来源:Acunetix
Red Teaming是对实际攻击的复杂模拟,以评估系统的网络安全性。 “红队”是一组pentesters(专家谁执行渗透测试)。可以从组织的外部或员工那里雇用他们,但是在所有情况下,它们的角色都是相同的-模仿入侵者的行为并尝试渗透您的系统。
除了网络安全中的“红色团队”外,还有很多其他人。例如,蓝色团队与红色团队合作,但其活动旨在从内部提高系统基础架构的安全性。紫色团队是帮助其他两个团队制定进攻策略和防守的联络人。但是,重新定时是网络安全管理中鲜为人知的方法之一,许多组织仍然不愿意使用这种做法。
在本文中,我们将详细解释Red Teaming概念的背后是什么,以及对现实世界的攻击进行全面模拟如何帮助提高组织的安全性。本文的目的是说明此方法如何显着提高信息系统的安全性。
红队:概述
尽管如今“红色”和“蓝色”团队主要与信息技术和网络安全领域相关,但是这些概念是由军方发明的。总的来说,我是在军队中第一次听说这些概念的。一位网络安全分析师在1980年代的工作与今天截然不同:对加密计算机系统的访问比现在更加受限制。
否则,我对战争游戏的第一次体验-建模,模拟和组织交互-与当今复杂的攻击模拟过程非常相似,该过程已广泛应用于网络安全中。到目前为止,一直非常重视使用社会工程学说服雇员授予“敌人”非法进入军事系统的权限。因此,尽管自1980年代以来,用于模拟攻击的技术方法已经取得了显着进步,但值得注意的是,对抗方法的许多主要工具(尤其是社会工程技术)在很大程度上与平台无关。
自1980年代以来,对真实世界攻击进行复杂模拟的核心价值一直保持不变。通过模拟对系统的攻击,您可以更轻松地发现漏洞并了解如何利用这些漏洞。尽管以前主要由通过渗透测试寻找漏洞的白帽黑客和网络安全专业人员使用,但现在它在网络安全和业务中具有更广泛的用途。
重新组队的关键是要了解,实际上,除非受到攻击,否则您无法了解系统的安全性。与让自己暴露于真实攻击者的攻击相比,使用“红色命令”模拟这种攻击要安全得多。
红色团队用例
了解重定向基础的一种简单方法是看几个示例。这是其中两个:
- 方案1:假设在客户服务站点上进行了渗透测试,并且验证成功。看来这表明一切正常。但是,后来,由于进行了复杂的攻击模拟,红色团队发现,尽管客户服务应用程序本身处于正常状态,但是第三方聊天功能无法准确识别人员,因此可以诱骗客户服务代表更改其电子邮件地址帐户中(因此,新人(攻击者)可以获得访问权限)。
- 方案2.渗透测试发现所有VPN和远程访问控制都是安全的。但是,“红色团队”的代表随后自由地走过登机柜台,并拿出其中一名员工的笔记本电脑。
在上述两种情况下,“红队”不仅要检查每个单独系统的可靠性,还要检查整个系统的整体弱点。
谁需要复杂的攻击模拟?
