探讨：红队如何将渗透测试提升到一个新的水平？

漫画世界

渗透测试等攻击性安全措施可以帮助企业发现常见的漏洞和可利用的弱点，这些漏洞和弱点可能会使他们面临代价高昂的网络安全事件的风险。通过将白帽黑客与组织部署的基础架构进行对比，组织可以更好地了解他们应该首先修复的缺陷，即最有可能成为日常犯罪分子目标的漏洞。
然而，多年来，渗透测试服务已经发展到高度自动化和范围有限。凭借扫描工具和有限的交战规则，渗透测试人员倾向于只关注给定系统、平台或网络段中的技术漏洞。渗透测试通常在短时间内进行，其结果报告提供了有关架构师或开发人员可以对代码和配置进行的修复的建议。
根据许多安全专家的说法，虽然这些练习对组织绝对有价值，并且肯定满足许多合规性要求，但它们可能还不够。组织可能仍然无法全面了解其攻击面，包括攻击者如何利用社会工程和隐形攻击来破坏单个资产，在网络上进行透视，并对组织最重要的数字资产和数据进行粗暴对待。
定期的红队演习——无论是由内部团队、外部服务还是两者的组合——都是为了填补这一可见性空白。
我们最近与一些安全资深人士进行了交谈，解释了红队在成熟的安全计划中扮演的角色，以及为什么有必要将渗透测试提升到一个新的水平。这是他们不得不说的。
红队员表现得像对手
“红队演习的最终目标是尽可能像对手一样接近，并一寸一寸地利用弱点来实现主要目标。红队不是希望报告尽可能多的漏洞，而是寻找弱点，让他们到达他们想去的地方。
“这就是现实世界的攻击者所做的 - 寻找弱点，测试它们，看看它们能走多远，然后转向寻找新的弱点，使他们能够走得更远。
Marc Rogers，Okta网络安全执行董事。
它是无边界的
“红队是一种无边界的方法，你可以测试杀戮链的所有阶段，也可以进入物理领域进入建筑物和系统。你需要设身处地为敌人着想，像他们一样接近你的目标。
Amyn Gilani，4iQ产品副总裁
渗透测试和红队各有目的
“在渗透测试和红队参与之间做出选择都取决于首选结果。如果目的是测试网络系统和基础设施的已知漏洞 - 特别是确定这些漏洞是否可以被利用 - 那么渗透测试可以作为增值。
“如果目标是更多地了解企业的安全状况，例如员工对网络钓鱼的敏感性或测试围绕物理安全的控制，那么红队绝对可以为企业利益相关者提供有价值的数据。
Armond Caglar，Cybeta首席顾问
测试物理、社会和技术问题
“如果做得正确，红队可以找到跨越组织不同领域的问题 - 物理，社会和技术 - 并展示如何将这些问题结合起来导致事故。例如，在一次红队交战中，由于其中一个团队穿着伪装，我们破坏了一个设施，他们通过社会工程进入建筑物，插入网络，到达目标并泄露数据。
Mark Stamford，OccamSec创始人兼首席执行官
发现流程弱点
“虽然渗透测试可能仅限于网络钓鱼攻击或凭据喷射以查找漏洞，但红队参与将以此为起点，然后查看他们可以在客户端网络内走多远，几乎没有时间限制。
“通常，红队会发现可见性方面的差距或内部流程中断，允许横向移动或访问敏感数据。它还为 SoC 和 IR 流程提供了一个绝佳的机会，因为它们会分类警报或搜寻由红队引起的指标。
Justin Elze，TrustedSec研究和高级测试总监
解决您遇到问题的原因
“红队是渗透测试的补充。虽然渗透测试侧重于非常战术性的问题 - 症状问题，但红队首先解决了您遇到漏洞的原因。
“请记住，安全不仅仅是一个技术问题，它也是运营/程序和战略问题。您可以通过多种方式通过红队解决这些其他“领域”问题，通过进行基于场景的高级对手模拟、红蓝战争游戏、进行桌面练习或通过场景开发和执行进行特定和受控的利用。
丹·伍德，咨询副副总裁，福克斯主教。
增添人情味
“红队增加的一件事是人性化的。不幸的是，许多渗透测试的很大一部分，甚至是来自优秀审核员的测试，都是自动扫描。虽然这些人可以找到未打补丁的软件，这会带来明显的风险，但他们有时会报告误报。
“更糟糕的是，他们没有创造力去发现由一系列故障引起的更微妙的问题。人类审计员更善于捕捉这些。红队意味着对你的防御进行更人性化的定制测试，这可能不仅仅是简单的自动渗透测试。
根据K2 Cyber Security首席技术官兼联合创始人Jayant Shukla的说法：
红队和蓝队协作至关重要
“内部红队的另一个额外好处是，他们可以轻松地定期与网络防御者蓝队互动并为其提供建议，而不是一年一两次。这可能只是意味着更多的实践讨论和对调查结果的审查，但它也可以促进定期的紫色团队练习，其中红色和蓝色团队积极相互协作并共享信息以使两个团队都变得更好。这种协作测试有助于推动整个组织安全计划的持续改进，这在为真正的威胁和事件做准备时至关重要。
Curtis Fechner，Optiv Security 威胁管理技术总监
异花授粉 TTP
“红队熟悉他们所针对的人员、应用程序、系统和技术，以及它们之间的关系。他们可以从组织的一部分学习，并将其应用于另一部分。这允许TTP的异花授粉以及可以进行的安全学习和改进。
Samuel Bucholtz，Casaba Security联合创始人
识别逻辑缺陷
“具有可操作和调优 SOC 的组织可以使用此类参与来帮助识别流程和逻辑中的缺陷，而不是软件和硬件。更高级的技术，如数据泄露、建立命令和控制 （C2） 和逃避检测，在红队中比在渗透测试中更常见。与渗透测试不同，红队参与可能会持续数周或数月，而不是几天或几周。
Joe Gray，QOMPLX高级OSINT专家
将业务风险置于可视之中
“组织应该考虑拥有一个内部红色团队，因为随着时间的推移，这个团队不仅会更好地发现环境中的问题，而且还（在）对业务风险和影响的深入了解下做到这一点。他们还可以主动提出新的攻击并构建自动化，以定期模拟现实世界的攻击者可能对组织环境做些什么。
Nabil Hannan，NetSPI董事总经理。NetSPI是一家位于明尼阿波利斯的渗透测试/PTaaS公司
发现监控差距
“在大型网络中，存在极大的复杂性和对监控能力差距的担忧，内部红队可以帮助识别差距并协助使安全监控更加全面。在发现差距的地方，可以通过适当调整资源来应对威胁来解决。
--Ted Wagner，SAP国家安全服务首席信息官
参考：businessinsights