人員隊伍組成模型

信息收集組：

主要做好提前信息搜集，如傳統的互聯網資產搜集、CMS、郵箱搜集等。也包含與目標股權有關聯的子公司、分公司、供應鏈等。根據信息搜集整理后，大致判斷目標內部網絡是否在同一網絡下、根據經驗初步判斷是否在同一內網。整理好信息后移交到“社工釣魚組”。

社工釣魚組：

主要根據“信息搜集組”整理后的資料，分門別類，做好相關“社工釣魚”工作。包含但不限制于：郵箱釣魚、手機釣魚、APP通信軟件釣魚、供應鏈釣魚、進源釣魚等。

漏洞應用組：

主要根據“信息搜集組”整理后的完整資產（目標資產、關聯資產、上下游資產、供應鏈資產等識別）快速定位已知CMS以及未知CMS，對于已知CMS做好自動化或bypass工作，對于未知CMS快速找到相關信息，做進一步“審計、挖掘”。

免殺對抗組：

免殺對抗組主要工作分2個方向，1）對抗安全工具。2）解密相關源碼或逆向相關應用。分別支持“社工釣魚組”的payload免殺安全對抗與“漏洞應用組”漏洞挖掘中的加密解密做“審計、挖掘”

內網對抗組：

主要支持“外網對抗組”、“社工釣魚組”的工作。采取動態化時間作息。例如在前期工作中，內網對抗組整理開展內網工作中可能遇到的“安全工具對抗場景”、“CMS漏洞列表”等，充分與“漏洞應用組”交流，以便展開工作時，爭取時間上的優勢。

外網對抗組：

主要根據“信息搜集組”與“漏洞應用組”做2個方向工作，1）自動化，2）非自動化。在開展工作的過程中，采取1或2，主要根據目標的警覺性與反應速度決定、與目標的資產類決定、與目標的上下游資產決定、與目標的供應鏈廣度決定。

機動遠程組：

顧名思義機動組人員要求“經驗老道”且“時間動態”，主要技能方向“bypass、反編譯、加解密、漏洞挖掘、內網對抗”，分別根據動態工作中以便支持“漏洞應用組”、“免殺對抗組”、“內網對抗組”

后勤支援組：

顧名思義后勤支援組既遠程隊員的“物資”后勤保障，包括但不限制于“代理池、服務器、4/5G、可食用物資等”，根據經驗盡可能由男女組合，因其核心要求“細心”、“堅持”、“溝通”。（因可能涉及到搬運、熬夜、記錄）

工作流程

基礎收集：由現場同步遠程信息收集組，按照信息收集流程將目標基礎信息搜集完畢

分配目標：由遠程各打點組牽頭人分配打點目標，2人一組進行打點

漏洞支援：期間打點組遇到需求漏洞的資產，同步至漏洞應用組進行漏洞支援。

內網滲透：獲取權限后，由遠程各組牽頭人分配內網組滲透人員，2人一組進行內網滲透。

結果梳理：成果報告組整理打點組、內網組成果，按照比賽規則進行編寫報告。

人員激勵模型 - 貢獻積分制

機制：積分等于權重，組長按1-10分按照貢獻程度給組員分配權重。

1：在設計人員激勵的過程中，一定要以“小組”為核心設計，勿以“個人”為核心設計。每個組設“技術組長”一名，負責整組的“方向、行動、溝通、同步、跨組配合”（組長是技術型組長且加入到整個對抗工作中）

2：采取積分制記錄，該工作為“成果報告組”跟進。以“小組”為單位，分別對接每個小組的“技術組長”。以每組進展、結果記錄對應積分。

組織架構模型

結語

整篇文章主要圍繞2個核心問題而出發

（1）“敵我矛盾”（2）“內部矛盾”

其中用制度來限制“矛盾”擴散，用“工作流”來串聯各個分工流轉。將最小的“資源”發揮最大的“力量”。限制“矛盾”、控制“矛盾”、引導“矛盾”

滲透的本質是信息搜集，對抗的本質是資源投入，而在整個對抗的過程中，“領隊”最先優先考慮“有限的資源投入”如何最大化發現其“資源價值”。解決“資源、物力、人力、儲備、架構、工作流、制度”等問題后，在回歸到紅藍對抗的技術本身。