在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全能力體系建設(shè)中，有一個(gè)不可或缺的環(huán)節(jié)就是通過(guò)實(shí)戰(zhàn)化的攻防演練活動(dòng)對(duì)實(shí)際建設(shè)成果進(jìn)行驗(yàn)證。通過(guò)攻防演練能夠檢驗(yàn)網(wǎng)絡(luò)安全體系建設(shè)的科學(xué)性和有效性，發(fā)現(xiàn)工作中存在的問(wèn)題，并針對(duì)演練中發(fā)現(xiàn)的問(wèn)題和不足之處進(jìn)行持續(xù)優(yōu)化，不斷提高安全保障能力。

　　在實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演練活動(dòng)中，紅隊(duì)是不可或缺的進(jìn)攻性要素，它主要是從攻擊者視角，模擬出未來(lái)可能出現(xiàn)的各種攻擊方式。紅隊(duì)既可以由企業(yè)內(nèi)部的網(wǎng)絡(luò)安全技術(shù)人員組成，也可以邀請(qǐng)外部安全服務(wù)團(tuán)隊(duì)參與。為了更好實(shí)現(xiàn)攻防演練活動(dòng)的目標(biāo)與預(yù)期效果，組織需要不斷對(duì)紅隊(duì)的能力和演練策略進(jìn)行優(yōu)化。

　　紅隊(duì)測(cè)試 ≠ 滲透測(cè)試

　　大多數(shù)組織的安全檢查會(huì)從漏洞掃描開(kāi)始，然后進(jìn)入到滲透測(cè)試，也就是從猜測(cè)漏洞可以被利用到證明它是如何被利用的。因此，很多人會(huì)錯(cuò)誤地將“紅隊(duì)測(cè)試”與“滲透測(cè)試”混為一談，但實(shí)際上，它具有不同的目標(biāo)和定位。

　　滲透測(cè)試主要為了在沒(méi)有明確目標(biāo)的情況下盡可能多地發(fā)現(xiàn)、測(cè)試各種可能的攻擊，以確認(rèn)安全漏洞的危害性如何。滲透測(cè)試通常不涉及初始訪問(wèn)向量，而是要將檢測(cè)到的漏洞信息和危害完整地呈現(xiàn)出來(lái)，并主動(dòng)地去緩解它們，以達(dá)到增強(qiáng)并驗(yàn)證組織網(wǎng)絡(luò)彈性的目標(biāo)。

　　盡管紅隊(duì)在測(cè)試中使用的攻擊技術(shù)和手段方面有很多類似滲透測(cè)試，但是不同于滲透測(cè)試“盡可能多地”發(fā)現(xiàn)漏洞的行動(dòng)目標(biāo)，紅隊(duì)測(cè)試的核心訴求是通過(guò)使用完整的黑客攻擊全生命周期技術(shù)，從初始訪問(wèn)到數(shù)據(jù)滲漏，再到以類似APT的隱秘方式攻擊組織的人員、流程和技術(shù)，執(zhí)行高度有針對(duì)性的攻擊操作，從而進(jìn)一步完善企業(yè)安全能力成熟度模型。

　　在某種程度上，我們可以將紅隊(duì)理解成合法的APT組織，因?yàn)榧t隊(duì)要模擬出真實(shí)世界中各種攻擊團(tuán)伙。通過(guò)真正的對(duì)抗性模擬行動(dòng)，紅隊(duì)攻擊能夠測(cè)試出企業(yè)安全防護(hù)體系的真實(shí)能力如何。

　　Aquia公司首席信息安全官（CISO）Chris Hughes表示，“從CISO的角度來(lái)看，將紅隊(duì)能力建設(shè)納入企業(yè)整體網(wǎng)絡(luò)安全計(jì)劃的意義和價(jià)值將明顯超過(guò)設(shè)置安全檢查清單和日常安全評(píng)估，它將促進(jìn)復(fù)雜安全能力建設(shè)中的針對(duì)性，并能夠突出真正的漏洞風(fēng)險(xiǎn)優(yōu)先級(jí)。簡(jiǎn)單地滲透測(cè)試已經(jīng)不足以應(yīng)對(duì)當(dāng)今的威脅環(huán)境，企業(yè)必須像攻擊者一樣思考和訓(xùn)練，才有能力在黑客行動(dòng)之前做好準(zhǔn)備。”

　　提升紅隊(duì)測(cè)試能力的11條建議

　　鑒于開(kāi)展紅隊(duì)測(cè)試工作的重要性，企業(yè)IT領(lǐng)導(dǎo)者可以遵循下述11項(xiàng)策略來(lái)發(fā)揮紅隊(duì)測(cè)試的最大效益：

　　01 不要對(duì)紅隊(duì)測(cè)試進(jìn)行過(guò)多限制

　　真正的黑客在攻擊時(shí)是不會(huì)有范圍限制的，因此，所有敵人可能涉獵的領(lǐng)域，都應(yīng)該涵蓋在紅隊(duì)攻擊的范圍內(nèi)，否則組織將無(wú)法全面獲取對(duì)可能風(fēng)險(xiǎn)的真實(shí)認(rèn)知。很多組織擔(dān)心無(wú)限制的攻擊測(cè)試會(huì)造成不可控的后果，其實(shí)這可以通過(guò)完善的預(yù)案來(lái)解決。企業(yè)應(yīng)該盡量減少對(duì)紅隊(duì)的策略和工作范圍進(jìn)行限制，這樣才能發(fā)現(xiàn)最具影響力和破壞性的漏洞，從而獲得實(shí)效驅(qū)動(dòng)的補(bǔ)救措施。

　　02 讓紅隊(duì)工作保持獨(dú)立性

　　模擬對(duì)手攻擊手段是紅隊(duì)最重要的工作，他們沒(méi)有過(guò)多精力去了解安全部門(mén)正在發(fā)生的其他事情。紅隊(duì)人員應(yīng)該被視為“幕后”操作員，而管理者和領(lǐng)導(dǎo)者則是第一線聯(lián)絡(luò)人。

　　事實(shí)上，在許多情況下，與安全團(tuán)隊(duì)和組織中的藍(lán)隊(duì)成員建立融洽關(guān)系會(huì)“軟化”他們的工作。實(shí)踐表明，紅隊(duì)越是獨(dú)立于安全團(tuán)隊(duì)工作之外，他們?cè)跍y(cè)試過(guò)程中遇到的阻力就越小。因此，以策略改進(jìn)、安全治理、風(fēng)險(xiǎn)控制（GRC）、部署優(yōu)化以及能力協(xié)同等為核心的安全會(huì)議不應(yīng)該讓紅隊(duì)成員參與和了解。

　　03 將風(fēng)險(xiǎn)簡(jiǎn)報(bào)與技術(shù)簡(jiǎn)報(bào)分開(kāi)

　　信息龐綜復(fù)雜的技術(shù)研究并不適用于管理層應(yīng)該了解的范圍。管理者更關(guān)注攻擊描述、隨著時(shí)間推移的安全指標(biāo)、持續(xù)的問(wèn)題發(fā)現(xiàn)以及由此產(chǎn)生的風(fēng)險(xiǎn)緩解措施。技術(shù)團(tuán)隊(duì)則關(guān)心端口、服務(wù)、攻擊方法和目的。讓他們共同參與問(wèn)題討論，看似在節(jié)省時(shí)間實(shí)際上是在浪費(fèi)時(shí)間。紅隊(duì)?wèi)?yīng)該分別提供和交付兩個(gè)版本的分析報(bào)告，會(huì)更加有效：一份給管理人員和業(yè)務(wù)部門(mén)；另一份給以修復(fù)和技術(shù)為導(dǎo)向的安全技術(shù)團(tuán)隊(duì)。

　　04 對(duì)風(fēng)險(xiǎn)評(píng)級(jí)并跟進(jìn)

　　紅隊(duì)成員可以分配風(fēng)險(xiǎn)評(píng)級(jí)并猜測(cè)事后將如何處理該發(fā)現(xiàn)。如果沒(méi)有深入了解誰(shuí)負(fù)責(zé)這些風(fēng)險(xiǎn)并跟進(jìn)風(fēng)險(xiǎn)負(fù)責(zé)人的補(bǔ)救措施，他們的專業(yè)知識(shí)將止步于此。當(dāng)被問(wèn)及“這一發(fā)現(xiàn)的處理結(jié)果是什么？我們?cè)谀睦镄迯?fù)了這個(gè)問(wèn)題？”，紅隊(duì)通常無(wú)法應(yīng)答。他們只是將風(fēng)險(xiǎn)移交，而沒(méi)有跟進(jìn)這些風(fēng)險(xiǎn)是否得到合理修復(fù)或?qū)彶?。為了?shí)現(xiàn)紅隊(duì)效益最大化，跟進(jìn)風(fēng)險(xiǎn)負(fù)責(zé)人的行動(dòng)將是必不可少的步驟。

　　05 調(diào)查結(jié)果和風(fēng)險(xiǎn)評(píng)級(jí)標(biāo)準(zhǔn)化

　　CVSS評(píng)級(jí)有助于了解在野利用漏洞的難度和可能性，但它們通常缺乏組織背景，因此很多評(píng)級(jí)的劃分是主觀的，需要加入盡可能多的客觀性。

　　企業(yè)在進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)時(shí)，既要考慮“固有風(fēng)險(xiǎn)”也要考慮“潛在風(fēng)險(xiǎn)”。固有風(fēng)險(xiǎn)是管理層沒(méi)有采取任何措施來(lái)改變風(fēng)險(xiǎn)的可能性或影響的情況下，一個(gè)企業(yè)所面臨的風(fēng)險(xiǎn)。在評(píng)估固有風(fēng)險(xiǎn)后，接著就需要評(píng)估控制措施的有效性。影響控制措施有效性的因素有兩個(gè)：一個(gè)是控制措施設(shè)計(jì)有效性，另一個(gè)是控制措施執(zhí)行有效性。

　　固有風(fēng)險(xiǎn)是天然存在的風(fēng)險(xiǎn)，經(jīng)過(guò)人為實(shí)施的控制措施后，固有風(fēng)險(xiǎn)會(huì)得到控制，沒(méi)有被控制的部分，就是剩余風(fēng)險(xiǎn)，可以形象地理解為：“潛在風(fēng)險(xiǎn)=固有風(fēng)險(xiǎn)-有效控制措施?！边@能夠比CVSS評(píng)級(jí)提供更具價(jià)值的情報(bào)。

　　06 優(yōu)化測(cè)試節(jié)奏

　　紅隊(duì)隊(duì)員不是滲透測(cè)試員。紅隊(duì)的測(cè)試節(jié)奏也與滲透測(cè)試團(tuán)隊(duì)完全不同。滲透測(cè)試員有一套標(biāo)準(zhǔn)的漏洞和錯(cuò)誤配置測(cè)試范圍，以嘗試“盡可能多地”找到其中的缺陷，讓防御者有機(jī)會(huì)盡可能地保護(hù)組織系統(tǒng)。滲透測(cè)試團(tuán)隊(duì)還會(huì)尋求主動(dòng)發(fā)出警報(bào)，并能夠報(bào)告EDR和SIEM解決方案獲得的積極發(fā)現(xiàn)。

　　相比之下，紅隊(duì)不會(huì)只執(zhí)行實(shí)現(xiàn)目標(biāo)所需的行動(dòng)，而是要以秘密方式運(yùn)作，并且需要更多時(shí)間來(lái)研究、準(zhǔn)備和測(cè)試真實(shí)代表APT行為的殺傷鏈。因此，隨著測(cè)試范圍擴(kuò)大，紅隊(duì)行動(dòng)的節(jié)奏和生命周期會(huì)越來(lái)越慢。在確定紅隊(duì)今年的目標(biāo)和關(guān)鍵成果（OKR）時(shí)，請(qǐng)記住這一點(diǎn)。更不用說(shuō)，許多發(fā)現(xiàn)通常來(lái)自紅隊(duì)操作，且并非所有發(fā)現(xiàn)都具有相關(guān)的戰(zhàn)術(shù)、技術(shù)和程序（TTP）或直接緩解策略。補(bǔ)救團(tuán)隊(duì)需要時(shí)間來(lái)處理調(diào)查結(jié)果并盡可能地減輕影響。同時(shí)，這也是為了避免藍(lán)隊(duì)（blue team）陷入疲勞，他們實(shí)際上可能會(huì)要求紅隊(duì)取消或推遲四分之一的額外操作，具體取決于藍(lán)隊(duì)落后的程度。

　　07 跟蹤所有指標(biāo)

　　并非所有證明進(jìn)攻性計(jì)劃成功的指標(biāo)都來(lái)自紅隊(duì)。用于跟蹤測(cè)試成功和補(bǔ)救活動(dòng)的紅隊(duì)指標(biāo)包括平均停留時(shí)間：他們能夠在環(huán)境中堅(jiān)持多長(zhǎng)時(shí)間進(jìn)行發(fā)現(xiàn)和調(diào)整而不觸發(fā)警報(bào)。

　　其他因素將來(lái)自網(wǎng)絡(luò)威脅情報(bào)（CTI）和風(fēng)險(xiǎn)團(tuán)隊(duì)，形式為降低發(fā)現(xiàn)的剩余風(fēng)險(xiǎn)評(píng)分、提高對(duì)模擬威脅參與者的彈性認(rèn)知，以及在野發(fā)現(xiàn)攻擊成功的可能性。CTI團(tuán)隊(duì)將能夠通過(guò)明確了解哪些策略可以進(jìn)行防御來(lái)鎖定相關(guān)威脅參與者。

　　08 明確紅隊(duì)角色和職責(zé)

　　優(yōu)化的紅隊(duì)運(yùn)營(yíng)來(lái)自一個(gè)可持續(xù)的反饋循環(huán)，涉及CTI、紅隊(duì)、檢測(cè)工程師和風(fēng)險(xiǎn)分析師，所有這些都在協(xié)同為組織環(huán)境減少攻擊面。這些角色在每個(gè)組織結(jié)構(gòu)圖中看起來(lái)都不一樣，但無(wú)論如何，最好要將職責(zé)明確并分開(kāi)。

　　許多組織的安全團(tuán)隊(duì)會(huì)很小，而且會(huì)有同一人身兼多職的情況，但至少需要有一名全職員工致力于這些職能中的每一項(xiàng)工作，以顯著提高運(yùn)營(yíng)質(zhì)量。在這一點(diǎn)上，安全團(tuán)隊(duì)需要被分離在首席運(yùn)營(yíng)官（COO）、首席風(fēng)險(xiǎn)官（CRO）或首席信息安全官（CISO）之下，而漏洞管理、補(bǔ)救管理和IT運(yùn)營(yíng)則應(yīng)該由首席信息官（CIO）或首席技術(shù)官（CTO）負(fù)責(zé)。這種角色和職責(zé)劃分有助于減少摩擦。

　　09 設(shè)定可實(shí)現(xiàn)的工作預(yù)期

　　當(dāng)紅隊(duì)制定測(cè)試計(jì)劃時(shí)，需要根據(jù)具體的目標(biāo)來(lái)計(jì)劃希望采取的方法。管理層的主要擔(dān)憂是生產(chǎn)力損失或拒絕服務(wù)（DoS），但紅隊(duì)并不會(huì)列出他們計(jì)劃使用的每一個(gè)步驟和方法。

　　事實(shí)上，在漏洞利用開(kāi)發(fā)過(guò)程中，為了調(diào)試有效負(fù)載并確保順利執(zhí)行TTP（技術(shù)、工具和程序），紅隊(duì)必須根據(jù)實(shí)際情況調(diào)整具體方法。在演練活動(dòng)開(kāi)始之前、期間和之后對(duì)紅隊(duì)計(jì)劃設(shè)置現(xiàn)實(shí)的期望，將減少挫敗感以及業(yè)務(wù)部門(mén)對(duì)紅隊(duì)的抵觸情緒。

　　10 合理使用離網(wǎng)（off-network）攻擊設(shè)備

　　攻擊基礎(chǔ)設(shè)施是紅隊(duì)測(cè)試的組成部門(mén)。這包括了域、重定向器、SMTP服務(wù)器、有效載荷托管服務(wù)器以及命令和控制（C2）服務(wù)器。就管理層而言，為他們提供與企業(yè)EDR、AV和SIEM代理隔離的設(shè)備，將使他們能夠測(cè)試網(wǎng)絡(luò)釣魚(yú)活動(dòng)、登錄頁(yè)面和有效負(fù)載，并解決發(fā)現(xiàn)的問(wèn)題，以免在漏洞檢測(cè)期間浪費(fèi)寶貴的操作時(shí)間。

　　紅隊(duì)不會(huì)在這些設(shè)備上存儲(chǔ)敏感的公司數(shù)據(jù)，他們會(huì)在安全的云環(huán)境中存儲(chǔ)在操作中獲得和泄露的信息。因此，這些設(shè)備實(shí)際上是作為回調(diào)的終端，其命令也應(yīng)該記錄在遠(yuǎn)程服務(wù)器中。這不僅對(duì)紅隊(duì)操作來(lái)說(shuō)非常有利，也能最終節(jié)省公司時(shí)間和資源。

　　11 嚴(yán)格按照測(cè)試計(jì)劃開(kāi)展工作

　　在實(shí)際工作中，我們經(jīng)常會(huì)發(fā)現(xiàn)，隨著紅隊(duì)測(cè)試工作推進(jìn)，就會(huì)出現(xiàn)更多可利用的資源，以及更多可攻擊的目標(biāo)，這時(shí)候就需要嚴(yán)格按照測(cè)試計(jì)劃來(lái)推進(jìn)預(yù)定工作。操作期間的范圍擴(kuò)展意味著他們不再遵循初始操作計(jì)劃，并遵守CTI驅(qū)動(dòng)的行為限制。

　　更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<