红队学习

红队基础知识

简介

网络安全是白帽黑客和黑帽黑客之间持续不断的竞赛。 随着网络世界威胁的发展,对更专业服务的需求也在不断增长,使公司能够尽最大努力为真正的攻击做好准备。

虽然漏洞评估和渗透测试等传统安全活动可以很好地概述公司的技术安全状况,但它们可能会忽略真正的攻击者可以利用的其他一些方面。 从这个意义上说,我们可以说传统的渗透测试擅长显示漏洞,以便您可以采取主动措施,但可能不会教您如何应对有动机的对手实际正在进行的攻击。

漏洞评估和渗透测试的局限性

漏洞评估

这是最简单的安全评估形式,其主要目标是识别网络中尽可能多的系统中的尽可能多的漏洞。 为此,可以做出让步以有效实现这一目标。 例如,攻击者的计算机可能会被列入可用安全解决方案的白名单,以避免干扰漏洞发现过程。 这是有道理的,因为目标是查看网络上的每台主机并单独评估其安全状况,同时向公司提供有关应将补救工作重点放在何处的最多信息。

总而言之,漏洞评估的重点是扫描主机作为单个实体的漏洞,以便识别安全缺陷 部署有效的安全措施, 保护 优先 大部分工作可以使用自动化工具完成,并由操作员执行,无需太多技术知识。

举个例子,如果您要通过网络运行漏洞评估,您通常会尝试扫描尽可能多的主机,但实际上根本不会尝试利用任何漏洞

渗透测试

除了扫描每台主机是否存在漏洞之外,我们通常还需要了解它们如何影响整个网络。 渗透测试允许渗透测试人员通过执行以下附加步骤来探索攻击者对整个网络的影响,从而增加漏洞评估:

  • 尝试 利用 每个系统上发现的漏洞。 这很重要,因为有时系统中可能存在漏洞,但适当的补偿控制可以有效防止其被利用。 它还允许我们测试是否可以使用检测到的漏洞来危害给定的主机。
  • 执行 后利用 任务,使我们能够确定是否可以从它们中提取任何有用的信息,或者我们是否可以使用它们转向以前无法从我们所在位置访问的其他主机。

渗透测试可能会像常规漏洞评估一样从扫描漏洞开始,但会提供有关攻击者如何链接漏洞以实现特定目标的更多信息。 虽然其重点仍然是 识别 漏洞并建立 保护 网络的措施,但它也将网络视为一个完整的生态系统,以及攻击者如何从其组件之间的交互中获利。

如果我们要使用与之前相同的示例网络执行渗透测试,除了扫描网络上的所有主机是否存在漏洞之外,我们还会尝试确认它们是否可以被利用,以显示攻击者可能对网络造成的影响网络:

通过分析攻击者如何在我们的网络中移动,我们还获得了对可能的安全措施绕过的基本了解,以及我们 检测 真正威​​胁行为者的能力,但由于渗透测试的范围通常很广泛,渗透测试人员的能力有限。不太关心大声或在安全设备上产生大量警报,因为此类项目的时间限制通常要求我们在短时间内检查网络。


高级持续威胁以及为什么定期渗透测试还不够

虽然我们提到的传统安全活动涵盖了大多数技术漏洞的发现,但此类流程以及它们可以有效帮助公司抵御真正攻击者的程度存在局限性。 这些限制包括:

因此,渗透测试的某些方面可能与真实攻击有很大不同,例如:

  • 渗透测试的噪音很大: 通常,渗透测试人员不会付出太多努力来试图不被发现。 与真正的攻击者不同,他们不介意容易被发现,因为他们的职责是在尽可能多的主机中找到尽可能多的漏洞。
  • 非技术攻击媒介可能会被忽视: 基于社会工程或物理入侵的攻击通常不包含在测试中。
  • 放宽安全机制: 在进行定期渗透测试时,为了提高效率,渗透测试团队可能会暂时禁用或放宽一些安全机制。 尽管这听起来可能违反直觉,但必须记住,渗透测试人员检查网络的时间有限。 因此,通常不希望浪费时间寻找绕过 IDS/IPS、WAF、入侵欺骗或其他安全措施的奇特方法,而是专注于审查关键技术基础设施是否存在漏洞。

