资料来源:Acunetix
红队是对真实攻击的复杂模拟,以评估系统的网络安全性。 “红队”是一组 (专家对系统进行渗透测试)。 他们可以是从外部聘请的,也可以是您组织的员工,但在所有情况下,他们的角色都是相同的——模仿入侵者的行为并尝试渗透您的系统。
除了网络安全中的“红队”,还有许多其他人。 因此,例如,“蓝队”(Blue Team)与红队一起工作,但其活动旨在从内部提高系统基础设施的安全性。 紫队是纽带,协助其他两队制定进攻策略和防守。 然而,reditiming 是管理网络安全的最不为人所知的方法之一,许多组织仍然不愿意采用这种做法。
在本文中,我们将详细解释红队概念背后的含义,以及实施真实攻击的复杂模拟实践如何帮助提高组织的安全性。 本文的目的是展示此方法如何显着提高信息系统的安全性。
红队概述
尽管在我们这个时代,“红”和“蓝”队主要与信息技术和网络安全领域相关,但这些概念是由军方创造的。 总的来说,我是在军队里第一次听说这些概念的。 在 1980 年代担任网络安全分析师的工作与今天大不相同:访问加密计算机系统比现在受到更多限制。
否则,我对战争游戏的第一次体验——模拟、模拟和交互——与今天复杂的攻击模拟过程非常相似,它已经进入网络安全领域。 与现在一样,人们非常注意使用社会工程学方法来说服员工向“敌人”提供对军事系统的不正当访问权限。 因此,虽然攻击模拟的技术方法自 80 年代以来有了显着进步,但值得注意的是,对抗方法的许多主要工具,尤其是社会工程技术,在很大程度上是独立于平台的。
复杂模仿真实攻击的核心价值自 80 年代以来也没有改变。 通过模拟对您系统的攻击,您可以更轻松地发现漏洞并了解如何利用它们。 虽然 redteaming 过去主要由白帽黑客和网络安全专业人员使用,通过渗透测试寻找漏洞,但它现在已在网络安全和业务中得到更广泛的应用。
redtiming 的关键是要明白,在系统受到攻击之前,您无法真正了解系统的安全性。 而且,与其让自己面临被真正的攻击者攻击的风险,不如用红色命令模拟这样的攻击要安全得多。
红队:用例
了解 redtiming 基础知识的一种简单方法是查看一些示例。 这是其中的两个:
- 场景1 想象一下,一个客户服务站点已经过测试并成功测试。 这似乎表明一切都井井有条。 然而,后来在一次复杂的模拟攻击中,红队发现虽然客服APP本身没有问题,但第三方聊天功能无法准确识别人员,这就可以诱骗客服代表更改他们的电子邮件地址. 在帐户中(因此新人,攻击者可以获得访问权限)。
- 场景2 作为渗透测试的结果,发现所有 VPN 和远程访问控制都是安全的。 然而,随后“红队”的代表随意经过登记处,取出其中一名员工的笔记本电脑。
在上述两种情况下,“红队”不仅检查每个单独系统的可靠性,而且检查整个系统的弱点。
谁需要复杂的攻击模拟?
简而言之,几乎任何公司都可以从 redtiming 中受益。 如图所示 ,数量多得惊人的组织错误地认为他们可以完全控制自己的数据。 例如,我们发现平均 22% 的公司文件夹可供每位员工使用,87% 的公司的系统中有超过 1000 个过时的敏感文件。
如果你的公司不在科技行业,那么重新安排时间似乎对你没有多大好处。 但事实并非如此。 网络安全不仅仅是保护机密信息。
无论公司的活动范围如何,犯罪分子同样会试图掌握技术。 例如,他们可能会寻求访问您的网络,以隐藏他们接管世界其他地方的另一个系统或网络的行为。 通过这种类型的攻击,攻击者不需要您的数据。 他们想用恶意软件感染您的计算机,以便在他们的帮助下将您的系统变成一组僵尸网络。
对于较小的公司来说,可能很难找到可以赎回的资源。 在这种情况下,将此过程委托给外部承包商是有意义的。
红队:建议
reditiming 的最佳时间和频率取决于您所在的部门和网络安全工具的成熟度。
特别是,您应该进行资产探索和漏洞分析等自动化活动。 您的组织还应该通过定期进行全面渗透测试,将自动化技术与人工监督相结合。
在完成几个渗透测试和发现漏洞的业务周期后,您可以继续进行真实攻击的复杂模拟。 在这个阶段,redtiming 会给你带来实实在在的好处。 但是,在具备网络安全基础知识之前尝试这样做不会带来切实的结果。
白帽团队很可能能够如此快速、轻松地攻陷一个毫无准备的系统,以至于您获得的信息太少而无法采取进一步行动。 要想真正发挥作用,必须将“红队”获得的信息与之前的渗透测试和漏洞评估进行对比。
什么是渗透测试?
