資料來源:Acunetix
紅隊是對真實攻擊的複雜模擬,以評估系統的網絡安全性。 “紅隊”是一組 (專家對系統進行滲透測試)。 他們可以是從外部聘請的,也可以是您組織的員工,但在所有情況下,他們的角色都是相同的——模仿入侵者的行為並嘗試滲透您的系統。
除了網絡安全中的“紅隊”,還有許多其他人。 例如,藍隊與紅隊一起工作,但其活動旨在從內部提高系統基礎設施的安全性。 紫隊是紐帶,協助其他兩隊制定進攻策略和防守。 然而,reditiming 是管理網絡安全的最不為人所知的方法之一,許多組織仍然不願意採用這種做法。
在本文中,我們將詳細解釋紅隊概念背後的含義,以及實施真實攻擊的複雜模擬實踐如何幫助提高組織的安全性。 本文的目的是展示此方法如何顯著提高信息系統的安全性。
紅隊概述
儘管在我們這個時代,“紅”和“藍”隊主要與信息技術和網絡安全領域相關,但這些概念是由軍方創造的。 總的來說,我是在軍隊裡第一次聽說這些概念的。 在 1980 年代擔任網絡安全分析師的工作與今天大不相同:訪問加密計算機系統比現在受到更多限制。
否則,我對戰爭遊戲的第一次體驗——模擬、模擬和交互——與今天復雜的攻擊模擬過程非常相似,它已經進入網絡安全領域。 與現在一樣,人們非常注意使用社會工程學方法來說服員工向“敵人”提供對軍事系統的不正當訪問權限。 因此,雖然攻擊模擬的技術方法自 80 年代以來有了顯著進步,但值得注意的是,對抗方法的許多主要工具,尤其是社會工程技術,在很大程度上是獨立於平台的。
複雜模仿真實攻擊的核心價值自 80 年代以來也沒有改變。 通過模擬對您系統的攻擊,您可以更輕鬆地發現漏洞並了解如何利用它們。 雖然 redteaming 過去主要由白帽黑客和網絡安全專業人員使用,通過滲透測試尋找漏洞,但它現在已在網絡安全和業務中得到更廣泛的應用。
redtiming 的關鍵是要明白,在系統受到攻擊之前,您無法真正了解系統的安全性。 與其讓自己面臨被真正的攻擊者攻擊的風險,不如用紅色命令模擬這樣的攻擊要安全得多。
紅隊:用例
了解 redtiming 基礎知識的一種簡單方法是查看一些示例。 這是其中的兩個:
- 場景1。 想像一下,一個客戶服務站點已經過測試並成功測試。 這似乎表明一切都井井有條。 然而,後來在一次復雜的模擬攻擊中,紅隊發現雖然客服APP本身沒有問題,但第三方聊天功能無法準確識別人員,這就可以誘騙客服代表更改他們的電子郵件地址. 在帳戶中(因此新人,攻擊者可以獲得訪問權限)。
- 場景2。 作為滲透測試的結果,發現所有 VPN 和遠程訪問控制都是安全的。 然而,隨後“紅隊”的代表隨意經過登記處,取出其中一名員工的筆記本電腦。
在上述兩種情況下,“紅隊”不僅檢查每個單獨系統的可靠性,而且檢查整個系統的弱點。
誰需要復雜的攻擊模擬?
簡而言之,幾乎任何公司都可以從 redtiming 中受益。 如圖所示 ,數量多得驚人的組織錯誤地認為他們可以完全控制自己的數據。 例如,我們發現平均 22% 的公司文件夾可供每位員工使用,87% 的公司的系統中有超過 1000 個過時的敏感文件。
如果你的公司不在科技行業,那麼重新安排時間似乎對你沒有多大好處。 但事實並非如此。 網絡安全不僅僅是保護機密信息。
無論公司的活動範圍如何,犯罪分子同樣會試圖掌握技術。 例如,他們可能會尋求訪問您的網絡,以隱藏他們接管世界其他地方的另一個系統或網絡的行為。 通過這種類型的攻擊,攻擊者不需要您的數據。 他們想用惡意軟件感染您的計算機,以便在他們的幫助下將您的系統變成一組殭屍網絡。
對於較小的公司來說,可能很難找到可以贖回的資源。 在這種情況下,將此過程委託給外部承包商是有意義的。
紅隊:建議
reditiming 的最佳時間和頻率取決於您所在的部門和網絡安全工具的成熟度。
特別是,您應該進行資產探索和漏洞分析等自動化活動。 您的組織還應該通過定期進行全面滲透測試,將自動化技術與人工監督相結合。
在完成幾個滲透測試和發現漏洞的業務週期後,您可以繼續進行真實攻擊的複雜模擬。 在這個階段,redtiming 會給你帶來實實在在的好處。 但是,在具備網絡安全基礎知識之前嘗試這樣做不會帶來切實的結果。
白帽團隊很可能能夠如此快速、輕鬆地攻陷一個毫無準備的系統,以至於您獲得的信息太少而無法採取進一步行動。 要想真正發揮作用,必須將“紅隊”獲得的信息與之前的滲透測試和漏洞評估進行對比。
什麼是滲透測試?
