在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全能力體系建設(shè)中，有一個(gè)不可或缺的環(huán)節(jié)就是通過實(shí)戰(zhàn)化的攻防演練活動(dòng)對實(shí)際建設(shè)成果進(jìn)行驗(yàn)證。通過攻防演練能夠檢驗(yàn)網(wǎng)絡(luò)安全體系建設(shè)的科學(xué)性和有效性，發(fā)現(xiàn)工作中存在的問題，并針對演練中發(fā)現(xiàn)的問題和不足之處進(jìn)行持續(xù)優(yōu)化，不斷提高安全保障能力。

在實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演練活動(dòng)中，紅隊(duì)是不可或缺的進(jìn)攻性要素，它主要是從攻擊者視角，模擬出未來可能出現(xiàn)的各種攻擊方式。紅隊(duì)既可以由企業(yè)內(nèi)部的網(wǎng)絡(luò)安全技術(shù)人員組成，也可以邀請外部安全服務(wù)團(tuán)隊(duì)參與。為了更好實(shí)現(xiàn)攻防演練活動(dòng)的目標(biāo)與預(yù)期效果，組織需要不斷對紅隊(duì)的能力和演練策略進(jìn)行優(yōu)化。

紅隊(duì)測試 ≠ 滲透測試

大多數(shù)組織的安全檢查會(huì)從漏洞掃描開始，然后進(jìn)入到滲透測試，也就是從猜測漏洞可以被利用到證明它是如何被利用的。因此，很多人會(huì)錯(cuò)誤地將“紅隊(duì)測試”與“滲透測試”混為一談，但實(shí)際上，它具有不同的目標(biāo)和定位。

滲透測試主要為了在沒有明確目標(biāo)的情況下盡可能多地發(fā)現(xiàn)、測試各種可能的攻擊，以確認(rèn)安全漏洞的危害性如何。滲透測試通常不涉及初始訪問向量，而是要將檢測到的漏洞信息和危害完整地呈現(xiàn)出來，并主動(dòng)地去緩解它們，以達(dá)到增強(qiáng)并驗(yàn)證組織網(wǎng)絡(luò)彈性的目標(biāo)。

盡管紅隊(duì)在測試中使用的攻擊技術(shù)和手段方面有很多類似滲透測試，但是不同于滲透測試“盡可能多地”發(fā)現(xiàn)漏洞的行動(dòng)目標(biāo)，紅隊(duì)測試的核心訴求是通過使用完整的黑客攻擊全生命周期技術(shù)，從初始訪問到數(shù)據(jù)滲漏，再到以類似APT的隱秘方式攻擊組織的人員、流程和技術(shù)，執(zhí)行高度有針對性的攻擊操作，從而進(jìn)一步完善企業(yè)安全能力成熟度模型。

在某種程度上，我們可以將紅隊(duì)理解成合法的APT組織，因?yàn)榧t隊(duì)要模擬出真實(shí)世界中各種攻擊團(tuán)伙。通過真正的對抗性模擬行動(dòng)，紅隊(duì)攻擊能夠測試出企業(yè)安全防護(hù)體系的真實(shí)能力如何。

Aquia公司首席信息安全官（CISO）Chris Hughes表示，“從CISO的角度來看，將紅隊(duì)能力建設(shè)納入企業(yè)整體網(wǎng)絡(luò)安全計(jì)劃的意義和價(jià)值將明顯超過設(shè)置安全檢查清單和日常安全評估，它將促進(jìn)復(fù)雜安全能力建設(shè)中的針對性，并能夠突出真正的漏洞風(fēng)險(xiǎn)優(yōu)先級。簡單地滲透測試已經(jīng)不足以應(yīng)對當(dāng)今的威脅環(huán)境，企業(yè)必須像攻擊者一樣思考和訓(xùn)練，才有能力在黑客行動(dòng)之前做好準(zhǔn)備?！?/p>

提升紅隊(duì)測試能力的11條建議

鑒于開展紅隊(duì)測試工作的重要性，企業(yè)IT領(lǐng)導(dǎo)者可以遵循下述11項(xiàng)策略來發(fā)揮紅隊(duì)測試的最大效益：

