揭秘渗透测试中的特殊队伍(一)-红队
在渗透测试领域中,红队通常扮演技术进攻的角色,蓝队扮演技术防御角色, 而紫队主要是总结红蓝队的技术特点,通过技术协作的方式来测试和改进检测与防御机制,提高攻击和防御技能, 实现在攻与防的对立统一中达到新的安全整体标准。
一.红队简介(RED TEAM)
20世纪70年代,美国军方为了提高部队战斗力,成立“军事红队”,通过模拟敌军视角进行对抗演习,90年代后期,网络安全领域开始借鉴红队的概念,成立安全“红队”,负责进行渗透测试等,2000年美国国土安全部成立FIRST红队,专注关键基础设施的安全,2004年英国政府通信总部成立红队,2010年后,红队广泛应用于企业网络安全建设,近几年更是见证了红队服务的日益成熟与专业化,部分大公司建立自己的内部红队,红队演练也逐步演变为商业化服务, 第三方红队公司应运而生,各行业纷纷采用红蓝对抗机制提高网络安全能力,未来红队将进一步专业化更多运用新技术,例如:AI技术。
二.进攻性安全
进攻性安全(Offensive Security)是信息安全领域的一种重要安全理念, 它的核心思想是通过使用与真实攻击者相似的方法和技术来增强系统的防御能力。
相比传统的防御性安全观点, 进攻性安全提供了更全面和主动的策略,可以大大提高系统面对真实威胁的抵抗能力, 许多组织都在采用进攻性安全理念来实现更好的网络防御。
进攻性安全要做的事情通常包含如下:
三.反蓝队
反蓝队是网络攻防演练中代表攻击方的红队的一种称呼,与以防御为主的蓝队不同,反蓝队的主要目的是发现系统和网络的漏洞,模拟黑客入侵的行为。
通过模拟真实的黑客攻击行为,反蓝队可以帮助组织评估整体安全防御能力,发现漏洞,改进防御策略。反蓝队与蓝队的对抗演练,可以持续提高网络安全水平。
以下是反蓝队工作中要做的一些细节:
四.规避防护与检测能力
规避防护与检测能力是红队在网络攻防演练中常用的重要手段,其目的是验证防御系统的有效性。
通过各种技术手段的综合运用,红队可以验证防御系统在什么条件下会失效,从而提高整体的网络安全性,这需要防蓝两边的不断博弈与提高。
以下是主要的规避技术和手段:
五.劫持证书
在网络攻防过程中,劫持证书是红队常用的进攻技术之一,目的是获取网络系统的高权限访问能力。
通过劫持各类证书,红队可以取得与合法用户类似的访问权限,进而渗透受保护的内部系统,这需要蓝队采取严密的证书管理来防范。
主要的劫持证书手段包括:
六.权限提升
在网络渗透测试和攻防演练中,权限提升是红队常用的进攻技术之一,目的是获取系统的更高权限访问能力。
通过各种技术手段不断获取更高的权限,红队可以模拟真实攻击者进入系统内核和控制中心,这需要蓝队进行严密的权限控制和管理来防御。
主要的权限提升手段包括:
七.系统间横向移动
在网络渗透测试和红蓝对抗演练中,攻击者会利用各种技术在受害系统内网进行横向移动,以发现和接管更多用户。
红队通过在内网足迹的不断扩大,可以测试网络分割与控制的有效性,使蓝队见识到零信任安全的重要性,这需要各个系统实施严密的横向移动防御。
主要的横向移动技术包括:
八.ACE是红队
在网络攻防演习中,ACE通常被用来代表红队,红队在演习中所扮演的典型角色有:
-
攻击者(Attacker):发起攻击,模拟黑客入侵行为。
-
评估者(Evaluator):评估蓝队防御能力,发现系统漏洞。
-
挑战者(Challenger):与蓝队进行对抗,持续检验防御措施。
ACE这个首字母缩写正符合红队的这些角色属性:
A(Attacker):表示攻击者身份。
C(Challenger):表示持续挑战蓝队的性质。
E(Evluator):表示评估蓝队能力的作用。
因此,将红队称为ACE可以准确反映红队在网络攻防演习中所承担的多方面角色和职责,这有助于各方更好地理解红蓝对抗演习的目的。