Question

这是红队行动中我最喜欢的一部分。在突破第一个系统之前，您需要确定红队行动的范围。在渗透测试中，通常是指定一个目标，您需要不断尝试突破这个目标。如果没有成功，您会继续执行其他操作。即使没有既定方案，您也会非常专注于该网络。

在红队行动中，我们有一些要实现的目标。这些目标可以是下面的内容，但不局限于下面的内容。

• 最终目标是什么？难道只是 APT 攻击检测？是否需要从服务器获得相应内容？是否需要从数据库中获取数据？或者只是获得检测时间指标数据？
• 有没有什么我们想要复制的公开活动？
• 您将使用哪些技术？我们谈到了使用 MITRE 公司 ATT&CK 列表，但每个类别真正使用的技术是什么？
  • Red Canary 的团队提供了有关这些技术的详细信息，我强烈建议您仔细研究这些内容。
• 客户希望使用哪些工具？是像 Metasploit、Cobalt Strike 和 DNS Cat 这样的 COTS 商业工具还是定制工具？

攻击行动被发现是评估中最关键的一部分。有些红队行动被发现 4～5 次，因此需要重新切换到 4～5 个不同的环境。这实际上向您的客户表明他们的防御机制发挥了作用（或不发挥作用），具体评估结果依据客户开展红队行动的目的而定。在本书的最后部分，将提供一些报告示例，解释如何确定指标和上报数据。