什么是红队?

2024 年 11 月 7 日

5 分钟阅读

作者

Evan Anderson

Chief Offensive Strategist, Randori, an IBM Company

Matthew Kosinski

Enterprise Technology Writer

什么是红队?

红队测试是测试网络安全有效性的流程,道德黑客在过程中进行模拟和非破坏性网络攻击。模拟攻击可帮助组织识别系统中的漏洞,并有针对性地改进安全运营。

如今,网络攻击的速度比以往任何时候都快。根据 IBM X-Force Threat Intelligence Index 的数据,过去几年中,执行勒索软件攻击所需的时间缩短了 94%,从 2019 年的 68 天缩短到 2023 年的不到四天。

红队运营为组织提供了一种在威胁行为者利用安全风险之前主动发现、了解和修复安全风险的方法。红队采用对抗性视角,这有助于他们识别真正的攻击者最有可能利用的安全漏洞。

即使面对日益加剧的网络威胁,红队测试的主动对抗方法也能让安全团队加强安全系统并保护敏感数据。

红队测试是如何进行的?

红队测试工作是一种道德黑客行为,其中安全专家模拟真实攻击者的计策、技术和程序 (TTP)。

道德黑客与恶意黑客具有相同的技能并使用相同的工具,但前者的目标是提高网络安全性。红队成员和其他道德黑客遵循严格的行为准则。他们在攻击组织之前会获得组织的许可,并且不会对网络或其用户造成任何真正的伤害。

实际上,红队利用攻击模拟来了解恶意黑客如何对系统造成真正的破坏。在红队测试演习中,红队成员的行为就像他们是现实世界中的对手。他们充分利用各种黑客方法、威胁模拟工具和其他计策来模仿熟练的攻击者和高级持续性威胁。

这些模拟攻击有助于确定组织的风险管理系统(人员、流程和技术)抵御和应对不同类型的网络攻击的能力。

红队演习通常有时间限制。测试可能持续几周到一个月或更长时间。每次测试通常从对目标系统的研究开始,包括公开信息、开源情报和主动侦察。

接下来,红队对系统攻击面的各个点发起模拟攻击,探索不同的攻击媒介。常见目标包括:

在这些模拟攻击中,红队常与蓝队对峙,而蓝队则会充当系统的防御者。红队试图绕过蓝队的防御,并记录后者的具体防御手段。此外,红队还会记录它发现的所有漏洞,以及它可如何处理这些漏洞。

红队测试演习以最后的信息读出作为结束,红队与 IT 和安全团队会面,分享其发现结果并就漏洞修复提出建议。

红队测试行动中使用的工具和技巧

红队活动采用与现实世界中的攻击者相同的工具和技术来探测组织的安全措施。

红队测试中常用的一些工具和技术包括:

  • 社会工程使用网络钓鱼短信钓鱼、语音钓鱼、鱼叉式网络钓鱼鲸鱼网络钓鱼等计策来获取敏感信息,或从毫无戒心的员工处获得对公司系统的访问权限。

  • 物理安全测试:组织的物理安全控制措施测试,包括监控系统和警报。

  • 应用程序渗透测试:测试 Web 应用程序,查找因编码错误而引发的安全问题(如 SQL 注入漏洞)。

  • 网络嗅探:监控网络流量,获取 IT 系统信息,如配置详情和用户凭证。

  • 污染共享内容:将包含恶意软件或其他危险代码的内容添加到网络驱动器或其他共享存储位置。当毫无戒心的用户打开时,恶意代码就会运行,从而使攻击者能够横向移动

  • 暴力破解凭据:通过尝试以前被入侵的凭据、测试常用密码列表或使用自动脚本,系统地猜测密码。
男子正在看电脑

增强安全情报

每周在 Think 时事通讯中获取有关安全、AI 等的新闻和洞察分析,从而预防威胁。 


持续自动化红队测试 (CART)

红队测试可以帮助加强组织的安全状况并提高弹性,但也可能给安全团队带来严峻挑战。两个最大的挑战是进行红队演习的成本和时间。

在典型组织中,红队的参与充其量只是定期进行,这只能在某个时间点上提供对组织网络安全的洞察分析。问题在于,在测试时企业的安全状况可能很强大,但可能不会始终保持这种状态。

