返回介绍

渗透测试团队与红队

发布于 2024-10-13 11:41:05 字数 2459 浏览 0 评论 0 收藏 0

在深入了解红队背后的技术理念之前,我需要说明渗透测试和红队的定义。这两个术语经常会被提起,读者通常摸不到头脑。在本书中,我想谈谈如何界定这两个术语。

渗透测试是对网络、应用程序和硬件等进行更严格和更有计划的测试。如果您还没有接触过渗透测试,建议您先阅读渗透测试执行标准—这是如何评估一项渗透测试的指南。简而言之,您需要开展范围界定、信息搜集、漏洞分析、漏洞利用、漏洞后利用和报告等所有步骤。在传统的网络测试中,我们通常会扫描漏洞,查找并攻击存在漏洞的系统或应用程序,可能会进行一些后期漏洞利用,查找域管理员并编写渗透测试报告。这些类型的测试会创建漏洞列表、找出急需修补的安全问题以及提供具有可操作性的建议。即使在创建测试范围期间,渗透测试也非常明确,仅限于一周或两周的评估期,并且通常会向公司的内部安全团队公布。公司仍然需要渗透测试人员作为其安全软件开发生命周期(S-SDLC)的一部分。

如今,即使公司有漏洞管理流程、安全软件开发生命周期流程、渗透测试人员、应急响应团队/流程以及许多非常昂贵的安全工具,公司的网络仍然可能被攻陷。如果看一下最近的攻击事件,我们会发现其中很多都发生在成熟的大公司。我们在其他安全报告中看到,一些攻击行为可能会持续超过 6 个月才能被发现。还有一些报道指出,2017 年几乎有三分之一的公司遭到攻击。我认为公司应该想一想,如果这些“坏小子”针对自己采用完全相同的策略,能否发现它?需要多长时间才能发现?能否从攻击事件中恢复?能否准确找出攻击者对于公司资产做了什么?

这就是红队开始发挥作用的场景。红队的任务是模仿攻击者的战术、技术和工具(TTP)。目的是为公司提供真实的攻击场景,在应急响应计划中找到问题,了解员工的技能差距,并最终提高公司的安全防护能力。

对于红队来说,它不像渗透测试那样条理清晰。红队模拟的是真实的攻击场景,因此每项攻击测试都会有很大不同。有些任务可能专注于获取个人身份信息(PII)或信用卡信息,而其他任务则可能专注于获取域管理员权限。说到域管理员,我发现渗透测试和红队任务之间存在巨大的差异。对于渗透测试,我们力争在一天内得到域管理员账户,从而具有访问域控制器权限。对于红队任务,我们可能会完全忽略域控制器。其中一个原因是许多公司在域控制器周围设置了大量安全保护措施。

这些安全防护措施包括应用程序白名单、完整性监控、大量 IDS/IPS/HIPS 规则等。由于执行任务要避免被发现,因此红队需要保持低调。我们需要遵循的另一条规则是,不要在内部网络运行漏洞扫描程序。攻击者在已控制网络环境中开始执行完整的漏洞扫描的情况是非常罕见的,因为漏洞扫描在网络上非常容易被发现,并且很可能被即时捕获。

两者另一个主要区别是如下所示的时间表。对于渗透测试,工作时间通常是一周,幸运的话,工作时间可能达到两周的时间。但是对于红队来说,任务通常持续 2 周~6 个月的时间。红队方式模拟真实攻击流程,需要开展社会工程,确定目标位置等。最大的差异是两种类型团队的输出报告。红队的研究报告需要更多地针对防御团队流程、策略、工具和技能方面的差距,而不是漏洞列表。在红队的最终报告中,可能会展示一些在任务中发现的漏洞,但是更多的内容是安全流程中存在的缺陷。注意,红队的输出报告应该主要针对安全流程,而不是针对 IT(信息技术)部门未修补的漏洞。

渗透测试红队
有条不紊的安全评估:
● 前期交流
● 情报搜集
● 漏洞分析
● 漏洞利用
● 漏洞后利用
● 报告

灵活的安全评估:
● 情报搜集
● 初步立足点
● 持久性/本地权限提升
● 本地主机/网络枚举
● 横向移动
● 数据分析/数据获取
● 获取域权限/获取系统散列
● 报告
范围:
● 限制范围
● 1~2 周参与
● 一般公告
● 发现漏洞
范围:
● 没有规则*
● 1 周~6 个月的参与时间
● 没有公告
● 检验防御团队的流程、策略、工具和技能

* 不能违法……

作为红队,我们需要向公司展示自身价值。价值与发现漏洞的总数或发现漏洞的危害程度无关,与防御方安全防护机制是否发挥作用有关。红队的目标是模拟现实世界的攻击行为(实际检测到)。衡量行动的两个重要指标是检测时间和缓解时间。这两个指标不是新概念,但对红队来说仍然有重要的意义。

检测时间(TTD)表示什么呢?这是攻击事件从开始到安全分析人员检测到攻击行为并开始采取措施之间的时间。假设您使用社会工程电子邮件攻击方式,用户在其系统上执行恶意软件。即使杀毒软件、主机安全系统或者监控工具可能检测到攻击行为,但是记录的检测时间是安全分析人员检测到攻击行为并创建分析攻击事件的时间。

缓解时间(TTM)是记录的第二个指标。这个时间点是指安全人员开展防火墙实时拦截、DNS 黑洞或网络隔离的时间。另外重要的衡量指标是安全团队如何与 IT 人员合作、如何处理关键事件,以及员工是否恐慌。掌握了所有这些数据,我们可以建立实际数据,评估您的公司面临的风险程度,或者被攻陷的可能性。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文