什么是红队?

模拟攻击可以帮助您分析攻击面, 发现成功的防御战术, 修复漏洞.

渗透测试服务

红队含义 

红队是一组安全专业人员,由内部涉众或外部客户分配任务,以超越安全标准 渗透测试 并在目标网络上执行实际的模拟攻击-只要需要这样做.

红队攻击的最终目标是了解攻击者在试图访问网络时将如何行动,以及了解攻击面的当前情况 曝光 and 漏洞. 美国标准与技术协会将红队定义为:

一群经过授权和组织的人,模拟潜在对手针对企业安全态势的攻击或利用能力. 红队的目标是改进企业 网络安全 通过展示成功攻击的影响,并通过展示什么对防御者有效.e.(即蓝队)在作战环境中.”

红队攻击模拟(或“红队”)应该始终根据安全组织的独特之处进行定制 攻击表面 并考虑到行业特定的威胁级别.

基于安全组织和它负责保护的业务, 红队的攻击会利用一套特殊的战术, 技术, 和程序(TTPs)来破坏网络并窃取数据. 因此,a很重要 安全运营中心(SOC) 熟悉使用的ttp,并学习如何防御和/或克服它们.

红队的工具和战术

如上所述, 红队执行的攻击模拟的格式对每个组织来说都是不同的. 而是用一种整体的方式来描述实际过程, tools, 和策略将是红队提供者与他们的客户合作开发一个定制的攻击执行模型,以适当地模拟组织面临的威胁. 

模拟应该包括真实世界的对抗行为和ttp, 使客户端的SOC能够在面对持久而坚定的攻击者时衡量安全程序的真正有效性. 对于如何执行红队练习的一个例子,让我们看一下 这个实例 由美国网络安全和基础设施安全局执行. 

这个特别的红队通过参与“目标”组织的两个阶段来开始这个过程. 

对手模拟阶段

在这种情况下,红队的目标是破坏被评估组织的领域和标识 攻击路径 伪装成一个老练的民族国家. 

它模拟了已知的初始访问和开发后的http, 然后团队将其工具多样化,以模仿更广泛且通常不那么复杂的一组 威胁的演员 引起网络防御者的注意. 

合作阶段

红队定期与该组织的安全人员会面,讨论其防御姿态, 在此期间: 

  • 提出了新的基于行为和工具不可知的检测方法,以发现在前一阶段部署的其他攻击签名. 
  • 改进了现有的检测步骤,以显示某些ttp如何逃避现有的检测 Indicators-of-Compromise(国际石油公司)

另外, 以下是开源的红队工具,虽然不能替代人工团队,但对于可能面临来自高管的预算或优先级问题的soc来说,它们是可选的:

  • APTSimulator批处理脚本的Windows,使它看起来好像一个系统被破坏. 
  • 原子红队:检测映射到的测试 斜接丙氨酸&CK框架.
  • AutoTTP自动化的战术、技术和程序. 
  • CalderaMITRE的自动对手模拟系统,在Windows网络中执行妥协后的对抗行为. 
  • DumpsterFire:用于构建可重复的、延时的、分布式安全事件的跨平台工具. 
  • Metta:资讯保安准备工具. 
  • 网络飞行模拟器:用于生成恶意网络流量的实用程序,并帮助团队评估基于网络的控制和整体可见性. 

红队的好处

有很多好处 安全性测试 任何形式的, 无论是帮助确保网络外围防御优势的外部咨询公司,还是负责发现网络安全漏洞的内部团队 DevSecOps 流程.

关于渗透测试领域——尤其是红队测试——让我们来看看对安全组织和整个业务更有益的一些结果.

识别和优先处理安全风险

弗雷斯特 发现进行红队安全测试通常会导致安全事件减少25%,安全事件成本减少35%. 不用说, 这些缩减会对安全组织的整体弹性和ROI产生重大影响.

