Question

每个公司都应该假定目前自身处于一个遭受攻击的环境中。在过去的日子里，太多公司认为，由于开展了网络安全培训或者年度渗透测试，自身是安全的。我们需要始终处于一种警觉的状态，魔鬼可能潜伏在周围，我们应该即时发现各种异常的现象。

这就是红队行动与渗透测试的根本不同之处。由于红队行动专注于检测/缓解安全机制而不是发现漏洞，因此我们可以做一些更独特的评估。假定突破演习可以为客户/用户提供较大帮助。在假定突破演习中，攻击者始终拥有 0day 漏洞。那么，客户能否识别并减轻后续两个步骤的危害呢？

在这个前提下，红队与公司内部有限的几个人进行配合，将单个自定义恶意程序静荷在服务器上执行。这个静荷会尝试以多种方式连接，确保能够规避常用杀毒软件，并允许从内存中执行后续的静荷。我们将在整本书中提供静荷的例子。一旦执行了初始静荷，后续的事情就很有趣了！