在现代企业的网络安全能力体系建设中,一个不可或缺的环节就是通过实战化的攻防演练来验证实际建设成果。攻防演练可以检验网络安全体系建设的科学性和有效性,发现工作中存在的问题,针对演练中发现的问题和不足不断优化,不断提升安全保障能力。在实战网络安全攻防演练中,红队是不可或缺的进攻要素。主要是从攻击者的角度模拟未来可能出现的各种攻击方式。红队可以由内部网络安全技术人员组成,也可以邀请外部安全服务团队参与。为了更好地实现攻防演练的目标和预期效果,组织需要不断优化红队的能力和演练策略。红队测试≠渗透测试大多数组织的安全检查都会从漏洞扫描开始,然后进入渗透测试,即从猜测一个漏洞可以被利用到证明它是如何被利用的。因此,很多人错误地将“红队测试”与“渗透测试”混为一谈,但实际上两者有着不同的目标和定位。渗透测试主要是在没有明确目标的情况下,尽可能多地发现和测试各种可能的攻击,从而确认安全漏洞的危害性有多大。渗透测试通常不涉及初始访问向量,而是呈现检测到的漏洞和危害的全貌,并主动缓解它们以实现增强和验证组织网络弹性的目标。虽然红队在测试中使用的攻击技术和方法与渗透测试类似,但不同于渗透测试的行动目标是尽可能多地发现漏洞,红队测试的核心诉求是使用完全的hacking来攻击目标。整个网络。生命周期技术,从最初的接入到数据渗漏,再到以类似于APT的隐蔽方式攻击组织的人员、流程和技术,进行针对性很强的攻击操作,从而进一步完善企业安全能力成熟度模型。某种程度上,我们可以将红队理解为一个合法的APT组织,因为红队必须模拟现实世界中的各种攻击团体。通过真实的对抗模拟动作,红队攻击可以检验企业安全防护系统的真实能力。Aquia首席信息安全官(CISO)ChrisHughes表示,“从CISO的角度来看,将红队能力建设纳入公司整体网络安全计划的意义和价值将大大超过设置安全检查表和日常安全评估。”在复杂的安全能力建设中有针对性,能够突出真正的漏洞风险优先级,简单的渗透测试已经不足以应对当今的威胁环境,企业必须像攻击者一样思考和训练,以便能够在黑客做好准备之前采取行动。《提升红队测试能力的11条建议》鉴于红队测试的重要性,企业IT负责人可以遵循以下11条策略,最大限度地发挥红队测试的效益:1.不要过度红队测试没有限制到真正黑客的攻击范围,因此,红队的攻击范围内应覆盖所有敌方可能涉足的领域,否则组织将无法全面了解可能存在的风险。组织担心无限制的攻击测试会造成不可控的后果,其实这可以通过综合计划来解决,企业应该尽量减少对红队策略和工作范围的限制,从而发现最具影响力和破坏力的漏洞,从而获得性能驱动的补救措施。其次,保持红队工作的独立性模拟对手的攻击方式是最重要的红队的重要工作,他们没有太多精力去了解安全部门正在发生的其他事情。红队人员应该被视为“幕后”的操作者,而管理者和领导者是第一线接触者。事实上,在许多情况下,与组织中的安全团队和蓝队成员建立融洽关系会“软化”他们的工作。实践表明,红队越独立于安全团队的工作,他们在测试过程中遇到的阻力就越小。因此,政策完善、安全治理、风险控制(GRC)、部署优化、能力协同等,Redteammembers不应该参与和理解专注于安全的安全会议。第三,将风险简报与技术简报分开。信息复杂的技术研究不适用于管理层应了解的范围。管理人员更加关注攻击描述、随时间变化的安全指标、持续发现的问题以及由此产生的风险缓解措施。技术团队关心端口、服务、攻击方法和目标。把他们聚在一起讨论看似节省时间的问题,实际上是在浪费时间。红队应该分别提供和下发两个版本的分析报告,这样会更有效率:一个给管理层和业务部门;另一支为维修技术型安全技术队伍。并跟进。红队成员可以分配风险评级,并猜测事后将如何处理该发现。如果不深入了解谁应对这些风险负责并跟进风险负责人进行补救,他们的专业知识将止步于此。当被问到“这个发现的后果是什么?我们在哪里解决这个问题?”时,红队往往无法回答。他们只是简单地移交风险,而没有跟进看看是否得到了适当的补救或审查。跟进行动V.调查结果和风险评级标准化的CVSS评级有助于理解野外利用漏洞的难度和可能性,但它们通常缺乏组织背景,因此许多评级具有主观性,需要尽可能加入客观性,企业在进行风险评级时,既要考虑“固有风险”,又要考虑“潜在风险”。