一、不要對紅隊(duì)測試進(jìn)行過多限制

真正的黑客在攻擊時(shí)是不會(huì)有范圍限制的，因此，所有敵人可能涉獵的領(lǐng)域，都應(yīng)該涵蓋在紅隊(duì)攻擊的范圍內(nèi)，否則組織將無法全面獲取對可能風(fēng)險(xiǎn)的真實(shí)認(rèn)知。很多組織擔(dān)心無限制的攻擊測試會(huì)造成不可控的后果，其實(shí)這可以通過完善的預(yù)案來解決。企業(yè)應(yīng)該盡量減少對紅隊(duì)的策略和工作范圍進(jìn)行限制，這樣才能發(fā)現(xiàn)最具影響力和破壞性的漏洞，從而獲得實(shí)效驅(qū)動(dòng)的補(bǔ)救措施。

二、讓紅隊(duì)工作保持獨(dú)立性

模擬對手攻擊手段是紅隊(duì)最重要的工作，他們沒有過多精力去了解安全部門正在發(fā)生的其他事情。紅隊(duì)人員應(yīng)該被視為“幕后”操作員，而管理者和領(lǐng)導(dǎo)者則是第一線聯(lián)絡(luò)人。

事實(shí)上，在許多情況下，與安全團(tuán)隊(duì)和組織中的藍(lán)隊(duì)成員建立融洽關(guān)系會(huì)“軟化”他們的工作。實(shí)踐表明，紅隊(duì)越是獨(dú)立于安全團(tuán)隊(duì)工作之外，他們在測試過程中遇到的阻力就越小。因此，以策略改進(jìn)、安全治理、風(fēng)險(xiǎn)控制（GRC）、部署優(yōu)化以及能力協(xié)同等為核心的安全會(huì)議不應(yīng)該讓紅隊(duì)成員參與和了解。

三、將風(fēng)險(xiǎn)簡報(bào)與技術(shù)簡報(bào)分開

信息龐綜復(fù)雜的技術(shù)研究并不適用于管理層應(yīng)該了解的范圍。管理者更關(guān)注攻擊描述、隨著時(shí)間推移的安全指標(biāo)、持續(xù)的問題發(fā)現(xiàn)以及由此產(chǎn)生的風(fēng)險(xiǎn)緩解措施。技術(shù)團(tuán)隊(duì)則關(guān)心端口、服務(wù)、攻擊方法和目的。讓他們共同參與問題討論，看似在節(jié)省時(shí)間實(shí)際上是在浪費(fèi)時(shí)間。紅隊(duì)?wèi)?yīng)該分別提供和交付兩個(gè)版本的分析報(bào)告，會(huì)更加有效：一份給管理人員和業(yè)務(wù)部門；另一份給以修復(fù)和技術(shù)為導(dǎo)向的安全技術(shù)團(tuán)隊(duì)。

四、對風(fēng)險(xiǎn)評級并跟進(jìn)

紅隊(duì)成員可以分配風(fēng)險(xiǎn)評級并猜測事后將如何處理該發(fā)現(xiàn)。如果沒有深入了解誰負(fù)責(zé)這些風(fēng)險(xiǎn)并跟進(jìn)風(fēng)險(xiǎn)負(fù)責(zé)人的補(bǔ)救措施，他們的專業(yè)知識將止步于此。當(dāng)被問及“這一發(fā)現(xiàn)的處理結(jié)果是什么？我們在哪里修復(fù)了這個(gè)問題？”，紅隊(duì)通常無法應(yīng)答。他們只是將風(fēng)險(xiǎn)移交，而沒有跟進(jìn)這些風(fēng)險(xiǎn)是否得到合理修復(fù)或?qū)彶椤榱藢?shí)現(xiàn)紅隊(duì)效益最大化，跟進(jìn)風(fēng)險(xiǎn)負(fù)責(zé)人的行動(dòng)將是必不可少的步驟。

