红队
本文约需 2 分钟阅读
红队是从攻击者视角检验组织安全态势的专业团队。它综合运用真实攻击者使用的手法 - 社会工程学、物理入侵、技术性漏洞利用 - 以实战形式测试组织的防御体系能在多大程度上发挥作用。这一概念源自军事演习,自 2000 年代以来在网络安全领域广泛普及,主要在金融机构和关键基础设施运营商中定期开展演练。
与渗透测试的区别
红队演练常被与渗透测试混淆,但二者在目的、范围和期间上有很大差异。
| 观点 | 渗透测试 | 红队演练 |
|---|---|---|
| 目的 | 发现技术性漏洞 | 评估整个组织的防御能力 |
| 范围 | 特定的系统或网络 | 整个组织 (人员、流程、技术) |
| 期间 | 1 - 4 周 | 数周 - 数月 |
| 手法 | 以技术性测试为主 | 也包括社会工程学和物理入侵 |
| 防御方的知情情况 | 多数情况下会事先通知 | 仅部分管理层知情 |
| 交付物 | 漏洞清单与修复建议 | 攻击场景与组织性改进建议 |
红队、蓝队、紫队的关系
模仿攻击者,攻击防御中的漏洞。在不被检测到的情况下达成目标即为成功标准。
SOC 和事件响应团队属于此类。负责攻击的检测、遏制与恢复。
红队与蓝队共享见解,持续改进防御能力的协作型方法。
MITRE ATT&CK 框架的运用
在现代红队演练中,MITRE ATT&CK 框架作为通用语言发挥作用。 ATT&CK 将真实攻击者使用的战术 (Tactics) 与技法 (Techniques) 体系化,红队在制定演练计划时会从 ATT&CK 矩阵设计攻击场景。演练后的报告中同样使用 ATT&CK 的 ID,使蓝队能够定量评估自身对哪些具体技法的检测能力不足。与威胁情报相结合,便可开展聚焦于瞄准本组织的攻击团伙实际使用技法的演练。
红队演练的典型流程
在演练开始前,明确制定「交战规则 (Rules of Engagement)」必不可少。需将测试对象外的系统、允许的攻击手法范围、紧急联系人等记录成文,并取得管理层的批准。若省略这一步骤,演练有可能被误认为是实际事件,或对业务系统造成意外故障。
成本效益与实施频率
正规红队演练的费用因规模和期间而异,从数百万日元到数千万日元不等。由于其成本是渗透测试的数倍,并非所有组织都能每年实施。一般的参考标准是,金融机构和关键基础设施运营商建议每年 1 次,其他企业每 2 - 3 年 1 次。在演练间隔期间,用渗透测试和漏洞扫描来补充较为现实。红队演练实务书 (Amazon)也可作为参考。
常见误解
「红队演练未能入侵就意味着安全」这种认识是危险的。由于演练是在有限的期间和预算内进行的,未能入侵仅仅意味着「以那种手法未能入侵」。真实的攻击者可以不受时间限制地尝试一切手段。
要使红队演练的成果最大化,重要的是将其定位为与内部威胁对策及安全检查清单相结合的综合性安全计划的一环。作为验证企业密码策略实效性的手段,红队演练也极为有效。
这篇文章对您有帮助吗?