在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全能力體系建設(shè)中，有一個不可或缺的環(huán)節(jié)就是通過實戰(zhàn)化的攻防演練活動對實際建設(shè)成果進行驗證。通過攻防演練能夠檢驗網(wǎng)絡(luò)安全體系建設(shè)的科學(xué)性和有效性，發(fā)現(xiàn)工作中存在的問題，并針對演練中發(fā)現(xiàn)的問題和不足之處進行持續(xù)優(yōu)化，不斷提高安全保障能力。

　　在實戰(zhàn)化網(wǎng)絡(luò)安全攻防演練活動中，紅隊是不可或缺的進攻性要素，它主要是從攻擊者視角，模擬出未來可能出現(xiàn)的各種攻擊方式。紅隊既可以由企業(yè)內(nèi)部的網(wǎng)絡(luò)安全技術(shù)人員組成，也可以邀請外部安全服務(wù)團隊參與。為了更好實現(xiàn)攻防演練活動的目標(biāo)與預(yù)期效果，組織需要不斷對紅隊的能力和演練策略進行優(yōu)化。

　　紅隊測試 ≠ 滲透測試

　　大多數(shù)組織的安全檢查會從漏洞掃描開始，然后進入到滲透測試，也就是從猜測漏洞可以被利用到證明它是如何被利用的。因此，很多人會錯誤地將“紅隊測試”與“滲透測試”混為一談，但實際上，它具有不同的目標(biāo)和定位。

　　滲透測試主要為了在沒有明確目標(biāo)的情況下盡可能多地發(fā)現(xiàn)、測試各種可能的攻擊，以確認(rèn)安全漏洞的危害性如何。滲透測試通常不涉及初始訪問向量，而是要將檢測到的漏洞信息和危害完整地呈現(xiàn)出來，并主動地去緩解它們，以達到增強并驗證組織網(wǎng)絡(luò)彈性的目標(biāo)。

　　盡管紅隊在測試中使用的攻擊技術(shù)和手段方面有很多類似滲透測試，但是不同于滲透測試“盡可能多地”發(fā)現(xiàn)漏洞的行動目標(biāo)，紅隊測試的核心訴求是通過使用完整的黑客攻擊全生命周期技術(shù)，從初始訪問到數(shù)據(jù)滲漏，再到以類似APT的隱秘方式攻擊組織的人員、流程和技術(shù)，執(zhí)行高度有針對性的攻擊操作，從而進一步完善企業(yè)安全能力成熟度模型。

　　在某種程度上，我們可以將紅隊理解成合法的APT組織，因為紅隊要模擬出真實世界中各種攻擊團伙。通過真正的對抗性模擬行動，紅隊攻擊能夠測試出企業(yè)安全防護體系的真實能力如何。

　　Aquia公司首席信息安全官（CISO）Chris Hughes表示，“從CISO的角度來看，將紅隊能力建設(shè)納入企業(yè)整體網(wǎng)絡(luò)安全計劃的意義和價值將明顯超過設(shè)置安全檢查清單和日常安全評估，它將促進復(fù)雜安全能力建設(shè)中的針對性，并能夠突出真正的漏洞風(fēng)險優(yōu)先級。簡單地滲透測試已經(jīng)不足以應(yīng)對當(dāng)今的威脅環(huán)境，企業(yè)必須像攻擊者一樣思考和訓(xùn)練，才有能力在黑客行動之前做好準(zhǔn)備?！?/p>

　　提升紅隊測試能力的11條建議

　　鑒于開展紅隊測試工作的重要性，企業(yè)IT領(lǐng)導(dǎo)者可以遵循下述11項策略來發(fā)揮紅隊測試的最大效益：

　　01 不要對紅隊測試進行過多限制

　　真正的黑客在攻擊時是不會有范圍限制的，因此，所有敵人可能涉獵的領(lǐng)域，都應(yīng)該涵蓋在紅隊攻擊的范圍內(nèi)，否則組織將無法全面獲取對可能風(fēng)險的真實認(rèn)知。很多組織擔(dān)心無限制的攻擊測試會造成不可控的后果，其實這可以通過完善的預(yù)案來解決。企業(yè)應(yīng)該盡量減少對紅隊的策略和工作范圍進行限制，這樣才能發(fā)現(xiàn)最具影響力和破壞性的漏洞，從而獲得實效驅(qū)動的補救措施。

