自动化和人工智能如何推动红队前进

虽然技术平台已被证明能够模拟某些类型的攻击并测试某些防御产品和措施的功效，但安全压力测试的黄金标准是由专家操作员组成的团队。红队协同运用从社会工程到高级攻击等各种手段来实现目标并评估组织安全。最近的数据显示，近三分之二的组织正在以某种身份雇用红队，而投资将大幅增加。然而，虽然人类的聪明才智和敏捷性无可替代，但对手仍在不断尝试更强大的自动化和工具，以进行大规模攻击和逃避。那么，网络安全领域当前最先进的自动化和学习技术是什么？它们如何为人类操作员带来优势？

准备好团队了吗？

在我们深入探讨红队的演变之前，我们有必要先了解一下红队计划的当前状态，以及该旅程和本次讨论适用于哪些组织。大多数红队的参与都很复杂，对于不成熟的安全计划来说，其结果可能会产生安全和感官超载。安全措施很可能会严重失败，并且组织将没有能力辨别失败的原因以及如何进行改进。对优先应用程序和/或环境元素进行集中渗透测试可以更好地为不成熟的组织提供服务，从而以可衡量的方式消除漏洞。

那么谁准备好了呢？红队准备就绪的门槛是一个明确定义且持续维护/测试的安全计划，其中包括：

完整的组织承诺以及对红队输出采取行动的能力
信息安全治理框架
清晰、强制的安全策略和程序当前且经过测试的事件响应计划
全面的漏洞管理计划

今天的红队活动——从社会工程、攻击模拟到桌面演习——都是稳健而严格的活动，模拟持续攻击者可能为实现目标而进行的全方位活动，所有这些活动都是由业务特定场景驱动的。在高端，这还包括完整的物理安全评估，甚至勒索软件攻击模拟。有些活动非常全面，以至于即使拥有强大的红队，一些客户组织的规模和场景也面临着挑战，即使是最大、最熟练的团队也难以克服。输入技术。

“复仇”自动化

正如一开始所说，红队参与的真正力量和价值是“团队”。最好的红队参与是技术、工具和人工操作员的平衡组合，不仅涵盖所有活动——有些技术还无法单独完成……（稍后详细介绍）——而且还验证活动的严重性潜在的危害以及组织安全控制的强度和完整性。

当我们使用“自动化”这个词时，许多人想到的只是简单地从人类操作员手中删除琐碎的任务。但如果做得正确，自动化可以提供更大的价值。事实上，最好不要将其视为自动化，而是将其视为增强。想象一下让红队穿上钢铁侠套装（暂时没有贾维斯），以提高速度、力量，甚至并行运行流程和功能的能力。

现在，在我们讨论增强红队之前，讨论中将真正的红队与渗透测试区分开来的一个关键点是需要反映现实世界对手的确切策略、工具和程序。为了使仿真有效并真正真实地表示风险和威胁，红队应该只使用与攻击者所使用的完全相同的工具和自动化级别。因此，虽然有很多事情可以自动化，但根据参与场景，并非所有事情都会自动化。

考虑到这一点，可以从自动化中受益的一些最常见和最有利的红队操作包括：

资产发现——绘制出代表组织攻击面的所有系统、网络和应用程序，以及可用于实现参与目标的互连。
开源情报 (OSINT) 收集——收集有关系统、业务流程和合作伙伴的外部信息，甚至是高管和员工的个人信息，这些信息可能会提供用于欺骗或利用的知识
完整的勒索软件攻击模拟——在红队活动的最高端，安全地执行和模拟现实世界攻击造成的实际破坏。

贾维斯的“愿景”

因此，在增强红队能力方面，自动化更像是一个外骨骼，而不是完整的钢铁侠，但人工智能 (AI) 有望将贾维斯纳入其中。任何人都不会感到惊讶，在安全方面，人工智能不仅仅是聊天。人工智能被用来帮助缩短红队实际攻击模拟的跑道。

反映了上一节中关于模仿对手的方法和工具的资格，虽然目前人工智能在实际红队部署中的使用有限，但被模仿的犯罪分子已经在探索其潜力。他们在网络钓鱼中使用人工智能来本地化文本、语音和视频中的语言和语法约定，以最大程度地减少怀疑，甚至在网络钓鱼活动中利用深度伪造。当然，任何犯罪企业的目标都是最大化机会和投资回报率。

那么红队剧本中的人工智能目前位于何处？当前人工智能在红队活动中最常见的用途包括：