对真实攻击的复杂模仿(红队)经常与 ,但这两种方法略有不同。 更准确地说,渗透测试只是redtiming方法中的一种。
渗透测试者的角色 . 渗透测试人员的工作分为四个主要阶段:计划、信息发现、攻击和报告。 如您所见,渗透测试人员所做的不仅仅是寻找软件漏洞。 他们试图将自己置于黑客的位置,一旦他们进入您的系统,他们真正的工作就开始了。
他们发现漏洞,然后根据收到的信息,在文件夹层次结构中移动,进行新的攻击。 这就是渗透测试人员与那些仅受雇使用端口扫描软件或病毒检测来发现漏洞的人员的区别。 经验丰富的渗透测试人员可以确定:
- 黑客可以在哪里进行攻击;
- 黑客攻击的方式;
- 你的防守将如何表现?
- 违反的可能程度。
渗透测试旨在识别应用程序和网络级别的弱点,以及克服物理安全障碍的机会。 虽然自动化测试可以揭示一些网络安全问题,但手动渗透测试也会考虑到企业对攻击的脆弱性。
红队对抗渗透测试
毫无疑问,渗透测试很重要,但它只是一系列 redtiming 活动中的一部分。 “红队”的活动比渗透测试者的目标要广泛得多,渗透测试者通常只是想获得对网络的访问权。 Redteaming 通常涉及更多的人员、资源和时间,因为红队会深入挖掘以充分了解技术以及组织的人力和实物资产的真实风险和脆弱性水平。
此外,还有其他差异。 Redtiming 通常由具有更成熟和先进的网络安全措施的组织使用(尽管在实践中并非总是如此)。
这些通常是已经完成渗透测试并修复了发现的大部分漏洞的公司,现在正在寻找可以再次尝试访问敏感信息或以任何方式破坏保护的人。
这就是为什么 redtiming 依赖于专注于特定目标的安全专家团队。 他们针对内部漏洞并对组织的员工使用电子和物理社会工程技术。 与渗透测试者不同,红队在攻击期间从容不迫,希望像真正的网络犯罪分子一样避免被发现。
红队的好处
真实攻击的复杂模拟有很多优势,但最重要的是,这种方法可以让您全面了解组织的网络安全水平。 典型的端到端模拟攻击流程包括渗透测试(网络、应用程序、手机和其他设备)、社会工程(现场直播、电话、电子邮件或短信和聊天)和物理入侵(打破锁,检测安全摄像头的盲区,绕过警告系统)。 如果系统的任何这些方面存在漏洞,就会被发现。
一旦发现漏洞,就可以修复它们。 有效的攻击模拟程序不会随着漏洞的发现而结束。 一旦安全漏洞被清楚地识别出来,您就会想要修复它们并重新测试它们。 事实上,真正的工作通常在红队入侵之后开始,此时您对攻击进行取证分析并尝试缓解发现的漏洞。
除了这两个主要好处之外,redtiming 还提供了许多其他好处。 因此,“红队”可以:
- 识别关键业务信息资产中攻击的风险和漏洞;
- 在风险有限且可控的环境中模拟真实攻击者的方法、战术和程序;
- 评估您的组织检测、响应和预防复杂、有针对性的威胁的能力;
- 鼓励与安全部门和蓝队密切合作,提供重要的缓解措施,并在发现漏洞后开展全面的实践研讨会。
红队如何运作?
了解 redtiming 如何工作的一个好方法是查看它通常是如何工作的。 复杂攻击模拟的通常过程包括几个阶段:
- 该组织同意“红队”(内部或外部)的攻击目的。 例如,这样的目标可能是从特定服务器检索敏感信息。
- 然后“红队”对目标进行侦察。 结果是目标系统图,包括网络服务、Web 应用程序和内部员工门户。 .
- 之后,在目标系统中搜索漏洞,通常使用网络钓鱼或 XSS 攻击来实现。 .
- 一旦获得访问令牌,红队就会使用它们来调查进一步的漏洞。 .
