站在攻击者的角度：红队的战略力量

红队安全评估旨在向客户展示现实世界中的攻击者如何将各种漏洞和攻击方法联系在一起以实现他们的目标。

等待实际攻击发生并不是明智之举。红队演习让您有机会引入一支可靠的专家团队，他们可以向您展示组织的网络安全状况。

毕竟，即使是最先进的威胁防御工具也无法始终确保完全防范攻击者的诡计。

红队测试可帮助企业建立多层防御并增强其信息安全和 IT 服务。

在红队测试期间，专家会重点介绍攻击者使用的不同策略。

有了这些知识，客户可以更好地装备他们的团队，改进他们的流程并升级他们的技术以达到更高的安全标准。

最近，客户对采用非标准攻击场景的兴趣日益浓厚。例如，物理渗透和植入员工可以扫描的二维码，或使用社交工程方法（例如，克隆经理的语音以代表他们发出命令）。

红队与渗透测试

红队测试主要是为了评估安全运营中心(SOC)的有效性，并增强事件响应机制和漏洞管理。

这项服务可能与渗透测试服务非常相似；但是，它们有什么区别呢？

红队演习不仅仅是简单的安全检查。它主要使用实际指标来评估 SOC 的有效性，例如响应速度、识别警报原因的质量以及攻击踪迹的准确性。

它不依赖理论标准，而是使用不会威胁公司业务连续性的真实黑客攻击的模拟。红队网络演习还允许公司评估其运营所特有的各种业务风险的潜在影响。

团队成员通常从渗透测试角色转为红队。之后，他们在 SOC 方面积累经验，了解黑客方法和安全绕过技术。专门针对红队的直接培训课程很少见。

红队准备：为行动做好准备

红队演习并不是一套预先准备好的程序。它是一项创造性研究，借鉴了当前的网络犯罪形势和 SOC 内部的丰富经验，以了解如何快速识别攻击者以及如何防止他们造成的损害。

红队服务提供商花费数年时间准备基础设施以进行红队演习。为特定客户快速构建定制基础设施是不可行的；这需要事先进行开发。

为特定客户定制服务可能需要一到四个月的时间。

在此期间，红队将进行初步探索。红队利用这段时间来识别和构建不会引起 SOC 防御者警惕的基础设施元素组合。例如，如果网络管理员通常使用 TeamViewer，则不会通过 RAdmin 将其作为目标，以避免引起怀疑。

攻击团队必须使用成熟的域名，这些域名在创建时间或内容方面不会引人注目。所有元素都应配备证书；否则，新创建的用于攻击的域名很容易暴露攻击者。通过社交网络进行攻击时，必须始终维护合法账户，这有助于隐藏任何参与攻击的行为。

红队使用通用基础设施，但部署了许多针对每个客户量身定制的附加元素。例如，实现语音克隆等非标准场景需要额外的时间，例如训练神经网络。

值得注意的是，客户总是指定一个白队或授权协调员来监督这些活动，确保他们的基础设施不会面临风险。

红队阶段

红队测试项目通常具有探索性，并且通常从不确定其在实践中将如何展开开始。评估这些项目成功与否的监控点是根据所选方法建立的。初始阶段涉及侦察和分析攻击面。当研究人员成功攻破特定资源或获得控制权时，标志着后续里程碑的到来。

有些客户喜欢将项目划分为“冲刺”，即特定持续时间（一到两个月）的阶段。在每个冲刺结束时，红队成员都会向客户展示他们的发现并报告结果。他们还会概述下一个冲刺的计划。这种方法允许客户监控项目的进度并指导未来测试的方向。

需要注意的是，在规划过程中，红队不会提前通知客户攻击的具体日期或类型。目的是测试客户是否真的做好了应对攻击的准备。红队演习是一个持续的过程，而不是单一事件。

通常，白队由 SOC 负责人领导。每个阶段的结果都会与该负责人讨论。研究人员还会告知客户 SOC 是否对所有攻击都做出了适当的响应。

评估红队行动的成功

客户和研究人员都会评估红队项目的质量。

客户不需要调查特定漏洞的详细列表，而是需要对潜在攻击媒介进行广泛的分析，并针对已识别的威胁对当前安全级别进行评估。

还有其他方法。例如，在启动红队项目之前，攻击团队可以编制一份要测试的场景列表，并就客户的业务风险矩阵达成一致，同时注意其实施的复杂性。KPI 是通过这些指标进行评估的。