固有风险是指如果管理层不采取任何措施来改变风险的可能性或影响,企业将面临的风险。在评估了固有风险之后,有必要评估控制的有效性。影响控制措施有效性的因素有两个:一是控制措施设计的有效性,二是控制措施实施的有效性。固有风险是自然存在的风险。人为实施控制措施后,固有风险将得到控制。没有被控制的部分就是剩余风险,可以形象地理解为:“潜在风险=固有风险-有效的控制措施”。这可以提供比CVSS评级更有价值的情报。6.优化测试节奏红队成员不是渗透测试人员。红队的测试节奏也与渗透测试团队完全不同。渗透测试人员有一套标准的漏洞和错误配置测试覆盖范围,试图找到“尽可能多的”漏洞,让防御者有机会尽可能多地保护组织的系统。渗透测试团队还寻求主动发出警报,并能够报告EDR和SIEM解决方案的积极发现。相比之下,红队并不只执行实现其目标所需的行动,而是以隐蔽的方式运作,需要更多的时间来研究、准备和测试真正代表APT行为的杀伤链。因此,随着测试范围的扩大,红队运营的节奏和生命周期会越来越慢。在确定您的红队当年的目标和关键成果(OKR)时,请记住这一点。更不用说,许多发现通常来自红队操作,而且并非所有发现都具有相关的战术、技术和程序(TTP)或即时缓解策略。补救团队需要时间来处理调查结果并尽可能减轻影响。同时,这也是为了避免蓝队疲劳,他们实际上可能会要求红队取消或推迟四分之一的追加操作,这取决于蓝队落后多远。7.跟踪所有指标并非所有证明进攻计划成功的指标都来自红队。用于跟踪测试成功和补救活动的红队指标包括平均停留时间:他们能够在环境中坚持多长时间以在不触发警报的情况下进行发现和调整。其他因素将来自网络威胁情报(CTI)和风险团队,形式为发现的剩余风险分数降低、模拟威胁行为者对弹性的感知提高,以及在野外成功检测攻击的可能性。CTI团队将能够在清楚了解可以防御哪些策略的情况下瞄准相关的威胁行为者。8.明确红队的角色和职责优化的红队操作来自于一个可持续的反馈循环,涉及CTI、红队、检测工程师和风险分析师,所有这些都协同工作以减少组织环境的攻击面。这些角色在每个组织结构图中看起来都不一样,但无论如何,明确和独立的职责是个好主意。许多组织将拥有具有多个角色的小型安全团队,但至少需要一名全职员工专门负责其中的每一项职能,才能显着提高运营质量。此时,安全团队需要在首席运营官(COO)、首席风险官(CRO)或首席信息安全官(CISO)的领导下进行隔离,而漏洞管理、补救管理和IT运营应由首席运营官管理信息官。(CIO)或首席技术官(CTO)。这种角色和职责的分离有助于减少摩擦。9.设定可实现的工作期望红队在制定测试计划时,需要根据具体的目标来规划自己想要采取的方法。管理层主要担心的是生产力损失或拒绝服务(DoS),但红队并未列出他们计划使用的每个步骤和方法。事实上,在exploit开发过程中,为了调试payload,保证TTP(Techniques,Tools,andProcedures)的顺利执行,红队不得不根据实际情况调整具体的方法。在排练活动之前、期间和之后为红队计划设定切合实际的期望将减少对红队的挫败感和业务阻力。10.合理使用离网(off-network)攻击设备攻击基础设施是红队测试不可或缺的一部分。这包括域、重定向器、SMTP服务器、负载托管服务器以及命令和控制(C2)服务器。就管理而言,为他们提供与企业EDR、AV和SIEM代理隔离的设备将使他们能够测试网络钓鱼活动、登录页面和有效负载,并在漏洞检测操作期间浪费宝贵时间之前修复发现的问题。红队不是将敏感的公司数据存储在这些设备上,而是将在操作过程中获得和泄露的信息存储在安全的云环境中。因此,这些设备实际上作为回调终端,其命令也应记录在远程服务器中。这不仅有利于红队运营,而且最终为公司节省了时间和资源。11、严格按照测试计划开展工作在实际工作中,我们经常发现随着红队测试工作的推进,可用资源越来越多,可攻击的目标也越来越多。按照测试计划推进预定的工作。操作期间的范围扩展意味着他们不再遵循最初的操作计划并遵守CTI驱动的行为限制。