只针对必要的升级

而不是彻底检查你的安全程序,因为, 假设, 最近的一次违规行为造成了重大损失,并使公司损失了大量资金, 像红队这样的测试场景可以帮助安全组织准确地确定他们应该在哪里升级和/或加强防御 training 防止类似的或重复的攻击.

获得真实的攻击者视图

企业处于防御状态的一个主要原因是,他们根本没有花时间“走出边界”,以攻击者的方式来观察组织. 红队模拟可以提供必要的数据,最终获得全面的“内部/外部”视图,以了解SOC如何保护业务运营. 有了这个视角, 安全团队可以采取更强的进攻和防御姿态,并为潜在的威胁做好准备.

红队vs. 渗透测试 

渗透测试——也被称为渗透测试——服务可以被认为是红队的保护伞, 蓝色的团队, 和紫色队的演习. 众说纷纭, 但一般来说, 渗透测试是在安全专家更具体地讨论红队攻击模拟之前使用的更通用的术语.

但是渗透测试和红队之间有一些关键的区别. Pentesting is generally more upfront and visible; the client organization knows it’s happening. 在正式订婚之后, 红队的活动是秘密进行的,目标组织要尽可能长时间不知道. 让我们看看这个方便的表格,看看其他的区别:

CRITERIA 其中 红色的合作
Goal 漏洞的监管 测试抵御攻击的弹性
Scope 已定义的系统子集 威胁参与者使用的攻击路径
控制测试 预防控制 检测和响应控制
测试方法 效率高于现实主义 真实的模拟
测试技术 地图,扫描,利用 选定威胁参与者的ttp
Post-Exploitation 传统上有限的行动 专注于关键资产/功能

那么,是一种选择比另一种更好吗? 渗透测试员和红队员通常是相同的安全专业人员, 使用不同的方法和技术进行不同的评估. 真正的答案是,一个不一定比另一个好, 相反,每种方法在特定情况下都是有用的. 

红队、蓝队和紫队的区别

到目前为止,我们已经详细地定义和讨论了红队, 为了区分这个练习和其他用颜色标记的安全练习, 让我们回到一些基本的定义,这样我们就可以正确地理解红队vs蓝队vs紫队(是的, 紫色是红色和蓝色的混合色, 但团队的功能并没有这么简单地解释:

  • 红色的团队:暗中测试组织的防御过程和协调. 
  • 蓝色的团队:理解攻击者的http并设计相应的防御. 
  • 紫色的团队加强红蓝团队之间的信息共享,确保双方合作. 

有效的紫队最大的挑战是帮助蓝队和红队克服他们之间可能存在的竞争. 蓝队不想泄露他们抓捕坏人的方法, 而红队不想泄露攻击的秘密.

But, 通过打破这些壁垒,你可以向蓝队展示,通过了解红队的运作方式,他们可以成为更好的防守者. 你可以向红队展示他们如何通过与蓝队合作扩展他们的防御行动知识来提高他们的效率.

紫色团队有助于实现红队/蓝队的联合方法,使安全团队能够在模拟环境下测试控件, 有针对性的攻击. 

如何组建一支高效的红队

It is, 当然, 而不是像随机分配给个别SOC员工那样简单, Blue, 或紫色团队. 当试图组建一支有效的红队时,以下几点至关重要: 

  • 培养创新文化攻击路径和攻击者利用它们的方法一直在变化和发展, 因此,必须鼓励红队也这样做.  
  • 定义目标:目标是内部还是外部客户网络, 目标必须在开始前确定并达成一致. 这也可以帮助红队为手头的任务提供合适的技能. 
  • 获取合适的工具不要把手边所有的工具都扔到求职目标上. 如果工作不需要杠杆,比如,a 威胁情报 工具,那么就不要花这笔钱. 
  • 采取攻击者的心态我们的工作不再是保护网络,而是攻击它. 红队的每一个人在执行任务时都应该采取这种态度. 因为如果他们不这样做,就会对客户造成伤害——无论是内部的还是外部的. 

阅读更多

渗透测试:最新的Rapid7博客文章