持续自动红队测试 (CART) 解决方案使组织能够持续实时评估安全状况。CART 解决方案采用自动化来发现资产,确定漏洞优先级,并使用行业专家开发和维护的工具和利用手段进行攻击。

通过将大部分流程自动化,CART 可以让红队测试更容易进行,并使安全专业人员能够专注于有趣和新颖的测试。

红队测试的好处

红队演习可帮助组织了解攻击者对其系统的看法。这种视角使组织能够看到其防御措施如何抵御现实世界的网络攻击。

模拟攻击将安全控制、解决方案甚至人员与专门但非破坏性的对手进行对抗,以确定什么有效或无效。红队测试可以让安全领导者对组织的安全程度进行真实的评估。

红队测试可以帮助组织:

  • 识别和评估攻击面(系统可能被渗透的点)和攻击路径(攻击开始时可能遵循的步骤)中的漏洞。

  • 评估当前的安全投资(包括威胁检测、预防和响应能力)在应对实际威胁时的表现。

  • 识别以前未知或意外的安全风险,并做好相应准备。

  • 优先改进安全系统。

红队、蓝队与紫队

红队、蓝队和紫队通力合作,共同提高 IT 安全。红队进行模拟攻击,蓝队承担防御角色,紫队促进两者之间的协作。

红队

红队由安全专业人员组成,通过模仿现实世界中攻击者使用的工具和技术来测试组织的安全性。

红队试图绕过蓝队的防御,同时避免被发现。该团队的目标是了解数据泄露或其他恶意行为如何成功攻击特定系统。

蓝队

蓝队是内部 IT 安全小组,负责保护组织的系统和敏感数据免受攻击者(包括红队成员)的侵害。

蓝队不断致力于提高其组织的网络安全性。他们的日常任务包括监控系统是否存在入侵迹象、对警报进行调查以及进行事件响应

紫队

紫队不是单独的团队,而是存在于红队队员和蓝队队员之间的合作分享过程。

红队和蓝队成员都致力于提高组织的安全性。紫队的作用是鼓励两个团队之间以及与利益相关者之间的有效沟通和协作。

紫队经常提出缓解战略并帮助推动团队和组织的网络安全持续改进。

渗透测试与红队测试

红队测试和渗透测试是评估系统安全性的不同但有重叠的方法。

与红队测试类似,渗透测试使用黑客技术来识别系统中可利用的漏洞。主要区别在于,红队测试更注重场景。

红队演习通常在特定时间范围内进行,它们经常让进攻型红队与防守型蓝队进行对抗。其目标是模拟现实世界对手的行为。

渗透测试更类似于传统的安全评估。渗透测试人员针对系统或资产使用不同的黑客技术,以查看哪些有效、哪些无效。

渗透测试可以帮助组织识别系统中可能被利用的漏洞。红队测试可以帮助组织了解其系统(包括防御措施和安全控制)在现实世界的网络攻击场景下的表现。

值得注意的是,渗透测试和红队测试只是道德黑客帮助改善组织安全状况的两种方法。道德黑客也可能会进行漏洞评估,分析恶意软件和其他信息安全服务。

相关解决方案
企业安全解决方案

部署源自最大企业安全供应商的解决方案,实现企业安全计划的转型。

深入了解网络安全解决方案
网络安全服务

通过网络安全咨询、云端和托管安全服务实现业务转型并有效管理风险。

 

    深入了解网络安全服务
    人工智能 (AI) 网络安全

    使用人工智能驱动的网络安全解决方案提高安全团队的速度、准确性和工作效率。

     

    深入了解 AI 网络安全
    采取后续步骤

    无论您需要的是数据安全、端点管理,还是身份和访问管理 (IAM) 解决方案,我们的专家都随时准备为您提供支持,助力企业建立强大的安全环境。 在网络安全咨询、云端和安全托管服务方面的全球行业领导者的帮助下,推动业务转型并有效管控风险。

    深入了解网络安全解决方案 发现网络安全服务