對真實攻擊的複雜模仿(紅隊)經常與 ,但這兩種方法略有不同。 更準確地說,滲透測試只是redtiming方法中的一種。
滲透測試者的角色 . 滲透測試人員的工作分為四個主要階段:計劃、信息發現、攻擊和報告。 如您所見,滲透測試人員所做的不僅僅是尋找軟件漏洞。 他們試圖將自己置於黑客的位置,一旦他們進入您的系統,他們真正的工作就開始了。
他們發現漏洞,然後根據收到的信息,在文件夾層次結構中移動,進行新的攻擊。 這就是滲透測試人員與那些僅受僱使用端口掃描軟件或病毒檢測來發現漏洞的人員的區別。 經驗豐富的滲透測試人員可以確定:
- 黑客可以在哪裡進行攻擊;
- 黑客攻擊的方式;
- 你的防守將如何表現?
- 違反的可能程度。
滲透測試旨在識別應用程序和網絡級別的弱點,以及克服物理安全障礙的機會。 雖然自動化測試可以揭示一些網絡安全問題,但手動滲透測試也會考慮到企業對攻擊的脆弱性。
紅隊對抗滲透測試
毫無疑問,滲透測試很重要,但它只是一系列 redtiming 活動中的一部分。 “紅隊”的活動比滲透測試者的目標要廣泛得多,滲透測試者通常只是想獲得對網絡的訪問權。 Redteaming 通常涉及更多的人員、資源和時間,因為紅隊會深入挖掘以充分了解技術以及組織的人力和實物資產的真實風險和脆弱性水平。
此外,還有其他差異。 Redtiming 通常由具有更成熟和先進的網絡安全措施的組織使用(儘管在實踐中並非總是如此)。
這些通常是已經完成滲透測試並修復了發現的大部分漏洞的公司,現在正在尋找可以再次嘗試訪問敏感信息或以任何方式破壞保護的人。
這就是為什麼 redtiming 依賴於專注於特定目標的安全專家團隊。 他們針對內部漏洞並對組織的員工使用電子和物理社會工程技術。 與滲透測試者不同,紅隊在攻擊期間從容不迫,希望像真正的網絡犯罪分子一樣避免被發現。
紅隊的好處
真實攻擊的複雜模擬有很多優點,但最重要的是,這種方法可以讓您全面了解組織的網絡安全水平。 典型的端到端模擬攻擊流程包括滲透測試(網絡、應用程序、手機和其他設備)、社會工程(現場直播、電話、電子郵件或短信和聊天)和物理入侵(打破鎖,檢測安全攝像頭的盲區,繞過警告系統)。 如果系統的任何這些方面存在漏洞,就會被發現。
一旦發現漏洞,就可以修復它們。 有效的攻擊模擬程序不會隨著漏洞的發現而結束。 一旦安全漏洞被清楚地識別出來,您就會想要修復它們並重新測試它們。 事實上,真正的工作通常在紅隊入侵之後開始,此時您對攻擊進行取證分析並嘗試緩解發現的漏洞。
除了這兩個主要好處之外,redtiming 還提供了許多其他好處。 因此,“紅隊”可以:
- 識別關鍵業務信息資產中攻擊的風險和漏洞;
- 在風險有限且可控的環境中模擬真實攻擊者的方法、戰術和程序;
- 評估您的組織檢測、響應和預防複雜、有針對性的威脅的能力;
- 鼓勵與安全部門和藍隊密切合作,提供重要的緩解措施,並在發現漏洞後開展全面的實踐研討會。
紅隊如何運作?
了解 redtiming 如何工作的一個好方法是查看它通常是如何工作的。 複雜攻擊模擬的通常過程包括幾個階段:
- 該組織同意“紅隊”(內部或外部)的攻擊目的。 例如,這樣的目標可能是從特定服務器檢索敏感信息。
- 然後“紅隊”對目標進行偵察。 結果是目標系統圖,包括網絡服務、Web 應用程序和內部員工門戶。 .
- 之後,在目標系統中搜索漏洞,通常使用網絡釣魚或 XSS 攻擊來實現。 .
- 一旦獲得訪問令牌,紅隊就會使用它們來調查進一步的漏洞。 .
