5 分钟阅读
这篇博客文章是 IBM Security Randori 团队“全面了解红队测试”系列文章中的一篇。Randori 平台将攻击面管理 (ASM) 与持续自动红队测试 (CART) 结合,能够改善您的安全状况。
军事理论家 Helmuth von Moltke 写道:“没有任何作战计划在与敌人遭遇后还有效,”他主张制定一系列作战方案,而不是仅制定一个计划。如今,网络安全团队仍在不断吸取这方面的惨痛教训。根据 IBM Security X-Force 的一项研究,过去几年中,执行勒索软件攻击的时间缩短了 94%,而且攻击者的行动速度变得更快了。以前需要几个月才能实现的目标,现在只需几天。
要关闭漏洞并提高恢复能力,组织需要在威胁参与者动手之前测试其安全操作。要做到这一点,红队行动可以说是最佳方式之一。
红队测试可以定义为通过对组织采用对手视角来消除防御者的偏见,从而测试网络安全有效性的过程。
进行红队测试时,组织授权道德黑客模仿真实攻击者的计策、技术和程序 (TTP) 来攻击自己的系统。
这是一项安全风险评估服务,组织可以用它来主动识别和修复 IT 安全漏洞和薄弱环节。
红队会利用攻击模拟方法,模拟复杂攻击者(或高级持续性威胁)的行为,以确定面对旨在实现特定目标的攻击,组织的人员、流程和技术抵御能力如何。
漏洞评估和渗透测试是另外两种安全测试服务,旨在研究网络中的所有已知漏洞,并测试利用这些漏洞的方法。简而言之,漏洞评估和渗透测试对于识别技术缺陷很有用,而红队演习可提供对整体 IT 安全状况的可行洞察分析。
通过开展红队演习,组织可以了解自己的防御系统在实际遭遇网络攻击时的抵御能力。
正如 IBM Security Randori 产品和黑客行动中心副总裁 Eric McIntyre 所解释的那样:“开展红队活动时,您可以看到反馈循环,了解在开始触发您采取一些防御措施之前,攻击者能够深入到系统中的什么位置。或者,您也可以了解攻击者会在防御措施中的什么位置发现漏洞,以及您采取的防御措施存在哪些有待改进之处。”
在控制措施、解决方案乃至人员方面,要想弄清楚什么有效、什么无效,一个非常有效的方法是让这些因素与专门的对手进行对抗。
红队测试提供了一种有力的方法来评估组织的整体网络安全表现。通过该方法,您和其他安全领导者能够对组织的安全性进行真实评估。红队测试可以帮助您的企业做到以下几点:
通过收件箱从 IBM 安全专家那里获得易于理解、具有高影响力的洞察分析,从中收获明智的策略和宝贵的专业知识,用于直接应对现代网络威胁。
了解有关 IBM Security Randori Attack Targeted 的更多信息
渗透测试
红队
目标
识别可利用的漏洞并获得系统访问权限。
通过模拟现实世界中的对手来访问特定的系统或数据。
时间范围
短:一天到几周。
较长:几周到一个多月。
工具集
市售渗透测试工具。
多种工具、策略和技术,包括自定义工具和以前未知的漏洞。
是否知情
防御者知道正在进行渗透测试。
防御者不知道红队演习正在进行。
漏洞
已知漏洞。
已知和未知的漏洞。
确定范围
测试目标范围较窄,并且是预先定义好的,例如防火墙配置是否有效。
测试目标可以跨多个域泄出敏感数据等。
测试
安全系统在渗透测试中独立测试。
在红队演习中同时瞄准的系统。
违规后活动
渗透测试人员不会参与泄露后的活动。
红队成员会参与违规后的活动。
目标
破坏组织环境。
像真正的攻击者一样行动并泄露数据,以发起进一步的攻击。
结果
识别可利用的漏洞并提供技术建议。
评估整体网络安全状况并提出改进建议。
红队是进攻性安全专业人员,通过模仿现实世界中攻击者使用的工具和技术来测试组织的安全性。红队试图绕过蓝队的防御,同时避免被发现。
蓝队是内部 IT 安全团队,负责保护组织免受攻击者(包括红队成员)的侵害,并不断努力改善组织的网络安全。他们的日常任务包括监控系统是否存在入侵迹象、对警报进行调查以及对事件作出响应。
紫队实际上根本不是团队,而是存在于红队队员和蓝队队员之间的合作思维。虽然红队和蓝队成员都在努力提高组织的安全性,但他们并不总会相互分享自己的洞察分析。紫队的作用是鼓励红蓝两队之间有效进行沟通和协作,以实现两个团队和组织网络安全的持续改进。
红队将尝试使用与现实世界中攻击者相同的工具和技术。不过,和网络罪犯不同,红队队员不会造成实际损害。相反,他们会暴露组织安全措施中的漏洞。
红队测试中常用的一些工具和技术包括:
红队测试是提高弹性的核心驱动力,但也会给安全团队带来严峻挑战。最大的两个挑战是进行红队演习的成本和时间。这意味着,在典型的组织中,红队的参与充其量只是定期进行,这只能在某个时间点上提供对组织网络安全的洞察分析。问题在于,在测试时您的安全状况可能很强大,但可能不会始终保持这种状态。
只有实时进行持续自动测试,才能真正从攻击者的角度了解您的组织。
IBM Security Randori 提供了一个名为 Randori Attack Targeted 的 CART 解决方案。借助此软件,组织可以像内部红队一样持续评估其安全状况。公司可以准确、主动地测试其防御措施,最重要的是,持续测试其防御措施,从而提高弹性,并了解哪些有效,哪些无效。
IBM Security Randori Attack Targeted 旨在与现有的内部红队合作,无论是否与现有的内部红队合作。在一些世界领先的进攻性安全专家的支持下,Randori Attack Targeted 为安全领导者提供了一种了解其防御性能的方法,甚至让中型组织也能确保企业级安全。
请继续关注我的下一篇文章,了解红队测试如何帮助改善企业的安全状况。