Preface 前言

為什么要寫這本書

根據中國互聯網絡信息中心（CNNIC）發布的第51次《中國互聯網絡發展狀況統計報告》，截至2022年12月，我國網民規模為10.67億，互聯網普及率達75.6%。我國有潛力建設全球規模最大、應用滲透最強的數字社會。在此背景下，網絡安全事關國家安全和經濟社會穩定，事關廣大人民群眾利益。

當前，全球新一輪科技革命和產業變革深入推進，信息技術的發展日新月異，國內外的網絡安全形勢日趨嚴峻。2020～2023年，網絡安全攻擊持續增加，網絡攻擊威脅持續上升，各種網絡攻擊安全事件頻發，網絡所面臨的安全威脅愈加多樣、復雜、棘手。在互聯互通的數字化鏈條中，任何一個漏洞或者隱患都有可能造成已有的安全防護網的破壞，給企業、機構等帶來信息安全風險甚至財產損失等。

面對愈演愈烈的網絡安全威脅，“紅藍攻防對抗”就成了網絡安全從業者在新的網絡安全形勢下保障國家網絡安全、防患于未然的行之有效的辦法之一。

本書即以為從業者講透紅藍對抗、助力行業水準提升為目標醞釀而出的。

本書是一本針對安全領域的紅藍攻防對抗的專業書，既能作為安全從業者在紅藍攻防對抗活動中的指導用書，又能成為企業安全部門構建縱深防御體系的參考指南。希望本書所分析、講述的紅藍雙方視角下的攻防對抗手法，能幫助各行業的網絡安全從業者增強實踐、知己知彼，從企業內部構建起安全防御體系。

本書所講內容僅限同行業者交流學習，不支持非法用途。

讀者對象

?企業網絡安全部門的研究人員。

?參加攻防對抗的紅隊與藍隊人員。

?企業IT運維人員。

?網絡安全相關專業的在校師生。

?其他對網絡安全感興趣的讀者。

如何閱讀本書

本書是業內第一本基于ATT&CK攻防矩陣的專業領域圖書，為安全領域的從業者系統講解了紅隊視角下的安全防護體系的突破以及藍隊視角下的安全防護體系建設。本書一共分為7章，每章相互獨立，讀者可根據自身情況按需閱讀。

?第1章詳細地介紹了紅藍對抗實戰中常用的Windows安全認證機制和協議，以及關于域的基礎知識。

?第2章逐一介紹了主機發現、Windows/Linux主機信息收集、組策略信息收集、域信息收集、Exchange信息收集等多種信息收集手法。在實際內網攻防對抗中，作為紅隊安全測試人員，我們只有對整個網絡進行全面的信息收集，才能在后續的對抗中游刃有余；而作為藍隊防守人員，我們只有深入了解潛在攻擊者可能會使用的信息收集手段，才能有效防御、嚴密防備，從而在攻防對抗中占據優勢。

?第3章全面講解了隧道穿透技術，同時融入大量內網穿透實戰案例，為紅藍兩隊人員分別提供了常用攻擊手法和檢測防護措施。

?第4章主要分析了紅隊人員在實網攻防對抗中經常使用的Windows與Linux系統的提權手法，如內核漏洞提權、錯配提權、第三方服務提權等，同時為藍隊人員提供了防御提權攻擊和進行溯源分析的有效措施，使兩隊人員能夠在該環節的實戰中更得心應手。

?第5章從軟件憑據獲取、本地憑據獲取、域內憑據等多個維度剖析了紅隊人員在紅藍攻防對抗中經常使用的憑據獲取手法。藍隊人員也能從中獲得相應的檢測防護建議。

?第6章主要通過實戰來具體地剖析紅隊人員如何利用計劃任務、遠程服務、組策略、WSUS、SCCM、PsExec、WMI等系統應用服務及協議進行橫向滲透。本章內容能引發安全領域從業者對內網安全體系建設的更多思考。

?第7章主要分析了紅隊人員在持久化利用上經常使用的手法，如Windows單機持久化、Linux單機持久化、Windows域權限維持等，并詳細講解了如何對這些持久化手法進行檢測和防御。通過本章內容，讀者能夠掌握持久化利用的原理、實現過程以及相應防御方式。

勘誤和支持

本書經過幾番修改和自查，終得定稿。但我們的寫作時間和技術水平畢竟有限，書中難免有疏忽和不足的地方，懇請讀者批評指正。各位讀者可以通過郵箱2637745396@qq.com與我們聯系。如果你有更多的寶貴意見，也歡迎聯系我們。期待能得到你的支持與反饋。

致謝

“志合者，不以山海為遠。”感謝五湖四海的友人們在我們迷茫的深夜給予我們鼓勵和支持。感謝劉思雨、王太愚、草老師、daiker、謝公子、王世超、于書振、李樹新、k8gege、何佳歡、3gstudent、klion、KLI、指尖浮生、李東東、成鵬理、韓昌信、史曉康、傅奎、郭英達、王祥剛、周鵬、肖輝、高玉慧、邵國飛、馬志偉、王海洋、徐香香、劉鑫、王新龍、路人王小明、汪汪汪、北極星、K1ey、Se7en、Xiaoli、PLZ、武宇航、張艷、王文矅、黨艷輝、楊秀璋、郭鎮鑫對本書的建議。

與此同時，感謝我們自己的執著，在無數個奮筆疾書的夜晚沒有放棄，堅持熱愛。