若未达到目标，则与客户一起进行回顾性分析。失败的原因可能是SOC的有效运行或其他因素。

红队演习的频率

我们都知道，安全不是静态的，而是一个动态的过程，涉及公司网络边界和内部网络的不断变化。

IT 部门经常添加和修改服务，通常会在不通知信息安全部门的情况下测试功能。此外，高层管理人员可能会推动更简单的远程连接企业系统，这可能会危及安全并导致新的网络实体。

市场合并、收购和将合作伙伴整合到企业服务中都是改变基础设施的过程，使其与三到六个月前的情况大不相同。

在许多情况下，盘点的进行极其少，而且不够彻底；参与者通常认为该过程只是纯粹为了记录网络和服务的例行程序。

为了有效控制实际系统的安全性，定期评估是必不可少的。每年进行一次评估是好的，但更频繁的评估更好。虽然每年进行两次渗透测试是有益的，但三次可能太多了。

红队活动提供了一种无需全面重新扫描即可监控潜在攻击面变化的方法。对于大型或快速发展的公司来说，每三个月进行一次检查并不算过分。

红队攻击策略

最常发起的攻击可分为以下几类：

• 在基础设施周边采取主动行动，攻击者旨在识别服务并利用Web 应用程序漏洞。

• 网络钓鱼电子邮件和社会工程策略。

• 在端点上部署特定工具和有效载荷。

难以检测的攻击技术

最难以捉摸的攻击技术对传统安全措施构成挑战，并且可能逃避 SOC 的检测，其中包括：

• 攻击者获得对基础设施的物理访问权限。

• 使用可信名称进行有针对性的社会工程攻击。这些攻击通常使用即时通讯工具，而信息安全部门很少监控这些工具，而不是企业电子邮件。

• 攻击 Web 服务。通常，这些攻击针对的是公司的运营 Web 服务，这些服务通常是缺乏强大安全功能的自定义程序。

• 攻击者在已建立的流程框架内进行操作。例如，这可能涉及外部边界上服务接口的操作，而该接口正式仅供员工使用。

• 无线信道攻击。当攻击者使用不安全的无线信道冒充合法接入点（例如办公室附近咖啡馆的接入点）以获取用户凭据并暴力破解员工密码时，就会发生这些攻击。

• 利用业务流程漏洞。例如，冒充面试候选人，在候选人无人看管的房间通过以太网连接获取网络访问权限。

红队中的漏洞和黑客工具

正式而言，漏洞的部署代表了一种现实的操作场景。红队的目标是评估防御措施对实际攻击者采取的行动的有效性。已公开的漏洞的使用将与客户单独讨论。

但是，红队服务提供商不会购买最近上传到暗网的零日漏洞。

对于涉及模拟或仿效恶意软件行为的任务，使用黑客工具是可以的。但是，红队成员必须充分了解这些工具的功能。

如果没有这些知识，黑客工具可能会无意中将数据发送到未知位置。

客户通常不希望其基础设施在研究项目期间暴露于风险之中。通常，他们会使用开源黑客工具，每个工具都会被重写约 75%，以根据特定需求进行定制。

红队趋势

面临大量网络攻击的公司寻求立即解决方案来保护其系统。这种紧迫性可能会导致对渗透测试的需求激增，而对红队测试的初始咨询减少。

但是，之前进行过红队测试和渗透测试的组织的需求正在稳步增长。

在新冠疫情限制、远程工作和向云端过渡的推动下，重点已转向构建更分层的防御。

随着公司加强防御措施，开展红队测试项目以评估这些新系统和解决方案的有效性的需求日益增加。

内部恶意活动增加的风险使得混合模式对许多红队提供商越来越重要。这种方法既不是完全的白盒测试（其中会预先提供详细的基础设施信息），也不是传统的红队测试。

在混合模型中，研究人员可以获得内部访问权限，从而可以收集有关被测系统内部结构的信息。

未来，预计将部署基于生成式商业智能的更复杂的红队场景。项目不仅会涉及 SOC，还会涉及其承包商和信息安全服务，包括“内部人员”。

客户将更清楚地了解红队项目的目标和复杂性。因此，服务的成熟度将提高。

对于尚未准备好进行红队测试的公司，主要关注点将放在渗透测试和紫队服务上。

一旦 SOC 学会检测各种网络攻击，对红队测试的兴趣就会逐渐增加。