- 当发现其他漏洞时,“红队”将设法将他们的访问级别提高到实现目标所需的级别。 .
- 在获得对目标数据或资产的访问权限后,攻击任务被视为已完成。
事实上,经验丰富的红队专家会使用大量不同的方法来完成这些步骤中的每一个。 然而,从上述示例中得出的关键结论是,如果将单个系统中的小漏洞串联在一起,可能会变成灾难性的故障。
提到“红队”时应该考虑什么?
要充分利用 redtiming,您需要仔细准备。 每个组织使用的系统和流程都不同,当旨在发现系统中的漏洞时,达到了 redtiming 的质量水平。 因此,重要的是要考虑许多因素:
知道你在找什么
首先,重要的是要了解您要检查哪些系统和流程。 也许您知道要测试一个 Web 应用程序,但您不太了解它的真正含义以及其他哪些系统与您的 Web 应用程序集成。 因此,在开始对真实攻击进行复杂模拟之前,您必须充分了解自己的系统并修复任何明显的漏洞,这一点很重要。
了解您的网络
这与之前的建议有关,但更多的是关于您网络的技术特性。 你越能量化你的测试环境,你的红队就会越准确和具体。
了解你的预算
Redtiming 可以在不同级别执行,但模拟对网络的全方位攻击(包括社会工程和物理入侵)可能代价高昂。 因此,重要的是要了解您可以在此类支票上花费多少,并相应地概述其范围。
了解您的风险等级
作为其标准业务程序的一部分,一些组织可能会容忍相当高的风险水平。 其他人将需要在更大程度上限制他们的风险水平,特别是如果公司在高度监管的行业中运营。 因此,在进行 redtiming 时,重要的是要关注真正对您的业务构成威胁的风险。
红队:工具和战术
如果正确实施,“红队”将使用黑客使用的所有工具和方法对您的网络进行全面攻击。 除其他事项外,这包括:
- 应用渗透测试 - 旨在识别应用程序级别的弱点,例如跨站点请求伪造、数据输入缺陷、弱会话管理等。
- 网络渗透测试 - 旨在识别网络和系统级别的弱点,包括错误配置、无线网络漏洞、未经授权的服务等。
- 物理渗透测试 — 检查现实生活中物理安全控制的有效性以及优缺点。
- 社会工程学 - 旨在利用人和人性的弱点,通过钓鱼邮件、电话和短信以及现场身体接触来测试人们对欺骗、说服和操纵的敏感性。
以上都是redtiming组件。 这是一个成熟的分层攻击模拟,旨在确定您的人员、网络、应用程序和物理安全控制在多大程度上能够抵御来自真实攻击者的攻击。
红队方法的持续发展
真实攻击的复杂模拟的性质,其中红队试图找到新的安全漏洞,蓝队试图修复它们,导致此类检查方法的不断发展。 出于这个原因,很难编制一份最新的现代 redtiming 技术列表,因为它们很快就会过时。
因此,大多数红队成员将至少花费一部分时间来学习新漏洞并利用红队社区提供的许多资源来利用它们。 以下是这些社区中最受欢迎的:
- 是一项订阅服务,提供主要侧重于渗透测试的在线视频课程,以及操作系统取证、社会工程任务和信息安全汇编语言的课程。
- 是一个“攻击性网络安全操作员”,他定期在博客上介绍复杂模拟真实攻击的方法,并且是新方法的良好来源。
- 如果您正在寻找最新的 redtiming 信息,Twitter 也是一个很好的来源。 您可以使用主题标签找到它 и .
- 是另一位经验丰富的 redtiming 专家,他制作时事通讯并且 , 线索 并写了很多关于当前红队趋势的文章。 在他最近的文章中: и .
- 是由 PortSwigger Web Security 赞助的网络安全时事通讯。 这是了解 redtiming 领域的最新发展和新闻的好资源 - 黑客攻击、数据泄露、漏洞利用、Web 应用程序漏洞和新的安全技术。
- 是一位白帽黑客和渗透测试员,他定期在他的文档中介绍新的红队战术 .
