红队是一组安全专业人员,由内部涉众或外部客户分配任务,以超越安全标准 渗透测试 and carry out an actual simulated attack on a target network – for as long as it takes to do so.
红队攻击的最终目标是了解攻击者在试图访问网络时将如何行动,以及了解攻击面的当前情况 曝光 and 漏洞. The United States Institute of Standards and Technology define a Red Team as:
一群经过授权和组织的人,模拟潜在对手针对企业安全态势的攻击或利用能力. The Red Team’s objective is to improve enterprise 网络安全 通过展示成功攻击的影响,并通过展示什么对防御者有效.e., the 蓝色的团队) in an operational environment.”
红队攻击模拟(或“红队”)应该始终根据安全组织的独特之处进行定制 攻击表面 and take into account industry-specific threat levels.
Based on the security organization and the business it’s tasked with protecting, a Red Team attack will leverage a particular set of tactics, 技术, and procedures (TTPs) to breach a network and steal data. 因此,a很重要 安全运营中心(SOC) to become familiar with the TTPs used and learn how to defend against and/or overcome them.
如上所述, 红队执行的攻击模拟的格式对每个组织来说都是不同的. But a holistic way to describe the actual process, tools, 和策略将是红队提供者与他们的客户合作开发一个定制的攻击执行模型,以适当地模拟组织面临的威胁.
The simulation should include real-world adversarial behaviors and TTPs, 使客户端的SOC能够在面对持久而坚定的攻击者时衡量安全程序的真正有效性. For one example of how a Red Team exercise can be carried out, let's look at 这个实例 executed by the United States Cybersecurity and Infrastructure Security Agency.
这个特别的红队通过参与“目标”组织的两个阶段来开始这个过程.
在这种情况下,红队的目标是破坏被评估组织的领域和标识 攻击路径 to other networks by posing as a sophisticated nation-state actor.
It simulated known initial access and post-exploitation TTPs, with the team then diversifying its tools to mimic a wider and often less sophisticated set of 威胁的演员 引起网络防御者的注意.
红队定期与该组织的安全人员会面,讨论其防御姿态, 在此期间:
另外, 以下是开源的红队工具,虽然不能替代人工团队,但对于可能面临来自高管的预算或优先级问题的soc来说,它们是可选的:
有很多好处 安全性测试 任何形式的, 无论是帮助确保网络外围防御优势的外部咨询公司,还是负责发现网络安全漏洞的内部团队 DevSecOps 流程.
关于渗透测试领域——尤其是红队测试——让我们来看看对安全组织和整个业务更有益的一些结果.
弗雷斯特 发现进行红队安全测试通常会导致安全事件减少25%,安全事件成本减少35%. 不用说, 这些缩减会对安全组织的整体弹性和ROI产生重大影响.
Instead of overhauling your security program due to, 假设, a recent breach that caused significant damage and cost the company lots of money, 像红队这样的测试场景可以帮助安全组织准确地确定他们应该在哪里升级和/或加强防御 training 防止类似的或重复的攻击.
企业处于防御状态的一个主要原因是,他们根本没有花时间“走出边界”,以攻击者的方式来观察组织. 红队模拟可以提供必要的数据,最终获得全面的“内部/外部”视图,以了解SOC如何保护业务运营. 有了这个视角, 安全团队可以采取更强的进攻和防御姿态,并为潜在的威胁做好准备.
渗透测试——也被称为渗透测试——服务可以被认为是红队的保护伞, 蓝色的团队, 和紫色队的演习. 众说纷纭, 但一般来说, 渗透测试是在安全专家更具体地讨论红队攻击模拟之前使用的更通用的术语.
But there are some key differentiations between pentesting and Red Teaming. Pentesting is generally more upfront and visible; the client organization knows it’s happening. 在正式订婚之后, 红队的活动是秘密进行的,目标组织要尽可能长时间不知道. Let’s take a look at this handy table for some additional distinctions:
| CRITERIA | 其中 | 红色的合作 |
|---|---|---|
| Goal | 漏洞的监管 | 测试抵御攻击的弹性 |
| Scope | 已定义的系统子集 | 威胁参与者使用的攻击路径 |
| 控制测试 | 预防控制 | 检测和响应控制 |
| 测试方法 | 效率高于现实主义 | 真实的模拟 |
| 测试技术 | 地图,扫描,利用 | 选定威胁参与者的ttp |
| Post-Exploitation | 传统上有限的行动 | 专注于关键资产/功能 |
So, is one option better than the other? Often pentesters and Red Teamers are the same security professionals, using different methods and 技术 for different assessments. The true answer is that one is not necessarily better than the other, rather each is useful in certain situations.
We've defined and discussed Red Teaming at length so far, so to distinguish the practice from the other color-labeled security exercises, 让我们回到一些基本的定义,这样我们就可以正确地理解红队vs蓝队vs紫队(是的, 紫色是红色和蓝色的混合色, but the function of the team isn’t quite as simply explained):
有效的紫队最大的挑战是帮助蓝队和红队克服他们之间可能存在的竞争. Team Blue doesn’t want to give away how they catch bad guys, and Team Red doesn’t want to give away the secrets of the attack.
But, 通过打破这些壁垒,你可以向蓝队展示,通过了解红队的运作方式,他们可以成为更好的防守者. 你可以向红队展示他们如何通过与蓝队合作扩展他们的防御行动知识来提高他们的效率.
紫色团队有助于实现红队/蓝队的联合方法,使安全团队能够在模拟环境下测试控件, 有针对性的攻击.
It is, 当然, not as simple as randomly assigning individual SOC staffers to a Red, Blue, 或紫色团队. When attempting to build an effective Red Team, it’s critical to:
渗透测试: Latest Rapid7 Blog Posts