点击链接下载查看完整版内容👉：《阿里云安全白皮书（2024版）》

点击链接下载查看上文👉：带你读《阿里云安全白皮书》（十）——云上安全重要支柱（4）

全方位红蓝对抗反向校验

尽管阿里云已建立起一套系统化、立体化的全方位安全防护体系，但我们深知安全是一个动态对 抗的过程。若仅从单一视角进行防御建设，可能会因单一参与方的盲区而在真实的对抗场景下被 攻破。

为了防止可能发生的“安全策略失效”等问题，阿里云平台的安全能力持续保    持在线状态，在动态对抗中持续提升安全水位，我们相信只有让“红蓝对抗”   常态化，才能保持防御水位。一方面，阿里云在内部建设了“红蓝对抗”体系，  蓝军团队不断研究新技术，保持与业内顶尖团队的交流，时常以“APT 级”   的强度对云平台发起渗透测试。另一方面，阿里云拥有完善的“外部白帽生态” 及“漏洞悬赏机制”，定期邀请高水平的第三方“安全服务商”针对云平台进    行渗透测试、漏洞挖掘，从外部视角验证并加强云平台安全防御能力。

1 内部定向 APT 模拟实战

APT（高级持续性威胁）攻击在全球范围内对国家安全、经济稳定、基础设施安全以及个人隐私 构成了重大威胁。这类攻击以其高度的技术复杂性、长时间的潜伏期和精准的目标选择为特点， 对政府、大型企业和个人造成了深远的影响。从国家战略层面的机密泄露到关键信息基础设施的 瘫痪，再到经济领域的商业机密被盗，APT 攻击已成为一个不容忽视的全球性问题。

阿里云作为国内市场份额最大的云厂商，内部业务结构多元、访问流量复杂、 身份变动频繁，面临着超复杂的环境，涉及数百万服务器、数百个数据中心、 PB 级流量、数万名员工、上百个全球办公场景、数万量级域名。如果仅以防 守方思维去构建安全，难以面面俱到。由此，阿里云基于攻防对抗思想，建立 了内部红蓝对抗体系，常态化模拟最接近真实场景的攻防对抗，最大化提升平 台安全性。

阿里云攻防体系主要以“定向 APT 攻击”作为核心主旨，完成内部的攻防演练。攻击团队（以 下简称阿里云蓝军）会以 MITRE ATT&CK 框架作为指导，系统地模拟外部攻击者的行为，而 防守团队（以下称阿里云红军）会进行持续性防守。整个演练过程，主要包括以下几个阶段：

-    攻击规划阶段：

●   将以某个阿里云产品或内部系统系统作为演练靶标对象，进行定向目标的信息 收集，包括但不限于 OSINT、网络扫描等。

●   基于收集到的信息，分析目标的潜在攻击点和薄弱环节，选择攻击手法，构建 复杂攻击链，设计完整的模拟攻击流程。

●    由 APT 演练的项目负责人完成整体攻击方案的确认，编排攻击资源，包括但 不限于定向挖掘 0day 漏洞、可控攻击链投毒、特定性远程控制攻击工具的编

写与测试，形成攻击链路图。

-    攻击执行阶段：

●   阿里云蓝军成员将严格按照攻击链路图进行模拟定向 APT 攻击的实施工作， 并记录阿里云红军对于攻击实施的实时反应。

●   考虑到攻击行为可能被阿里云红军感知，阿里云蓝军还会选择特定攻击技战法， 例如社会工程学攻击、中继攻击、隐蔽攻击等手法，建立稳定的攻击驻留点。

●   当获得稳定驻留点后，会根据当前收集到的目标信息，尝试访问目标系统，并 使用预先构建的武器化攻击工具定向攻击演练靶标系统，从获取系统普通权限 到获取系统管理权限再到获取该系统主机权限，完成靶标系统的完全掌控，达 到预先定型 APT 攻击的目的。

-    复盘修复阶段：

●   收集整理攻击反馈数据，包括成功和失败的攻击尝试、定向 APT 攻击目标的 防御反应等。

●   阿里云蓝军与阿里云红军，将共同完成最后的总结复盘工作。

●   演练过程中所发现的漏洞及防御体系薄弱点，将由阿里云红军负责人带回，供 设计形成解决方案并推动落地，并推动逻辑，以弥补防御体系的短板。