简而言之,几乎所有公司都可以从重定向中受益。如我们的《 2019年全球数据风险报告》所示,令人畏惧的组织误以为他们已完全控制自己的数据。例如,我们发现每个员工平均可以使用22%的公司文件夹,而87%的公司在其系统上拥有1000多个过期的机密文件。
如果您的公司不属于技术行业,则似乎重定向不会给您带来多大好处。但这种情况并非如此。网络安全不仅涉及保护机密信息。
无论公司的行业如何,攻击者都在试图接管技术。例如,他们可能试图获得对您网络的访问权限,以便隐藏他们的行为以接管世界其他地方的另一个系统或网络。在这种类型的攻击中,攻击者不需要您的数据。他们想用恶意软件感染您的计算机,以便使用它们将您的系统变成一组僵尸网络。
对于小型公司,可能很难找到进行重定向的资源。在这种情况下,将流程外包给外部承包商是有意义的。
红队推荐
重定向的最佳时机和频率将取决于您工作的部门和网络安全工具的复杂程度。
特别是,您应该具有自动化活动,例如资产探索和漏洞分析。您的组织还必须通过定期执行强大的渗透测试来将自动化技术与人为控制相结合。
在完成几个渗透测试的业务周期并搜索漏洞之后,您可以开始对真实攻击进行全面的模拟。此时,重定向将为您带来切实的利益。但是,在您建立网络安全基础之前尝试这样做不会奏效。
一队白帽黑客可能能够如此快速,轻松地破坏一个没有准备好的系统,以致您掌握的信息太少而无法采取进一步的措施。为了获得真正的影响,必须将“红色团队”获得的信息与以前的渗透测试和漏洞评估进行比较。
什么是渗透测试?
真实攻击的复杂模拟(红队)通常与渗透测试(渗透测试)相混淆,但是两种方法略有不同。更准确地说,渗透测试只是重新定时方法之一。
五酯的作用定义得很清楚。渗透测试人员的工作分为四个主要阶段:计划,信息发现,攻击和报告。如您所见,渗透测试者所做的不只是查找软件漏洞。他们试图让自己陷入黑客的泥潭,进入系统后,他们的实际工作开始了。
他们发现漏洞,然后根据收到的信息发起新的攻击,并在文件夹层次结构中进行导航。这就是渗透测试专业人员与那些仅使用端口扫描软件或病毒检测来搜索漏洞的专业人员的不同之处。有经验的戊二酮可以决定:
- 黑客可以将攻击指向何处;
- 黑客攻击的方式;
- 您的防守表现如何;
- 违规的可能范围。
渗透测试旨在识别应用程序和网络级别的缺陷,以及克服物理安全障碍的机会。尽管自动测试可以揭示某些网络安全问题,但是手动渗透测试还考虑了企业容易受到攻击的脆弱性。
红队vs. 渗透测试
渗透测试当然很重要,但是它只是整个重新定时活动的一部分。 “红色团队”的活动目标比渗透测试者的目标要广泛得多,渗透测试者通常只是试图获得对网络的访问权限。减少工作通常需要更多的人员,资源和时间,因为红队深入研究以完全了解组织的技术以及人力和实物资产的真实风险和脆弱性水平。
此外,还有其他差异。 Redteaming通常用于具有更成熟和更先进的网络安全措施的组织(尽管实际上并非总是如此)。
通常,这些公司已经进行了渗透测试并修复了所发现的大多数漏洞,现在正在寻找可以再次尝试以任何方式访问机密信息或黑客安全性的人。
这就是为什么重新定时依赖于专注于特定目标的安全专家团队的原因。他们针对内部漏洞,并针对组织的员工采用电子和物理社会工程技术。与渗透测试者不同,红色团队在攻击中花费时间,就像真正的网络犯罪分子一样,希望避免被发现。
红队优势
全面模拟现实世界中的攻击有许多优点,但是最重要的是,这种方法可以全面了解组织的网络安全级别。典型的端到端攻击模拟过程包括渗透测试(网络,应用程序,移动电话和其他设备),社会工程(现场现场通信,电话,电子邮件或短信和聊天)和物理入侵(撬锁,检测安全摄像机的死区,绕过警告系统)。如果系统的任何这些方面均存在漏洞,则将检测到这些漏洞。
一旦发现漏洞,就可以将其修复。发现漏洞后,有效的攻击模拟过程不会结束。一旦安全漏洞被明确识别,您将需要修复并重新测试它们。实际上,真正的工作通常是在Red Team入侵之后开始的,这时您对攻击进行取证分析并尝试减少发现的漏洞。
除了这两个主要好处,重新定时还提供了许多其他好处。因此,“红队”可以:
- 识别攻击关键业务信息资产的风险和漏洞;
- 在风险有限且可控制的环境中模拟真实攻击者的方法,策略和过程;
- 评估组织检测,响应和预防复杂的有针对性的威胁的能力
- 刺激与信息安全部门和“蓝色团队”的密切互动,以确保得到重大缓解,并根据发现的漏洞进行全面的实践研讨会。
Red Teaming如何运作?