五、調(diào)查結(jié)果和風(fēng)險(xiǎn)評級標(biāo)準(zhǔn)化

CVSS評級有助于了解在野利用漏洞的難度和可能性，但它們通常缺乏組織背景，因此很多評級的劃分是主觀的，需要加入盡可能多的客觀性。

企業(yè)在進(jìn)行風(fēng)險(xiǎn)評級時(shí)，既要考慮“固有風(fēng)險(xiǎn)”也要考慮“潛在風(fēng)險(xiǎn)”。固有風(fēng)險(xiǎn)是管理層沒有采取任何措施來改變風(fēng)險(xiǎn)的可能性或影響的情況下，一個(gè)企業(yè)所面臨的風(fēng)險(xiǎn)。在評估固有風(fēng)險(xiǎn)后，接著就需要評估控制措施的有效性。影響控制措施有效性的因素有兩個(gè)：一個(gè)是控制措施設(shè)計(jì)有效性，另一個(gè)是控制措施執(zhí)行有效性。

固有風(fēng)險(xiǎn)是天然存在的風(fēng)險(xiǎn)，經(jīng)過人為實(shí)施的控制措施后，固有風(fēng)險(xiǎn)會(huì)得到控制，沒有被控制的部分，就是剩余風(fēng)險(xiǎn)，可以形象地理解為：“潛在風(fēng)險(xiǎn)=固有風(fēng)險(xiǎn)-有效控制措施。”這能夠比CVSS評級提供更具價(jià)值的情報(bào)。

六、優(yōu)化測試節(jié)奏

紅隊(duì)隊(duì)員不是滲透測試員。紅隊(duì)的測試節(jié)奏也與滲透測試團(tuán)隊(duì)完全不同。滲透測試員有一套標(biāo)準(zhǔn)的漏洞和錯(cuò)誤配置測試范圍，以嘗試“盡可能多地”找到其中的缺陷，讓防御者有機(jī)會(huì)盡可能地保護(hù)組織系統(tǒng)。滲透測試團(tuán)隊(duì)還會(huì)尋求主動(dòng)發(fā)出警報(bào)，并能夠報(bào)告EDR和SIEM解決方案獲得的積極發(fā)現(xiàn)。

相比之下，紅隊(duì)不會(huì)只執(zhí)行實(shí)現(xiàn)目標(biāo)所需的行動(dòng)，而是要以秘密方式運(yùn)作，并且需要更多時(shí)間來研究、準(zhǔn)備和測試真實(shí)代表APT行為的殺傷鏈。因此，隨著測試范圍擴(kuò)大，紅隊(duì)行動(dòng)的節(jié)奏和生命周期會(huì)越來越慢。在確定紅隊(duì)今年的目標(biāo)和關(guān)鍵成果（OKR）時(shí)，請記住這一點(diǎn)。更不用說，許多發(fā)現(xiàn)通常來自紅隊(duì)操作，且并非所有發(fā)現(xiàn)都具有相關(guān)的戰(zhàn)術(shù)、技術(shù)和程序（TTP）或直接緩解策略。補(bǔ)救團(tuán)隊(duì)需要時(shí)間來處理調(diào)查結(jié)果并盡可能地減輕影響。同時(shí)，這也是為了避免藍(lán)隊(duì)（blue team）陷入疲勞，他們實(shí)際上可能會(huì)要求紅隊(duì)取消或推遲四分之一的額外操作，具體取決于藍(lán)隊(duì)落后的程度。

七、跟蹤所有指標(biāo)

并非所有證明進(jìn)攻性計(jì)劃成功的指標(biāo)都來自紅隊(duì)。用于跟蹤測試成功和補(bǔ)救活動(dòng)的紅隊(duì)指標(biāo)包括平均停留時(shí)間：他們能夠在環(huán)境中堅(jiān)持多長時(shí)間進(jìn)行發(fā)現(xiàn)和調(diào)整而不觸發(fā)警報(bào)。

其他因素將來自網(wǎng)絡(luò)威脅情報(bào)（CTI）和風(fēng)險(xiǎn)團(tuán)隊(duì)，形式為降低發(fā)現(xiàn)的剩余風(fēng)險(xiǎn)評分、提高對模擬威脅參與者的彈性認(rèn)知，以及在野發(fā)現(xiàn)攻擊成功的可能性。CTI團(tuán)隊(duì)將能夠通過明確了解哪些策略可以進(jìn)行防御來鎖定相關(guān)威脅參與者。