- 當發現其他漏洞時,“紅隊”將尋求將他們的訪問級別提高到實現目標所需的級別。 .
- 在獲得對目標數據或資產的訪問權限後,攻擊任務被視為已完成。
事實上,經驗豐富的紅隊專家會使用大量不同的方法來完成這些步驟中的每一個。 然而,從上述示例中得出的關鍵結論是,如果將單個系統中的小漏洞鏈接在一起,可能會變成災難性的故障。
提到“紅隊”時應該考慮什麼?
要充分利用 redtiming,您需要仔細準備。 每個組織使用的系統和流程都不同,當旨在發現系統中的漏洞時,達到了 redtiming 的質量水平。 因此,重要的是要考慮許多因素:
知道你在找什麼
首先,重要的是要了解您要檢查哪些系統和流程。 也許您知道要測試一個 Web 應用程序,但您不太了解它的真正含義以及其他哪些系統與您的 Web 應用程序集成。 因此,在開始對真實攻擊進行複雜模擬之前,您必須充分了解自己的系統並修復任何明顯的漏洞,這一點很重要。
了解您的網絡
這與之前的建議有關,但更多的是關於您網絡的技術特性。 你越能量化你的測試環境,你的紅隊就會越準確和具體。
了解你的預算
Redtiming 可以在不同級別執行,但模擬對網絡的全方位攻擊(包括社會工程和物理入侵)可能代價高昂。 因此,重要的是要了解您可以在此類支票上花費多少,並相應地概述其範圍。
了解您的風險等級
作為其標準業務程序的一部分,一些組織可能會容忍相當高的風險水平。 其他人將需要在更大程度上限制他們的風險水平,特別是如果公司在高度監管的行業中運營。 因此,在進行 redtiming 時,重要的是要關注真正對您的業務構成威脅的風險。
紅隊:工具和戰術
如果正確實施,“紅隊”將使用黑客使用的所有工具和方法對您的網絡進行全面攻擊。 除其他事項外,這包括:
- 應用滲透測試 - 旨在識別應用程序級別的弱點,例如跨站點請求偽造、數據輸入缺陷、弱會話管理等。
- 網絡滲透測試 - 旨在識別網絡和系統級別的弱點,包括錯誤配置、無線網絡漏洞、未經授權的服務等。
- 物理滲透測試 — 檢查現實生活中物理安全控制的有效性以及優缺點。
- 社會工程學 - 旨在利用人和人性的弱點,通過釣魚郵件、電話和短信以及現場身體接觸來測試人們對欺騙、說服和操縱的敏感性。
以上都是redtiming組件。 這是一個成熟的分層攻擊模擬,旨在確定您的人員、網絡、應用程序和物理安全控制在多大程度上能夠抵禦來自真實攻擊者的攻擊。
紅隊方法的持續發展
真實攻擊的複雜模擬的性質,其中紅隊試圖找到新的安全漏洞,藍隊試圖修復它們,導致此類檢查方法的不斷發展。 出於這個原因,很難編制一份最新的現代 redtiming 技術列表,因為它們很快就會過時。
因此,大多數紅隊成員將至少花費一部分時間來學習新漏洞並利用紅隊社區提供的許多資源來利用它們。 以下是這些社區中最受歡迎的:
- 是一項訂閱服務,提供主要側重於滲透測試的在線視頻課程,以及操作系統取證、社會工程任務和信息安全彙編語言的課程。
- 是一個“攻擊性網絡安全操作員”,他定期在博客上介紹真實攻擊的複雜模擬方法,並且是新方法的良好來源。
- 如果您正在尋找最新的 redtiming 信息,Twitter 也是一個很好的來源。 您可以使用主題標籤找到它 и .
- 是另一位經驗豐富的 redtiming 專家,他製作時事通訊並且 , 線索 並寫了很多關於當前紅隊趨勢的文章。 在他最近的文章中: и .
- 是由 PortSwigger Web Security 贊助的網絡安全時事通訊。 這是了解 redtiming 領域的最新發展和新聞的好資源 - 黑客攻擊、數據洩露、漏洞利用、Web 應用程序漏洞和新的安全技術。
- 是一位白帽黑客和滲透測試員,他定期在他的文檔中介紹新的紅隊戰術 .