了解重定向如何工作的一种好方法是查看重定向通常如何发生。典型的复杂攻击模拟过程包括以下几个阶段:
- 该组织将同意“红色团队”(内部或外部)的攻击目的。例如,这样的目标可能是从特定服务器检索机密信息。
- « » . , , - . .
- , XSS-. .
- , « » . .
- « » . .
- .
实际上,经验丰富的红队从业人员将使用多种不同的方法来完成每个步骤。但是,从上面的示例中得出的关键结论是,单个系统中的小漏洞在链接在一起时可能升级为灾难性故障。
提到“红队”应考虑什么?
为了充分利用重定向,您需要仔细准备。每个组织使用的系统和过程都不同,并且旨在发现系统中的漏洞时,可以实现重定向的质量级别。因此,重要的是要考虑许多因素:
知道你在找什么
首先,重要的是要了解要测试的系统和过程。您可能知道要测试Web应用程序,但是您对这实际上意味着什么以及与Web应用程序集成了哪些其他系统的了解还不是很清楚。因此,在开始对真实攻击进行全面模拟之前,对您自己的系统有充分的了解并修复所有明显的漏洞非常重要。
了解您的网络
这与先前的建议有关,但是与网络的技术规格有关。您可以更好地量化测试环境,您的红队将变得更加准确和具体。
了解您的预算
可以在不同级别执行红色定时,但模拟网络上的所有攻击(包括社交工程和物理入侵)可能会付出高昂的代价。因此,了解您可以在这张支票上花费多少并概述其范围很重要。
了解您的风险等级
一些组织可能会在其标准业务流程中忍受相当高的风险。其他公司则需要在更大程度上限制风险水平,特别是如果公司在高度监管的行业中运营。因此,重要的是在进行“重做”时,着重于对您的业务构成真正威胁的风险。
红队:工具和策略
如果实施正确,红队将使用黑客使用的所有工具和技术对您的网络发起全面攻击。其中包括:
- 应用程序渗透测试-旨在识别应用程序级缺陷,例如跨站点请求伪造,数据输入缺陷,弱会话管理等。
- 网络渗透测试-旨在识别网络和系统级别的缺陷,包括配置错误,无线漏洞,未经授权的服务等。
- 物理渗透测试-测试现实生活中物理安全控制的有效性和优缺点。
- 社会工程-旨在利用人与人的弱点,通过网络钓鱼电子邮件,电话和短信以及当场的身体接触来测试人们对欺骗,说服和操纵的敏感性。
以上所有都是重定向的组件。这是一个成熟的多层攻击模拟,旨在确定您的人员,网络,应用程序和物理安全控制承受来自真实攻击者的攻击的能力。
持续开发红色团队合作方法
真实世界攻击的复杂模拟的本质(其中红色团队试图找到新的安全漏洞,蓝色团队试图修复它们)导致这种检查方法的不断发展。出于这个原因,由于现代的重新定时技术很快就过时,因此很难汇编它们的最新列表。
因此,大多数重制者将利用Red Teams社区提供的许多资源,花费至少一部分时间来研究新漏洞以及如何利用它们。这些社区中最受欢迎的是:
- Pentester Academy — , -, , , , , .
- (Vincent Yiu) — « », .
- Twitter — , . #redteam #redteaming.
- (Daniel Miessler) — , , - « ». : « , » « , , ».
- Daily Swig -— -, PortSwigger Web Security. , — , , , - .
- (Florian Hansemann) — « » , « » .
- MWR labs — , . , Twitter , .