- MWR labs 是一个很好的 redtiming 新闻来源,尽管技术性很强。 他们发布对红队有用的帖子 和他们的 包含解决安全测试人员面临的问题的技巧。
- - 律师和“白黑客”。 他的 Twitter 提要具有对“红队”有用的技术,例如编写 SQL 注入和伪造 OAuth 令牌。
- (ATT & CK) 是攻击者行为的精选知识库。 它跟踪攻击者生命周期的各个阶段以及他们所针对的平台。
- 是黑客指南,虽然很老,但涵盖了许多基本技术,这些技术仍然是真实攻击的复杂模拟的核心。 作者彼得金也有 ,他在其中提供黑客技巧和其他信息。
- SANS Institute 是另一家主要的网络安全培训材料提供商。 他们的 它专注于数字取证和事件响应,包含有关 SANS 课程的最新消息和专家从业者的建议。
- 关于 redtiming 的一些最有趣的新闻发表在 . 有以技术为中心的文章,例如比较红队与渗透测试,以及分析文章,例如红队专家宣言。
- 最后,Awesome Red Teaming 是一个 GitHub 社区,提供 专用于红队的资源。 它几乎涵盖了红队活动的每个技术方面,从获得初始访问权限、执行恶意活动到收集和提取数据。
“蓝队”——是什么?
拥有如此多的多色团队,可能很难确定您的组织需要哪种类型。
红队的一个替代方案,更具体地说,可以与红队结合使用的另一种类型的团队是蓝队。 蓝队还评估网络安全并识别任何潜在的基础设施漏洞。 然而,她有不同的目标。 这种类型的团队需要找到保护、改变和重组防御机制的方法,以使事件响应更加有效。
与红队一样,蓝队必须对攻击者的战术、技术和程序有相同的了解,才能根据它们制定应对策略。 然而,蓝队的职责并不仅限于防御攻击。 它还参与加强整个安全基础设施,例如使用入侵检测系统 (IDS),对异常和可疑活动进行持续分析。
以下是“蓝队”采取的一些步骤:
- 安全审计,特别是 DNS 审计;
- 日志和内存分析;
- 分析网络数据包;
- 风险数据分析;
- 数字足迹分析;
- 逆向工程;
- DDoS 测试;
- 制定风险实施方案。
红队和蓝队的区别
许多组织的一个常见问题是他们应该使用哪个团队,红色还是蓝色。 这个问题也常常伴随着“在路障的对立面”工作的人们之间友好的敌意。 实际上,这两个命令缺一不可。 所以这个问题的正确答案是两支球队都很重要。
红队进攻,用于测试蓝队防守准备情况。 有时红队可能会发现蓝队完全忽略的漏洞,在这种情况下,红队必须展示如何修复这些漏洞。
两个团队共同打击网络犯罪分子以加强信息安全至关重要。
因此,只选择一方或只投资一种类型的团队是没有意义的。 重要的是要记住,双方的目标都是防止网络犯罪。
换句话说,公司需要建立两个团队的相互合作,以提供全面的审计——记录所有攻击和执行的检查,记录检测到的特征。
“红队”提供有关他们在模拟攻击期间执行的操作的信息,而蓝队提供有关他们为填补空白和修复发现的漏洞而采取的行动的信息。
两支球队的重要性都不可低估。 如果没有持续的安全审计、渗透测试和基础设施改进,公司就不会意识到自己的安全状况。 至少在数据泄露之前,安全措施还不够令人痛苦地清楚。
什么是紫队?
“紫队”的诞生源于红队和蓝队的联合。 紫色团队更多的是一个概念,而不是一种独立的团队类型。 最好将其视为红队和蓝队的组合。 她让两个团队都参与进来,帮助他们一起工作。
紫色团队可以通过对常见威胁场景进行准确建模并帮助创建新的威胁检测和预防方法,帮助安全团队改进漏洞检测、威胁发现和网络监控。
一些组织使用紫色团队进行一次性的重点活动,这些活动明确定义了安全目标、时间表和关键结果。 这包括识别攻击和防御中的弱点,以及确定未来的培训和技术要求。
现在流行的另一种方法是将紫色团队视为一个有远见的模型,在整个组织中发挥作用,帮助创建和持续改进网络安全文化。
结论
红队,或复杂的攻击模拟,是一种用于测试组织安全漏洞的强大技术,但应谨慎使用。 特别是,要使用它,你需要有足够的 否则,他可能无法证明寄托在他身上的希望是正确的。
Redtiming 可以揭示您系统中您甚至不知道存在的漏洞并帮助修复它们。 通过在蓝队和红队之间采取对抗性方法,您可以模拟真正的黑客在想要窃取您的数据或破坏您的资产时会做什么。
来源: habr.com