　　02 讓紅隊工作保持獨立性

　　模擬對手攻擊手段是紅隊最重要的工作，他們沒有過多精力去了解安全部門正在發(fā)生的其他事情。紅隊人員應(yīng)該被視為“幕后”操作員，而管理者和領(lǐng)導(dǎo)者則是第一線聯(lián)絡(luò)人。

　　事實上，在許多情況下，與安全團隊和組織中的藍隊成員建立融洽關(guān)系會“軟化”他們的工作。實踐表明，紅隊越是獨立于安全團隊工作之外，他們在測試過程中遇到的阻力就越小。因此，以策略改進、安全治理、風(fēng)險控制（GRC）、部署優(yōu)化以及能力協(xié)同等為核心的安全會議不應(yīng)該讓紅隊成員參與和了解。

　　03 將風(fēng)險簡報與技術(shù)簡報分開

　　信息龐綜復(fù)雜的技術(shù)研究并不適用于管理層應(yīng)該了解的范圍。管理者更關(guān)注攻擊描述、隨著時間推移的安全指標(biāo)、持續(xù)的問題發(fā)現(xiàn)以及由此產(chǎn)生的風(fēng)險緩解措施。技術(shù)團隊則關(guān)心端口、服務(wù)、攻擊方法和目的。讓他們共同參與問題討論，看似在節(jié)省時間實際上是在浪費時間。紅隊?wèi)?yīng)該分別提供和交付兩個版本的分析報告，會更加有效：一份給管理人員和業(yè)務(wù)部門；另一份給以修復(fù)和技術(shù)為導(dǎo)向的安全技術(shù)團隊。

　　04 對風(fēng)險評級并跟進

　　紅隊成員可以分配風(fēng)險評級并猜測事后將如何處理該發(fā)現(xiàn)。如果沒有深入了解誰負責(zé)這些風(fēng)險并跟進風(fēng)險負責(zé)人的補救措施，他們的專業(yè)知識將止步于此。當(dāng)被問及“這一發(fā)現(xiàn)的處理結(jié)果是什么？我們在哪里修復(fù)了這個問題？”，紅隊通常無法應(yīng)答。他們只是將風(fēng)險移交，而沒有跟進這些風(fēng)險是否得到合理修復(fù)或?qū)彶?。為了實現(xiàn)紅隊效益最大化，跟進風(fēng)險負責(zé)人的行動將是必不可少的步驟。

　　05 調(diào)查結(jié)果和風(fēng)險評級標(biāo)準(zhǔn)化

　　CVSS評級有助于了解在野利用漏洞的難度和可能性，但它們通常缺乏組織背景，因此很多評級的劃分是主觀的，需要加入盡可能多的客觀性。

　　企業(yè)在進行風(fēng)險評級時，既要考慮“固有風(fēng)險”也要考慮“潛在風(fēng)險”。固有風(fēng)險是管理層沒有采取任何措施來改變風(fēng)險的可能性或影響的情況下，一個企業(yè)所面臨的風(fēng)險。在評估固有風(fēng)險后，接著就需要評估控制措施的有效性。影響控制措施有效性的因素有兩個：一個是控制措施設(shè)計有效性，另一個是控制措施執(zhí)行有效性。

　　固有風(fēng)險是天然存在的風(fēng)險，經(jīng)過人為實施的控制措施后，固有風(fēng)險會得到控制，沒有被控制的部分，就是剩余風(fēng)險，可以形象地理解為：“潛在風(fēng)險=固有風(fēng)險-有效控制措施?！边@能夠比CVSS評級提供更具價值的情報。

　　06 優(yōu)化測試節(jié)奏

　　紅隊隊員不是滲透測試員。紅隊的測試節(jié)奏也與滲透測試團隊完全不同。滲透測試員有一套標(biāo)準(zhǔn)的漏洞和錯誤配置測試范圍，以嘗試“盡可能多地”找到其中的缺陷，讓防御者有機會盡可能地保護組織系統(tǒng)。滲透測試團隊還會尋求主動發(fā)出警報，并能夠報告EDR和SIEM解決方案獲得的積極發(fā)現(xiàn)。

　　相比之下，紅隊不會只執(zhí)行實現(xiàn)目標(biāo)所需的行動，而是要以秘密方式運作，并且需要更多時間來研究、準(zhǔn)備和測試真實代表APT行為的殺傷鏈。因此，隨著測試范圍擴大，紅隊行動的節(jié)奏和生命周期會越來越慢。在確定紅隊今年的目標(biāo)和關(guān)鍵成果（OKR）時，請記住這一點。更不用說，許多發(fā)現(xiàn)通常來自紅隊操作，且并非所有發(fā)現(xiàn)都具有相關(guān)的戰(zhàn)術(shù)、技術(shù)和程序（TTP）或直接緩解策略。補救團隊需要時間來處理調(diào)查結(jié)果并盡可能地減輕影響。同時，這也是為了避免藍隊（blue team）陷入疲勞，他們實際上可能會要求紅隊取消或推遲四分之一的額外操作，具體取決于藍隊落后的程度。

