其实我们基于现在国内的这一套的规则的话,包括大家的这个协作协同,那么其实三大阶段基本上可以把我们现在主要的红队的工作去容纳进来。那我们接下来要深入了解这三大阶段,那就意味着什么?我们得仍然跟研究蓝队防守方一样,就是我们到底在研究什么资产?是吧?我们打的这个对象,他的资产有哪些?那么我们画一个逻辑图,仍然是这样子的,在实际的一个项目里面,大家如果有做过像等级保护这样的项目,包括看过政企单位的基础设施的 Top图,我们就可以知道一点,很多的这个里面分离得很细,有这个互联网区域的核心交换区域的,有这个服务区域的办公区域的业务往区域的等等,里面特别的多。
那么这里我们把它简化,就是实际我们平常去交流沟通的话,比较多的是一分为二,就是说你的资产其实有一些是属于这个。暴露在外网的,允许被别人访问的,可以被探测得到的,那么这些就是一个外网的职场。比方说我们常规的什么dm在区域是吧?外部的这个服务集群,那么这些都是属于外部的这个资产,那外部的职场里面,通常会有一些什么?比方说你有这个 Web的站点,比方说这个公司的这个外部这个邮件、邮箱、服务器、 EMAIL,比方说你有外部的这个登陆口,比方VPN,是吧?
尤其现在疫情时代,那么通过VPN拨到外网,然后再集在基于这个 VPN加密隧道进入这个内网或者堡垒机进入内网,这是非常常见的通信模型。还有就是在外部也会放着像防火墙、路由器等等一些,我们统称为什么?边界的一些网络或网络安全设备,简称就是一些边界的设备,这些资产是暴露在外面的。好。除此之外的话,那在内网的话,也就是安全级别更高的,内网我们之前也探讨过,其实就是我们最基本的,比方说你的一个办公网,或者说你内部有研发有业务有测试的网络,那这些的话它的数据敏感度就更高。
所以我们在实际红队在打的时候。他其实打外网只是一个途经、必经之路,但是重点,他打了很多的靶标,包括得分点是在内网,那这里面涉及到的一些数据就比较的多,比方说你内部的这什么OA系统,是吧?你内部的什么FTP放数据的,内部的什么?域名、服务器,各种各样的数据,这个各种各样的PC终端是吧?我们的电脑,各种各样的内部服务器等等资产通常就更加的丰富,价值也就更高。