- (Emad Shanab) — « ». Twitter , « », SQL- OAuth.
- Mitre's Adversarial Tactics, Techniques and Common Knowledge (ATT & CK) — . , .
- The Hacker Playbook — , , , , . (Peter Kim) Twitter, .
- SANS Institute — . Twitter-, , SANS -.
- Red Team Journal. , , Red Teaming , , « ».
- , Awesome Red Teaming — GitHub, , Red Teaming. « », , .
« » — ?
拥有如此多的彩色团队,很难确定您的组织需要哪种类型。
蓝色团队是红色团队的替代方案之一,或者可以与红色团队结合使用的另一种类型的团队。 Blue Team还评估了网络的安全性,并确定了基础架构中的任何潜在漏洞。但是,它具有不同的目的。这种类型的团队需要找到保护,更改和重组防御的方法,以使事件响应更加有效。
与红色团队一样,蓝色必须具有与攻击者的战术,技巧和程序相同的知识,以便基于它们制定响应策略。但是,Blue Team的职责不仅限于防御攻击。它还使用例如入侵检测系统(IDS)参与增强整个安全基础结构,该系统可对异常和可疑活动进行连续分析。
以下是Blue Team采取的一些步骤:
- 安全审核,特别是DNS审核;
- 分析日志和内存;
- 分析网络数据包;
- 风险数据分析;
- 数字足迹分析;
- 逆向工程;
- DDoS测试;
- 制定实施风险的方案。
红队和蓝队之间的差异
对于许多组织来说,一个常见的问题是他们应该使用哪个团队-红色或蓝色。这个问题还常常伴随着“在路障的相对两侧”工作的人们之间的友好敌对情绪。实际上,没有其他命令就没有任何意义。因此,这个问题的正确答案是两个团队都很重要。
红队进攻并用来测试蓝队的防守准备程度。有时,红色团队可以找到蓝色团队完全忽略的漏洞,在这种情况下,红色团队必须展示如何修复这些漏洞。
这两个团队必须共同打击网络犯罪分子,以加强信息安全。
因此,只选择一方或只投资一种类型的球队是没有意义的。重要的是要记住,双方的目标都是防止网络犯罪。
换句话说,公司需要在两个团队之间建立相互合作,以提供全面的审核-记录所有执行的攻击和检查的日志,发现的功能的记录。
“红色团队”提供有关他们在模拟攻击过程中执行的操作的信息,蓝色提供有关他们为填补漏洞并消除发现的漏洞而采取的行动的信息。
两支球队的重要性都不能低估。没有持续的安全审核,渗透测试和基础架构改进,公司将不会意识到自己的安全状态。至少在发生数据泄露之前,并且很明显地发现安全措施还不够。
什么是紫队?
紫色团队是尝试将红色和蓝色团队合并的结果。紫色团队是一个概念,而不是单独的团队。最好将其视为红色和蓝色团队的组合。她与两个团队合作,帮助他们一起工作。
Purple团队可以通过准确建模常见威胁场景并帮助创建检测和预防威胁的新方法来帮助安全团队改善漏洞检测,威胁扫描和网络监控。
一些组织使用“紫色团队”进行一次性目标明确的活动,这些活动明确定义了安全目标,时间表和主要结果。这包括识别攻击和防御方面的缺陷,并定义将来的培训和技术要求。
现在备受关注的另一种方法是将“紫色团队”视为一个概念模型,该模型在整个组织中都在起作用,以促进网络安全文化并不断改进。
结论
Red Teaming或综合攻击模拟是测试组织的安全漏洞的有力方法,但应谨慎使用。特别是,要使用它,您需要拥有足够发达的信息安全保护手段,否则它可能无法满足对其的期望。
诱使他人可以发现系统中从未想过的漏洞,并帮助修复它们。通过在蓝队和红队之间采取对抗性方法,您可以模拟真正的黑客是否想要窃取您的数据或破坏您的资产的行为。