　　07 跟蹤所有指標(biāo)

　　并非所有證明進攻性計劃成功的指標(biāo)都來自紅隊。用于跟蹤測試成功和補救活動的紅隊指標(biāo)包括平均停留時間：他們能夠在環(huán)境中堅持多長時間進行發(fā)現(xiàn)和調(diào)整而不觸發(fā)警報。

　　其他因素將來自網(wǎng)絡(luò)威脅情報（CTI）和風(fēng)險團隊，形式為降低發(fā)現(xiàn)的剩余風(fēng)險評分、提高對模擬威脅參與者的彈性認(rèn)知，以及在野發(fā)現(xiàn)攻擊成功的可能性。CTI團隊將能夠通過明確了解哪些策略可以進行防御來鎖定相關(guān)威脅參與者。

　　08 明確紅隊角色和職責(zé)

　　優(yōu)化的紅隊運營來自一個可持續(xù)的反饋循環(huán)，涉及CTI、紅隊、檢測工程師和風(fēng)險分析師，所有這些都在協(xié)同為組織環(huán)境減少攻擊面。這些角色在每個組織結(jié)構(gòu)圖中看起來都不一樣，但無論如何，最好要將職責(zé)明確并分開。

　　許多組織的安全團隊會很小，而且會有同一人身兼多職的情況，但至少需要有一名全職員工致力于這些職能中的每一項工作，以顯著提高運營質(zhì)量。在這一點上，安全團隊需要被分離在首席運營官（COO）、首席風(fēng)險官（CRO）或首席信息安全官（CISO）之下，而漏洞管理、補救管理和IT運營則應(yīng)該由首席信息官（CIO）或首席技術(shù)官（CTO）負責(zé)。這種角色和職責(zé)劃分有助于減少摩擦。

　　09 設(shè)定可實現(xiàn)的工作預(yù)期

　　當(dāng)紅隊制定測試計劃時，需要根據(jù)具體的目標(biāo)來計劃希望采取的方法。管理層的主要擔(dān)憂是生產(chǎn)力損失或拒絕服務(wù)（DoS），但紅隊并不會列出他們計劃使用的每一個步驟和方法。

　　事實上，在漏洞利用開發(fā)過程中，為了調(diào)試有效負載并確保順利執(zhí)行TTP（技術(shù)、工具和程序），紅隊必須根據(jù)實際情況調(diào)整具體方法。在演練活動開始之前、期間和之后對紅隊計劃設(shè)置現(xiàn)實的期望，將減少挫敗感以及業(yè)務(wù)部門對紅隊的抵觸情緒。

　　10 合理使用離網(wǎng)（off-network）攻擊設(shè)備

　　攻擊基礎(chǔ)設(shè)施是紅隊測試的組成部門。這包括了域、重定向器、SMTP服務(wù)器、有效載荷托管服務(wù)器以及命令和控制（C2）服務(wù)器。就管理層而言，為他們提供與企業(yè)EDR、AV和SIEM代理隔離的設(shè)備，將使他們能夠測試網(wǎng)絡(luò)釣魚活動、登錄頁面和有效負載，并解決發(fā)現(xiàn)的問題，以免在漏洞檢測期間浪費寶貴的操作時間。

　　紅隊不會在這些設(shè)備上存儲敏感的公司數(shù)據(jù)，他們會在安全的云環(huán)境中存儲在操作中獲得和泄露的信息。因此，這些設(shè)備實際上是作為回調(diào)的終端，其命令也應(yīng)該記錄在遠程服務(wù)器中。這不僅對紅隊操作來說非常有利，也能最終節(jié)省公司時間和資源。

　　11 嚴(yán)格按照測試計劃開展工作

　　在實際工作中，我們經(jīng)常會發(fā)現(xiàn)，隨著紅隊測試工作推進，就會出現(xiàn)更多可利用的資源，以及更多可攻擊的目標(biāo)，這時候就需要嚴(yán)格按照測試計劃來推進預(yù)定工作。操作期間的范圍擴展意味著他們不再遵循初始操作計劃，并遵守CTI驅(qū)動的行為限制。

　　更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<