红队是一组安全专业人员,由内部涉众或外部客户分配任务,以超越安全标准 渗透测试 并在目标网络上执行实际的模拟攻击-只要需要这样做.
红队攻击的最终目标是了解攻击者在试图访问网络时将如何行动,以及了解攻击面的当前情况 曝光 和 漏洞. 美国标准与技术协会将红队定义为:
一群经过授权和组织的人,模拟潜在对手针对企业安全态势的攻击或利用能力. 红队的目标是改进企业 网络安全 通过展示成功攻击的影响,并通过展示什么对防御者有效.e.(即蓝队)在作战环境中.”
红队攻击模拟(或“红队”)应该始终根据安全组织的独特之处进行定制 攻击表面 并考虑到行业特定的威胁级别.
基于安全组织和它负责保护的业务, 红队的攻击会利用一套特殊的战术, 技术, 和程序(TTPs)来破坏网络并窃取数据. 因此,a很重要 安全运营中心(SOC) 熟悉使用的ttp,并学习如何防御和/或克服它们.
如上所述, 红队执行的攻击模拟的格式对每个组织来说都是不同的. 而是用一种整体的方式来描述实际过程, 工具, 和策略将是红队提供者与他们的客户合作开发一个定制的攻击执行模型,以适当地模拟组织面临的威胁.
模拟应该包括真实世界的对抗行为和ttp, 使客户端的SOC能够在面对持久而坚定的攻击者时衡量安全程序的真正有效性. 对于如何执行红队练习的一个例子,让我们看一下 这个实例 由美国网络安全和基础设施安全局执行.
这个特别的红队通过参与“目标”组织的两个阶段来开始这个过程.
在这种情况下,红队的目标是破坏被评估组织的领域和标识 攻击路径 伪装成一个老练的民族国家.
它模拟了已知的初始访问和开发后的http, 然后团队将其工具多样化,以模仿更广泛且通常不那么复杂的一组 威胁的演员 引起网络防御者的注意.
红队定期与该组织的安全人员会面,讨论其防御姿态, 在此期间:
另外, 以下是开源的红队工具,虽然不能替代人工团队,但对于可能面临来自高管的预算或优先级问题的soc来说,它们是可选的:
有很多好处 安全性测试 任何形式的, 无论是帮助确保网络外围防御优势的外部咨询公司,还是负责发现网络安全漏洞的内部团队 DevSecOps 流程.
关于渗透测试领域——尤其是红队测试——让我们来看看对安全组织和整个业务更有益的一些结果.
弗雷斯特 发现进行红队安全测试通常会导致安全事件减少25%,安全事件成本减少35%. 不用说, 这些缩减会对安全组织的整体弹性和ROI产生重大影响.
而不是彻底检查你的安全程序,因为, 假设, 最近的一次违规行为造成了重大损失,并使公司损失了大量资金, 像红队这样的测试场景可以帮助安全组织准确地确定他们应该在哪里升级和/或加强防御 培训 防止类似的或重复的攻击.
企业处于防御状态的一个主要原因是,他们根本没有花时间“走出边界”,以攻击者的方式来观察组织. 红队模拟可以提供必要的数据,最终获得全面的“内部/外部”视图,以了解SOC如何保护业务运营. 有了这个视角, 安全团队可以采取更强的进攻和防御姿态,并为潜在的威胁做好准备.
渗透测试——也被称为渗透测试——服务可以被认为是红队的保护伞, 蓝色的团队, 和紫色队的演习. 众说纷纭, 但一般来说, 渗透测试是在安全专家更具体地讨论红队攻击模拟之前使用的更通用的术语.
但是渗透测试和红队之间有一些关键的区别. Pentesting is generally more upfront 和 visible; the client organization knows it’s happening. 在正式订婚之后, 红队的活动是秘密进行的,目标组织要尽可能长时间不知道. 让我们看看这个方便的表格,看看其他的区别:
| 标准 | 其中 | 红色的合作 |
|---|---|---|
| 目标 | 漏洞的监管 | 测试抵御攻击的弹性 |
| 范围 | 已定义的系统子集 | 威胁参与者使用的攻击路径 |
| 控制测试 | 预防控制 | 检测和响应控制 |
| 测试方法 | 效率高于现实主义 | 真实的模拟 |
| 测试技术 | 地图,扫描,利用 | 选定威胁参与者的ttp |
| Post-Exploitation | 传统上有限的行动 | 专注于关键资产/功能 |
那么,是一种选择比另一种更好吗? 渗透测试员和红队员通常是相同的安全专业人员, 使用不同的方法和技术进行不同的评估. 真正的答案是,一个不一定比另一个好, 相反,每种方法在特定情况下都是有用的.
到目前为止,我们已经详细地定义和讨论了红队, 为了区分这个练习和其他用颜色标记的安全练习, 让我们回到一些基本的定义,这样我们就可以正确地理解红队vs蓝队vs紫队(是的, 紫色是红色和蓝色的混合色, 但团队的功能并没有这么简单地解释:
有效的紫队最大的挑战是帮助蓝队和红队克服他们之间可能存在的竞争. 蓝队不想泄露他们抓捕坏人的方法, 而红队不想泄露攻击的秘密.
但, 通过打破这些壁垒,你可以向蓝队展示,通过了解红队的运作方式,他们可以成为更好的防守者. 你可以向红队展示他们如何通过与蓝队合作扩展他们的防御行动知识来提高他们的效率.
紫色团队有助于实现红队/蓝队的联合方法,使安全团队能够在模拟环境下测试控件, 有针对性的攻击.
它是, 当然, 而不是像随机分配给个别SOC员工那样简单, 蓝色的, 或紫色团队. 当试图组建一支有效的红队时,以下几点至关重要: