📌  相关文章
📜  红队方法、好处以及它是如何工作的?

📅  最后修改于: 2022-05-13 01:57:26.764000             🧑  作者: Mango

红队方法、好处以及它是如何工作的?

您可能听说过红队,但不确定它是什么意思。这是一种试图破坏系统安全性的方法。可以聘请公司外部的一组渗透测试人员组成红队。红队的基本目标是真实地评估有害行为者并试图闯入系统。

红队是尝试入侵以测试系统安全性的过程。红队可以是外部外包的渗透测试团队,也可以是您自己公司内部的团队,但无论如何,他们的目标是相同的:模仿真正敌对的演员并尝试进入他们的系统。

红队的目标是隐藏认知错误,例如集体思维和确认偏见,这些错误会抑制组织或个人的决策能力。如果公司已经有蓝队,红队就不需要那么多了。这是一个经过深思熟虑的决定,可以让您比较任何机构的主动和被动系统。

红队是一个组织要求测试其防御并提高其有效性的一群高技能的渗透测试者。基本上,它是使用策略、系统和方法来模拟现实世界场景的方式,以便可以设计和衡量组织的安全性。红队的目的是模拟真实世界的攻击,以衡量组织及其事件响应团队的安全性。红队遵循参与角色 (ROE)。

红队基于这样一种想法,即在系统受到攻击之前,您不会知道系统的安全性。而且,与其承担与真正的恶意攻击相关的威胁,在“红队”的帮助下模仿某人更安全。

红队最典型的策略是什么?

红队的主要目标是使用特定的渗透测试来识别对您公司的威胁。他们能够只关注一个元素或有限的可能性。这里将讨论一些流行的红队策略:

  • 通过电子邮件和电话进行社会工程:当您对公司进行一些研究时,时间网络钓鱼电子邮件非常有说服力。这种唾手可得的成果可用于创建实现目标的整体方法。研究人员使用电子邮件网络钓鱼、电话和短信借口以及物理和现场借口,正在评估人们对欺骗性说服和操纵的脆弱性。
  • 网络服务利用:这可以利用无特权或配置错误的网络,允许攻击者访问包含敏感数据的不可访问网络。很多时候,如果攻击者当时需要访问,他会不断留下后门以备后用。它旨在检测网络和系统漏洞,例如配置错误、无线网络漏洞、流氓服务和其他问题。
  • 物理利用设施:现实世界的利用被用来确定物理安全措施的强度和有效性。每个人都有避免冲突的自然愿望。他们可以很容易地跟随某人穿过大门进入受保护的机构。用户可以访问他们打开的最后一扇门。
  • 应用层利用:当攻击者看到公司的网络边界时,他们会立即想到 Web 应用程序。您可以使用此页面来利用 Web 应用程序漏洞,然后他们可以使用这些漏洞来执行更复杂的攻击。将调查跨站请求伪造、注入漏洞、弱会话管理和其他应用层错误。

红队的好处:

红队有很多优势,但它们都在更广泛的范围内运作,因此是一个主要因素。它为您提供有关贵公司网络安全的完整信息。以下是它们的一些优点:

  • 可以验证网络攻击响应:一个组织将知道他们的防线有多强大,以及在受到缓解响应以防止任何未来攻击之后是否遭受了一系列网络攻击。足够。如果它们不够,IT 安全团队必须准备适当的对策,这些对策是在红队的协助下制定的。
  • 创建安全风险分类计划:一旦企业组织了解其 IT 和网络基础设施中的所有漏洞和漏洞,就可以根据风险暴露级别正确分类所有连接的资产。
  • 评估抵御真正网络攻击的准备情况
  • 测试安全技术、人员和流程的有效性
  • 识别和分类广泛的安全风险
  • 提高检测和响应程序的有效性
  • 发现其他类型测试遗漏的缺陷
  • 应对风险并缓解漏洞

红队方法论

红队是一个非常系统和细致的过程,以提取所有必要的信息。然而,在模拟之前,必须进行评估以保证过程的可扩展性和可控性。该评估应确定可利用真实网络犯罪分子的观点和动机加以利用的切入点和漏洞。

为了全面评估组织的检测和响应能力,红队通常采用情报驱动的黑盒技术。该策略几乎肯定会包括以下内容:

侦察:任何红队行动都需要高质量的情报。道德黑客使用一系列开源情报工具、策略和资源获取信息,以成功渗透到目标组织。这可能包括有关工人、基础设施和正在使用的技术的信息。

武器化和分期:参与的下一个阶段是分期,其中包括收集、配置和混淆一旦检测到漏洞并制定攻击计划后执行攻击所需的资源。为命令和控制 (C2) 和社会工程活动设置服务器,以及开发有害代码和定制恶意软件,就是这样的例子。

攻击传递:妥协并在目标网络中站稳脚跟是红队的第一步。道德黑客可能会尝试利用已识别的漏洞,使用暴力破解弱的员工密码,并生成虚假电子邮件消息以启动网络钓鱼攻击并在实现其目标的过程中传递有害的有效负载,例如恶意软件。

内部妥协:在目标网络上站稳脚跟后,下一阶段的重点是实现红队参与的商定目标。横向网络移动、特权升级、物理破坏、命令和控制活动以及数据泄露都是该级别的可能活动。

分析和报告:红队参与之后是一份全面的客户报告,以帮助技术和非技术人员了解演习的成功,包括对发现的漏洞、使用的攻击媒介和已识别的任何风险的概述。包括消除和减少它们的建议。

红队参与:

Red Team Engagement 是展示 APT(高级持续性威胁)所带来的现实威胁的好方法。评估人员被要求通过采用不良行为者可能在实际攻击中使用的技术来破坏预定资产或“标志”。这些深入、复杂的安全评估最适合希望改善其安全运营的企业。

参与计划从客户第一次与您联系时开始,直到执行之日才真正开始。团队合作目标是通过参与来确定的。参与计划过程中包括以下项目:

  • 参与指南
  • 风险管理
  • 威胁准备
  • 消除冲突的过程
  • 资金和成本

红队如何工作?

当您得知红队花费更多时间准备攻击而不是实际执行攻击时,您可能会感到震惊。红队使用各种技术来访问网络。

例如,社会工程攻击依靠侦察和调查来提供类似于鱼叉式网络钓鱼的努力。同样,数据包嗅探器和协议分析器用于扫描网络,并在执行渗透测试之前尽可能多地获取有关系统的信息。

目标完成后,红队将进行侦察。因此,将映射目标系统,包括网络服务、员工门户和在线应用程序。

结论

红队是识别和解决安全基础设施漏洞的最有效的网络安全策略之一。使用这种方法,无论是传统的红队还是持续的自动红队,都可能使您的数据容易受到破坏或入侵。红队是高安全领域的组织建立稳固的安全基础设施的必要条件。