连续自动化红队测试 (CART) 如何帮助改善您的网络安全态势
任何一个组织都会遭受攻击,只是时间或早或晚。技术娴熟、资源充足、经验丰富的攻击者很可能是您最糟糕的网络威胁噩梦。庆幸的是,如果您的组织聘请了红队开展安全评估,那么这些道德黑客也可能成为您最可靠的伙伴。
开展红队测试是验证防御手段、发现漏洞和改善组织的网络安全态势的最现实方法。通过红队参与,可让您的蓝队有机会更准确地评估安全计划的有效性并进行改进。同时,它也是更多组织将弹性优先的思维方式引入其网络安全态势的方法。
阅读我之前的博客文章“红队测试 101:什么是红队测试?”,了解红队测试的益处、红队和蓝队的区别以及什么是紫队。
在安全测试中,红队是安全专业人员,扮演“坏人”来与作为防御者的蓝队对抗,测试组织的防御能力。
红队与真实网络攻击者一样技术高超,他们探测攻击面,寻找可能的入侵途径,获取立足点,横向移动,渗漏数据。相比之下,渗透测试更侧重于寻找敏感信息或可利用的安全漏洞,并测试网络安全防御措施的有效性,即能否获取对安全控制的访问权。
与网络罪犯不同,红队队员无意造成实际损害。相反,他们的目标是找出网络安全防御体系中的漏洞,帮助安全团队及时发现问题并改进防御措施,从而在实际攻击发生之前做好充分准备。
有一句名言是这样说的:“理论上,理论与实践是一致的。但实际上并非如此。”要想掌握预防和应对网络攻击的方法,最好的途径是模拟实战,开展“红队演练”。如果不通过实战来检验哪些安全策略真正有效,就很有可能把资源白白浪费在无效的技术和方案上。
只有在与试图击败您的对手直接对抗时,您才能真正了解哪些策略有效,哪些无效,哪些地方需要加大投入,哪些投入是浪费。
红队演习期间,组织会利用其安全控制措施、防御手段、实践和内部利益相关者与发起攻击模拟的专门对手进行对抗。这便是红队评估的真正价值所在。此类评估可为安全领导者提供针对其组织网络安全状况的真实评估,并深入了解黑客可能会如何利用不同的安全漏洞。毕竟,您无法向民族国家攻击者询问自己有何疏忽,或是他们的哪些手段非常行之有效,于是您很难获得实际评估该计划所需的相关反馈。
此外,每一次红队行动均会创造一个衡量和改进的机遇。我们可从较高层次了解一项投资(例如,安全工具、测试人员或意识培训)是否有助于减轻各种安全威胁。
此外,红队成员还可帮助公司从“发现并修复”的心态发展为“绝对防御”的心态。放任攻击者肆意攻击您的网络安全可能会令人感到恐惧,但黑客已在尝试开启您安全基础设施中的每个“门把手”。因此,最好的办法便是抢在他们之前找到未上锁的门。
据说,世上只有两种类型的公司—已被黑客入侵的公司和即将将被黑客入侵的公司。遗憾的是,事实大概就是如此。每家公司,无论其规模大小,均可从开展红队测试评估中受益。但要让红队参与带来最大效益,组织则须具备两点:
- 已有的安全计划
- 与红队一起演练的防御人员
您的组织引入红队服务的最佳时机便是您想要了解项目级问题之时。例如,想要泄露敏感数据的攻击者在触发警报之前会在我的网络中行进了多远?
当您的安全团队想测试其事件响应计划或培训团队成员时,红队测试也是一个不错的选择。
Red 是测试组织安全性及其抵御潜在攻击能力的最佳方法之一。那么,为什么没有更多的公司选择它呢?
红队测试虽然很有价值,但在当今快节奏、不断变化的环境中,红队的行动可能无法检测到新出现的重大变更。安全计划的有效性取决于最近一次的评估,一旦评估结果过时,就会导致安全盲区,削弱整个系统抵御风险的能力。
建立内部红队能力的成本很高,且鲜有组织能投入必要的资源。为真正发挥影响力,红队需要充足的人员来模拟持续存在且资源充足的威胁水平的现代网络犯罪团伙和民族国家威胁。红队应包含专门的安全运营成员(或道德黑客小组),以便负责目标定位、开展研究和攻击练习。
现在有很多第三方供应商可以与组织签约提供红队服务。这些供应商规模各异,从大型公司到专注于特定行业或 IT 环境的小型公司都有。虽然聘用红队服务比雇用全职员工更容易,但这样做实际上可能更昂贵,尤其是如果您经常这样做的话。因此,只有少数组织频繁地使用红队来获得真正的洞察。
持续的自动化红队测试 (CART) 利用自动化来发现资产、确定发现操作的优先级并(一旦获得授权)利用行业专家所开发和维护的工具和漏洞来发起真实攻击。
CART 专注于自动化,让您可以将精力集中在更有趣、更新颖的测试上,并将您的团队从重复性、易出错的工作中解放出来,避免因此产生的挫败感和倦怠。
CART 有助您以极低的成本主动且持续地评估整体安全状况。它有助于开展红队测试,并可为您提供针对防御性能的最新可见性。
IBM Security Randori 提供名为 IBM Security Randori Attack Targeted 的 CART 解决方案,通过持续主动测试和验证整体安全计划,帮助您清楚了解网络风险。
IBM 委托 Forrester Consulting 于 2023 年进行的 IBM Security Randori 总体经济影响研究发现,强化红队攻击模拟活动可节省 75% 的人力。
该解决方案的功能可在存在或不存在现有内部红队的情况下无缝集成。Randori Attack Targeted 还可提供有关防御有效性的洞察分析,从而确保即便是中型组织也能实现高级安全性。
此博客文章是 IBM Security Randori 团队“全面了解红队测试”系列文章中的一篇。