红队测试 101:什么是红队测试?
标签
Security
2023 年 7 月 19 日

5 分钟阅读
作者
Evan Anderson Chief Offensive Strategist, Randori, an IBM Company

这篇博客文章是 IBM Security Randori 团队“全面了解红队测试”系列文章中的一篇。Randori 平台将攻击面管理 (ASM) 与持续自动红队测试 (CART) 结合,能够改善您的安全状况。

军事理论家 Helmuth von Moltke 写道:“没有任何作战计划在与敌人遭遇后还有效,”他主张制定一系列作战方案,而不是仅制定一个计划。如今,网络安全团队仍在不断吸取这方面的惨痛教训。根据 IBM Security X-Force 的一项研究,过去几年中,执行勒索软件攻击的时间缩短了 94%,而且攻击者的行动速度变得更快了。以前需要几个月才能实现的目标,现在只需几天。

要关闭漏洞并提高恢复能力,组织需要在威胁参与者动手之前测试其安全操作。要做到这一点,红队行动可以说是最佳方式之一。

 什么是红队?

红队测试可以定义为通过对组织采用对手视角来消除防御者的偏见,从而测试网络安全有效性的过程。

进行红队测试时,组织授权道德黑客模仿真实攻击者的计策、技术和程序 (TTP) 来攻击自己的系统。

这是一项安全风险评估服务,组织可以用它来主动识别和修复 IT 安全漏洞和薄弱环节。

红队会利用攻击模拟方法,模拟复杂攻击者(或高级持续性威胁)的行为,以确定面对旨在实现特定目标的攻击,组织的人员、流程和技术抵御能力如何。

漏洞评估和渗透测试是另外两种安全测试服务,旨在研究网络中的所有已知漏洞,并测试利用这些漏洞的方法。简而言之,漏洞评估和渗透测试对于识别技术缺陷很有用,而红队演习可提供对整体 IT 安全状况的可行洞察分析。

 红队测试的重要性

通过开展红队演习,组织可以了解自己的防御系统在实际遭遇网络攻击时的抵御能力。

正如 IBM Security Randori 产品和黑客行动中心副总裁 Eric McIntyre 所解释的那样:“开展红队活动时,您可以看到反馈循环,了解在开始触发您采取一些防御措施之前,攻击者能够深入到系统中的什么位置。或者,您也可以了解攻击者会在防御措施中的什么位置发现漏洞,以及您采取的防御措施存在哪些有待改进之处。”

 红队测试的好处

在控制措施、解决方案乃至人员方面,要想弄清楚什么有效、什么无效,一个非常有效的方法是让这些因素与专门的对手进行对抗。

红队测试提供了一种有力的方法来评估组织的整体网络安全表现。通过该方法,您和其他安全领导者能够对组织的安全性进行真实评估。红队测试可以帮助您的企业做到以下几点:

  • 识别漏洞并对其进行评估
  • 评估安全投资
  • 测试威胁检测和响应能力
  • 鼓励持续改进的文化
  • 做好应对未知安全风险的准备
  • 领先攻击者一步采取行动
加强防御

通过收件箱从 IBM 安全专家那里获得易于理解、具有高影响力的洞察分析,从中收获明智的策略和宝贵的专业知识,用于直接应对现代网络威胁。

了解有关 IBM Security Randori Attack Targeted 的更多信息
渗透测试与红队测试

红队测试和渗透测试这两个术语经常互换使用,但两者完全不同。

渗透测试的主要目标是识别可利用的漏洞并获得对系统的访问权限。另一方面,在红队演习中,目标是通过模拟现实世界中的对手并在整个攻击链中使用各种计策和技术(包括权限升级和渗出),来访问特定的系统或数据。

下表标出了渗透测试与红队测试之间的其他功能差异:

渗透测试

红队

目标

识别可利用的漏洞并获得系统访问权限。

通过模拟现实世界中的对手来访问特定的系统或数据。

时间范围

短:一天到几周。

较长:几周到一个多月。

工具集

市售渗透测试工具。

多种工具、策略和技术,包括自定义工具和以前未知的漏洞。

是否知情

防御者知道正在进行渗透测试。

防御者不知道红队演习正在进行。

漏洞

已知漏洞。

已知和未知的漏洞。

确定范围

测试目标范围较窄,并且是预先定义好的,例如防火墙配置是否有效。

测试目标可以跨多个域泄出敏感数据等。

测试

安全系统在渗透测试中独立测试。

在红队演习中同时瞄准的系统。

违规后活动

渗透测试人员不会参与泄露后的活动。

红队成员会参与违规后的活动。

目标

破坏组织环境。

像真正的攻击者一样行动并泄露数据,以发起进一步的攻击。

结果

识别可利用的漏洞并提供技术建议。

评估整体网络安全状况并提出改进建议。
红队、蓝队和紫队之间的区别

红队是进攻性安全专业人员,通过模仿现实世界中攻击者使用的工具和技术来测试组织的安全性。红队试图绕过蓝队的防御,同时避免被发现。

蓝队是内部 IT 安全团队,负责保护组织免受攻击者(包括红队成员)的侵害,并不断努力改善组织的网络安全。他们的日常任务包括监控系统是否存在入侵迹象、对警报进行调查以及对事件作出响应。

紫队实际上根本不是团队,而是存在于红队队员和蓝队队员之间的合作思维。虽然红队和蓝队成员都在努力提高组织的安全性,但他们并不总会相互分享自己的洞察分析。紫队的作用是鼓励红蓝两队之间有效进行沟通和协作,以实现两个团队和组织网络安全的持续改进。

 红队测试中使用的工具和技巧

红队将尝试使用与现实世界中攻击者相同的工具和技术。不过,和网络罪犯不同,红队队员不会造成实际损害。相反,他们会暴露组织安全措施中的漏洞。

红队测试中常用的一些工具和技术包括:

  • 社会工程:利用网络钓鱼、网络诈骗和语音网络钓鱼等计策,从毫无戒心的员工那里获取敏感信息或访问企业系统。
  • 物理安全测试:测试组织的物理安全控制措施,包括监控系统和警报。
  • 应用程序渗透测试:测试 Web 应用程序,查找因编码错误(如 SQL 注入漏洞)引起的安全问题。
  • 网络嗅探:监控网络流量,获取环境信息,如配置详情和用户凭证。
  • 污染共享内容:将包含恶意软件程序或漏洞代码的内容添加到网络驱动器或其他共享存储位置。当毫无戒心的用户打开时,内容的恶意部分就会执行,从而可能允许攻击者横向移动。
  • 暴力破解凭据:系统地猜测密码,例如,尝试使用漏洞转储或常用密码列表中的凭据。
 连续自动化红队测试 (CART) 改变了游戏规则

红队测试是提高弹性的核心驱动力,但也会给安全团队带来严峻挑战。最大的两个挑战是进行红队演习的成本和时间。这意味着,在典型的组织中,红队的参与充其量只是定期进行,这只能在某个时间点上提供对组织网络安全的洞察分析。问题在于,在测试时您的安全状况可能很强大,但可能不会始终保持这种状态。

只有实时进行持续自动测试,才能真正从攻击者的角度了解您的组织。

 IBM Security Randori 如何让自动化红队测试更易于使用

IBM Security Randori 提供了一个名为 Randori Attack Targeted 的 CART 解决方案。借助此软件,组织可以像内部红队一样持续评估其安全状况。公司可以准确、主动地测试其防御措施,最重要的是,持续测试其防御措施,从而提高弹性,并了解哪些有效,哪些无效。

IBM Security Randori Attack Targeted 旨在与现有的内部红队合作,无论是否与现有的内部红队合作。在一些世界领先的进攻性安全专家的支持下,Randori Attack Targeted 为安全领导者提供了一种了解其防御性能的方法,甚至让中型组织也能确保企业级安全。

请继续关注我的下一篇文章,了解红队测试如何帮助改善企业的安全状况。
开始使用 IBM Security Randori 获取 30 天免费试用 预约实时演示,查看您的攻击面 了解有关 IBM Security Randori Attack Targeted 的更多信息 注册参加我们关于“超越漏洞扫描,加强攻击面”的网络研讨会
IBM 时事通讯

获取我们的时事通讯和主题更新,了解最新的思想领导力以及关于新兴趋势的洞察分析。

 立即订阅 更多时事通讯