- MWR labs 是一個很好的 redtiming 新聞來源,儘管技術性很強。 他們發布對紅隊有用的帖子 ,以及他們的 包含解決安全測試人員面臨的問題的技巧。
- - 律師和“白黑客”。 他的 Twitter 提要具有對“紅隊”有用的技術,例如編寫 SQL 注入和偽造 OAuth 令牌。
- (ATT & CK) 是攻擊者行為的精選知識庫。 它跟踪攻擊者生命週期的各個階段以及他們所針對的平台。
- 是一本黑客指南,雖然很老,但涵蓋了許多基本技術,這些技術仍然是複雜模擬真實攻擊的核心。 作者彼得金也有 ,他在其中提供黑客技巧和其他信息。
- SANS Institute 是另一家主要的網絡安全培訓材料提供商。 他們的 它專注於數字取證和事件響應,包含有關 SANS 課程的最新消息和專家從業者的建議。
- 關於 redtiming 的一些最有趣的新聞發表在 . 有以技術為中心的文章,例如比較紅隊與滲透測試,以及分析文章,例如紅隊專家宣言。
- 最後,Awesome Red Teaming 是一個 GitHub 社區,提供 專用於紅隊的資源。 它幾乎涵蓋了紅隊活動的每個技術方面,從獲得初始訪問權限、執行惡意活動到收集和提取數據。
“藍隊”——是什麼?
擁有如此多的多色團隊,可能很難確定您的組織需要哪種類型。
紅隊的一個替代方案,更具體地說,可以與紅隊結合使用的另一種類型的團隊是藍隊。 藍隊還評估網絡安全並識別任何潛在的基礎設施漏洞。 然而,她有不同的目標。 這種類型的團隊需要找到保護、改變和重組防禦機制的方法,以使事件響應更加有效。
與紅隊一樣,藍隊必須對攻擊者的戰術、技術和程序有相同的了解,才能根據它們制定應對策略。 然而,藍隊的職責並不僅限於防禦攻擊。 它還參與加強整個安全基礎設施,例如使用入侵檢測系統 (IDS),對異常和可疑活動進行持續分析。
以下是“藍隊”採取的一些步驟:
- 安全審計,特別是 DNS 審計;
- 日誌和內存分析;
- 分析網絡數據包;
- 風險數據分析;
- 數字足跡分析;
- 逆向工程;
- DDoS 測試;
- 制定風險實施方案。
紅隊和藍隊的區別
許多組織的一個常見問題是他們應該使用哪個團隊,紅色還是藍色。 這個問題也常常伴隨著“在路障的對立面”工作的人們之間友好的敵意。 實際上,這兩個命令缺一不可。 所以這個問題的正確答案是兩支球隊都很重要。
紅隊進攻,用於測試藍隊防守準備情況。 有時紅隊可能會發現藍隊完全忽略的漏洞,在這種情況下,紅隊必須展示如何修復這些漏洞。
兩個團隊共同打擊網絡犯罪分子以加強信息安全至關重要。
因此,只選擇一方或只投資一種類型的團隊是沒有意義的。 重要的是要記住,雙方的目標都是防止網絡犯罪。
換句話說,公司需要建立兩個團隊的相互合作,以提供全面的審計——記錄所有攻擊和執行的檢查,記錄檢測到的特徵。
“紅隊”提供有關他們在模擬攻擊期間執行的操作的信息,而藍隊提供有關他們為填補空白和修復發現的漏洞而採取的行動的信息。
兩支球隊的重要性都不可低估。 如果沒有持續的安全審計、滲透測試和基礎設施改進,公司就不會意識到自己的安全狀況。 至少在數據洩露之前,安全措施還不夠令人痛苦地清楚。
什麼是紫隊?
“紫隊”的誕生源於紅隊和藍隊的聯合。 紫色團隊更多的是一個概念,而不是一種獨立的團隊類型。 最好將其視為紅隊和藍隊的組合。 她讓兩個團隊都參與進來,幫助他們一起工作。
紫色團隊可以通過對常見威脅場景進行準確建模並幫助創建新的威脅檢測和預防方法,幫助安全團隊改進漏洞檢測、威脅發現和網絡監控。
一些組織使用紫色團隊進行一次性的重點活動,這些活動明確定義了安全目標、時間表和關鍵結果。 這包括識別攻擊和防禦中的弱點,以及確定未來的培訓和技術要求。
現在流行的另一種方法是將紫色團隊視為一個有遠見的模型,在整個組織中發揮作用,幫助創建和持續改進網絡安全文化。
結論
紅隊,或複雜的攻擊模擬,是一種用於測試組織安全漏洞的強大技術,但應謹慎使用。 特別是,要使用它,你需要有足夠的 否則,他可能無法證明寄託在他身上的希望是正確的。
Redtiming 可以揭示您系統中您甚至不知道存在的漏洞並幫助修復它們。 通過在藍隊和紅隊之間採取對抗性方法,您可以模擬真正的黑客在想要竊取您的數據或破壞您的資產時會做什麼。
來源: www.habr.com