安全意識成紅藍對抗第一要素

前言：紅藍對抗的重點不再僅侷限於技術，人為因素近來愈發受到重視，甚至在某企業內部紅藍對抗前夕動員會上，某專家組長表示：人員的安全意識已經成為紅藍對抗最重要的因素了。

01

人為因素成為突破點           

隨著紅藍對抗到來，對於企業來說，他們迫切關注如何在這場無硝煙的“攻防戰”中守住自己的堡壘。為了有效地實施演練，提升紅藍對抗演練效果，讓企業在真實的攻防演練行動中可以做出更加準確的判斷成為關注重點，為實現最終效果，企業甚至願意投入上千萬資金在技術防禦上，透過堆砌技術讓攻方在技術漏洞上無縫可鑽固然是一種辦法。當突破技術漏洞需要耗費大量精力時，如何快速透過現存的突破點成了攻方新的入侵方向，而人員的意識漏洞並未得到企業的普遍重視，尋找一二破綻並非難事。逐年暴露的新型網路安全威脅和越來越豐富的網路安全攻擊手段實質上對紅藍對抗提出了更高要求。面對不斷升級的網路安全威脅和入侵手段，做好實戰化網路安全工作已經不能僅靠堆砌技術來實現，要做好網路安全工作需要從兩個方面入手，一是深入完善網路安全體系建設，不斷深化開展企業網路安全域的劃分、安全域邊界的隔離和監控、安全計算環境安全的提升以及態勢感知平臺的建設。二是重視人為因素在攻防演練中扮演的角色，從平時開始就要充分重視人員的安全意識問題，避免到了演練階段才臨時抱佛腳，要知道安全意識的建立並非一時之功，平時缺乏安全意識訓練必然會在紅藍對抗中露出破綻。

(人為因素風險防護全景圖)

02

人是紅藍對抗核心           

在以往的紅藍對抗中，普通安全意識宣導充其量就是氛圍組，常見手段包括海報、易拉寶、屏保、桌面、滑鼠墊等宣導物品，無非就是在企業中營造出一個重視紅藍對抗的氛圍，在員工看來“哦，有紅藍對抗這麼一回事。”僅此而已，很難讓所有員工參與其中，好像紅藍對抗跟他們的關聯也不大。然而網路安全的本質歸根是以“人”為核心，而網路安全對抗實際上就是人和人之間的對抗，包括網路終端、裝置、各種工具和平臺僅僅只是作為輔助手段而存在。因此不管如何堆砌技術、裝置，紅藍對抗的核心最終要落實到人的層面。當紅藍對抗深入開展，越來越貼近實戰情況時，測試的物件就不再侷限於網路，任何一個薄弱點都有可能成為突破口，尤其當企業的技術堡壘難以透過技術漏洞突破，普通員工就成了最大的突破口。比如釣魚郵件、魚叉郵件、交友詐騙、水坑攻擊、WIFI釣魚、問卷調查、虛假活動等以社工攻擊手段作為突破口，攻擊物件不再是網路安全防護人員，而是全體員工，在近幾年的紅藍對抗演練中已經廣泛運用。未經過專門培訓的普通員工其實很難判斷那些社工入侵手段，導致越來越多的攻方把矛頭轉向普通員工，發動針對普通員工的社工攻擊實現入侵要遠比突破技術漏洞來的簡單，之前就有利用第三方人員身份仿冒供應商入侵企業機房、冒充應聘人員提前佈局、入侵財務人員郵箱系統發出釣魚郵件擴大戰果等案例。這種變化趨勢讓普通員工不得不轉變原來的角色，從事不關己高高掛起到網路安全人人有責轉變，而安全意識建設也要從紅藍對抗氛圍組到防護核心的轉變。

03

安全意識投入不足           

然而，值得深思的一個現實卻是，安全意識作為防護核心，企業實際的投入微乎其微，甚至有的企業根本沒有在這方面有所投入。很多企業在紅藍對抗中，寧願重金投入以實現構築堅不可摧的技術堡壘（不少企業的投入規模達千萬級以上），而當普通員工成了首要的突破口時，企業在提升員工安全意識方面的投入與其重要性卻成反比，甚至連技術和服務投入的1%都達不到，在紅藍對抗期間安全意識的投入達30萬的企業屈指可數。回顧前文專家組長所說的安全意識已經成為最重要的因素，這就是理想照進現實的一個真實寫照吧。由此可見，企業對於安全意識的認知和建設依然是任重而道遠。

04

人為因素堡壘這樣建           

其實與技術攻防一樣，人為因素堡壘也是可以透過給員工開展安全意識紅藍對抗演練來“打造”的。比如站在藍方的角度，之前提到的氛圍組海報、易拉寶、屏保、桌面、滑鼠墊、責任書、宣導郵件和影片等常規手段可以得以保留，並常態化開展網路安全主題學習和知識測評，讓員工提前做好知識儲備和安全意識升級。與此同時還要了解社工攻擊、郵件釣魚、弱密碼、第三方安全、近場攻擊等常用攻擊方式，透過紅方視角進行社工演練、釣魚演練、近場攻擊等，在平時面向全體員工開展演練，讓員工在正式紅藍對抗前就具備一定的發現風險、識別風險的能力，並能及時處置或向資訊保安部門彙報，讓所有員工為企業守好第一道防線。

（紅藍對抗氛圍宣導樣例）

企業網路安全工作中，人永遠是最重要也是最薄弱的一環，普通員工不是可有可無，實施安全意識專案不是氛圍組，做給領導看看而已，員工沒有意識到風險才是企業最大的風險！未經過安全意識培訓的員工認為自身的網路系統沒有重要資訊，沒有被攻擊的必要，這種意識才是企業網路安全的最大隱患。因此，透過安全意識教育改變員工認知、讓員工體驗和感受被入侵攻擊，瞭解網路攻擊帶來的巨大危害和自身肩負的責任刻不容緩。網路安全的本質在對抗，對抗的本質不僅是攻防兩端能力較量，也是人和人的較量，任何一個員工都不應該忽視，他們才是這場沒有硝煙攻防戰的核心！