另一方面,真正的攻击者不会遵循道德准则,而且他们的行为大多不受限制。 如今,最突出的威胁行为者被称为 高级持续威胁 (APT) ,它们是高技能的攻击者团体,通常由国家或有组织的犯罪集团赞助。 它们主要针对关键基础设施、金融组织和政府机构。 它们被称为持久性的,因为这些组织的操作可以在受感染的网络上长时间保持不被发现。


如果一家公司受到 APT 的影响,它是否准备好采取有效应对措施? 如果攻击者已经存在几个月,他们能否检测到用于获取和维护网络访问权限的方法? 如果由于会计部的约翰打开了可疑的电子邮件附件而获得了初始访问权限怎么办? 如果涉及零日漏洞怎么办? 之前的渗透测试让我们为此做好准备了吗?


为了提供更现实的安全方法,红队参与诞生了。

红队参与

为了跟上新出现的威胁,红队的参与旨在将重点从定期渗透测试转移到一个流程,使我们能够清楚地看到我们的防御团队检测 响应 真正 威胁参与者的能力。 它们不会取代传统的渗透测试,而是通过专注于检测和响应而不是预防来补充传统的渗透测试。

红队是从军队借来的一个术语。 在军事演习中,一组人扮演红队的角色,模拟攻击技术,以测试防御队(通常称为 蓝队 )对已知对手策略的反应能力。 转化为网络安全领域,红队的参与包括模拟真实威胁行为者的 策略、技术和程序 (TTP), 以便我们可以衡量蓝队对它们的响应程度,并最终改进现有的安全控制。

 

每一次红队行动都将从定义明确的目标开始,这些目标通常被称为 皇冠上的宝石 旗帜 ,范围从损害给定的关键主机到从目标窃取一些敏感信息。 通常,蓝队不会被告知此类练习,以避免在他们的分析中引入任何偏差。 红队将尽一切努力实现目标,同时保持不被发现并规避任何现有的安全机制,如防火墙、防病毒、EDR、IPS 等。 请注意,在红队参与中,并非网络上的所有主机都会接受漏洞检查。 真正的攻击者只需要找到一条到达其目标的路径,并且对执行蓝队可以检测到的噪声扫描不感兴趣。

 

采用与以前相同的网络,在红队参与中,目标是破坏内联网服务器,我们将计划一种方法来实现我们的目标,同时尽可能少地与其他主机交互。 同时,可以评估蓝方检测攻击并做出相应响应的能力:

值得注意的是,此类练习的最终目标绝不应该是红队“击败”蓝队,而是模拟足够的 TTP,让蓝队学会对真正持续的威胁做出充分反应。 如果需要,他们可以调整或添加安全控制,以帮助提高检测能力。

红队的参与还通过考虑多个攻击面来改进定期渗透测试:

  • 技术基础设施: 就像在常规渗透测试中一样,红队将尝试发现技术漏洞,并且更加重视隐形和规避。
  • 社会工程: 通过网络钓鱼活动、电话或社交媒体瞄准人们,诱骗他们泄露本应保密的信息。
  • 物理入侵: 使用开锁、RFID 克隆等技术,利用电子访问控制设备的弱点来访问设施的受限区域。

根据可用资源,红队演习可以通过多种方式进行:

全面参与: 模拟攻击者的完整工作流程,从最初的妥协到实现最终目标。

假设违规: 首先假设攻击者已经获得了对某些资产的控制权,并尝试从那里实现目标。 例如,红队可以访问某些用户的凭据,甚至内部网络中的工作站。

桌面练习: 桌面模拟,红队和蓝队之间讨论场景,以评估他们理论上如何应对某些威胁。 非常适合进行实时模拟可能很复杂的情况。 

 

posted @ 2024-01-03 23:24  AllFalls  阅读(29)  评论(0编辑  收藏  举报