八、明確紅隊(duì)角色和職責(zé)

優(yōu)化的紅隊(duì)運(yùn)營來自一個(gè)可持續(xù)的反饋循環(huán)，涉及CTI、紅隊(duì)、檢測工程師和風(fēng)險(xiǎn)分析師，所有這些都在協(xié)同為組織環(huán)境減少攻擊面。這些角色在每個(gè)組織結(jié)構(gòu)圖中看起來都不一樣，但無論如何，最好要將職責(zé)明確并分開。

許多組織的安全團(tuán)隊(duì)會(huì)很小，而且會(huì)有同一人身兼多職的情況，但至少需要有一名全職員工致力于這些職能中的每一項(xiàng)工作，以顯著提高運(yùn)營質(zhì)量。在這一點(diǎn)上，安全團(tuán)隊(duì)需要被分離在首席運(yùn)營官（COO）、首席風(fēng)險(xiǎn)官（CRO）或首席信息安全官（CISO）之下，而漏洞管理、補(bǔ)救管理和IT運(yùn)營則應(yīng)該由首席信息官（CIO）或首席技術(shù)官（CTO）負(fù)責(zé)。這種角色和職責(zé)劃分有助于減少摩擦。

九 、設(shè)定可實(shí)現(xiàn)的工作預(yù)期

當(dāng)紅隊(duì)制定測試計(jì)劃時(shí)，需要根據(jù)具體的目標(biāo)來計(jì)劃希望采取的方法。管理層的主要擔(dān)憂是生產(chǎn)力損失或拒絕服務(wù)（DoS），但紅隊(duì)并不會(huì)列出他們計(jì)劃使用的每一個(gè)步驟和方法。

事實(shí)上，在漏洞利用開發(fā)過程中，為了調(diào)試有效負(fù)載并確保順利執(zhí)行TTP(技術(shù)、工具和程序)，紅隊(duì)必須根據(jù)實(shí)際情況調(diào)整具體方法。在演練活動(dòng)開始之前、期間和之后對紅隊(duì)計(jì)劃設(shè)置現(xiàn)實(shí)的期望，將減少挫敗感以及業(yè)務(wù)部門對紅隊(duì)的抵觸情緒。

十、合理使用離網(wǎng)（off-network）攻擊設(shè)備

攻擊基礎(chǔ)設(shè)施是紅隊(duì)測試的組成部門。這包括了域、重定向器、SMTP服務(wù)器、有效載荷托管服務(wù)器以及命令和控制（C2）服務(wù)器。就管理層而言，為他們提供與企業(yè)EDR、AV和SIEM代理隔離的設(shè)備，將使他們能夠測試網(wǎng)絡(luò)釣魚活動(dòng)、登錄頁面和有效負(fù)載，并解決發(fā)現(xiàn)的問題，以免在漏洞檢測期間浪費(fèi)寶貴的操作時(shí)間。

紅隊(duì)不會(huì)在這些設(shè)備上存儲(chǔ)敏感的公司數(shù)據(jù)，他們會(huì)在安全的云環(huán)境中存儲(chǔ)在操作中獲得和泄露的信息。因此，這些設(shè)備實(shí)際上是作為回調(diào)的終端，其命令也應(yīng)該記錄在遠(yuǎn)程服務(wù)器中。這不僅對紅隊(duì)操作來說非常有利，也能最終節(jié)省公司時(shí)間和資源。

十一、嚴(yán)格按照測試計(jì)劃開展工作

在實(shí)際工作中，我們經(jīng)常會(huì)發(fā)現(xiàn)，隨著紅隊(duì)測試工作推進(jìn)，就會(huì)出現(xiàn)更多可利用的資源，以及更多可攻擊的目標(biāo)，這時(shí)候就需要嚴(yán)格按照測試計(jì)劃來推進(jìn)預(yù)定工作。操作期間的范圍擴(kuò)展意味著他們不再遵循初始操作計(jì)劃，并遵守CTI驅(qū)動(dòng)的行為限制。