Get best of the week

关于红色团队的5个神话



直接或间接参与信息安全的每个人都听说过“红色团队”一词。但是并不是每个人都完全理解这是什么:为什么我们需要对事件响应团队的有效性进行评估?防守队员的这种训练形式是什么?通常,Red Teaming会提供全面的渗透测试:它们提供经典的高级渗透测试,但价格却高出几倍。一些大公司正在寻找自己的Red Teaming专家,而且很可能也不太了解在帮助下要解决的任务。什么是Red Teaming即服务,什么不是Red Teaming?关于它下面。

历史参考


就像我们日常生活中的许多其他事物(胶带,微波炉,罐头食品等)一样,“红队”一词来自军工联合体。在越南战争期间,美国军事飞行员练习了空战技能并研究了自己的错误,从而提高了技能水平,而没有真正损失飞行员和飞机。但是“红队”这个名字很可能是在与苏联对抗时出现的。历史上,“红色”攻击和“蓝色”防御。


布达佩斯的警卫们也很喜欢这个词;)

什么是红队?


误区1:红色团队是一项全面的渗透或审计测试。


检查公司安全级别的工作主要有三种。

  1. (Vulnerability Assessment) – , . , . .
  2. (Penetrating Test) – ( ) -. . . , (, ) (, ).
  3. Red Teaming – , , . Red Teaming – . ( , ). IOC ( , , .), . , .

Red Teaming – , (TTP) , , .
由一组攻击者模拟攻击者的行为,可以训练事件响应的自动性,并使防御者对攻击者的工具和策略具有态势意识。

Red Teaming专注于集成安全操作,其中包括人员,流程和技术。 Red Teaming直接致力于训练防御团队并评估安全部门如何抵制对手的实际行动。在这种情况下,技术缺陷和漏洞是次要的-关键问题是:入侵者在他们的帮助下如何影响组织的活动。

红队的核心是敌人的场景。方案将“红队”与渗透测试区分开来,它们还确定了项目的进度。通过方案,您可以模拟特定对手(特定APT组)的行为或模拟可疑攻击者的行为。

红队使用攻击性安全方法和技术,但从本质上讲,它是防御性安全的一部分,也是SOC的一部分,因此,如果没有蓝队它就无法存在。

攻击团队是一个独立的专业人员小组,从对手的位置看组织的安全性。该小组找到了实现目标的替代方法,并向组织的防御者提出挑战,以测试他们是否准备就绪应对实际威胁。独立性可帮助攻击者准确无偏地评估安全级别,同时避免许多偏见。

误区二。一个组织可能有自己的内部红色团队


为了保持独立性,攻击团队必须在外部。而且,缺乏对受攻击系统及其保护的任何了解(项目早期获得的信息除外)将有助于更好地准备和制定正确的项目实施策略。内部红色分组只能采用有限形式,最好将其称为“紫色分组”(红色和蓝色的混合物)或“威胁搜寻”。这是公司内部的一组专家,可以对基础结构进行各种攻击,同时设置控件以检测此类攻击。但是外部小组应该评估有效性。

目标


像任何活动一样,红队也有目的。攻击者的目标可以不同(主要是他们没有违反法律和商业秘密),例如:

  • ;
  • ;
  • ;
  • ;
  • (DLP);
  • ;
  • .

№ 3. Red Teaming – ,


Red Teaming没有赢家或输家。攻击者的目标不是悄悄地捕获组织的服务器或网络。在最初阶段,攻击团队将默默行动,但一旦接近目标“手臂的距离”,它将开始“发出声音”以引起防御者的注意。如果他们在早期发现并阻止攻击者,他们将无法发现敌人如何进一步前进。但是,如果没有赢家和输家,那么如何确定成功呢?

成功


Red Teaming的成功与否取决于攻击团队对网络的捕获程度。当攻击团队实现其目标并且防御团队能够了解并提高组织的安全级别时,红色团队项目即告成功。

也可以通过回答以下问题来确定成功:

  • 防御团队检测攻击者多长时间?
  • 可用工具可以检测攻击者吗?
  • 当攻击团队的行动发出警报时,防御团队是否会遵循其TTP?
  • 防御团队可以检测与攻击指挥中心(C2)的通信渠道吗?
  • 防御者是否可以基于网络和主机上的危害指标(IOC)来编制攻击者资料?

知道了!


如何确定Red Teaming项目处于完成阶段(现在该写报告了)?一开始就讨论并批准了该项目。通常,有几种选择:

  • . . , Red Teaming , , . , .
  • . «» , «», .
  • 防守方发现了进攻方的行动。这里有一个陷阱。如果防御者团队在早期阶段检测到攻击,例如网络钓鱼攻击或与指挥中心(C2)的通信通道的安装,并大声喊“是的,您知道了!”,她正确地做出了反应-达到了目标。在这种情况下,有必要事先讨论防御者观察攻击者进一步行动的可能性。在这里,您已经可以监视到某个特定点,从而检查触发了哪些安全控制,哪些没有触发,并且需要其他设置。捍卫者可以随时断开通讯渠道并说“抓到!”,但是在此之前,他们将有时间熟悉新技术。

效益


Red Teaming的主要好处是什么?改变公司信息安全视角的能力:

  • 看到安全的真实状态和薄弱环节(在有人特别“赠予”他人之前,从外部进行);
  • 确定过程,程序和技术方面的差距(当然要消除);
  • 查明IS服务是否工作良好,没有发生实际事故的后果;
  • 更好地了解敌人的战术,方法,程序,并更有效地将预算用于信息安全;
  • 提高信息系统人员,管理人员和工作人员的意识。

如果Red Teaming项目不能提高安全级别,那么就没有意义。

误解4。只有成熟的安全组织才需要红色团队。


具有任何级别信息安全成熟度的组织均可使用Red Teaming。前提条件是要有一组防御者和流程来响应事件和威胁。

Red and Teaming将帮助入门级和成熟度较高的组织评估其与经验丰富的对手对抗的能力:了解哪种增长方式,要实施的安全控制措施。并发展自动机制以对事件做出正确响应。

对于具有成熟安全性水平的组织,这将是其技能的培训和发展。但是除此之外,他们将能够看到他们尚未遇到的新技术和战术。

组织架构


以下团队参与了该项目:

  • 红队(Red Team)-进攻。模拟对组织的攻击的专家。
  • (Blue Team) – . , .
  • (White Team) – . , CISO. , : , , . . , , ( ) (IOC), . , «» . , Red Team, , Blue Team. .

通常,白队与紫队混为一谈。

误区五:红色团队项目的成本很高


任何客户感兴趣的最重要的问题也许就是价格。Red Teaming的高昂成本是营销策略。难以理解的名称,信息安全行业的新趋势-所有这些通常导致服务价格的不合理上涨。

Red Teaming的成本是根据项目的持续时间计算的,而持续时间又取决于所选的方案。脚本越复杂,就需要更多的工作。
Red Teaming项目的持续时间是由于以下事实:攻击团队必须秘密行动,以免提前露面。项目平均工期约为12周。作为比较:全面的渗透测试,包括外部边界,内部基础设施,社会工程和无线网络分析,平均持续7周(如果承包商并行进行各个阶段,则可以更快地完成)。

甚至在主体开始之前,攻击团队都会进行被动侦察和数据收集,准备基础结构,并根据收到的信息最终确定或开发自己的工具。在项目结束时,还将组织客户员工的其他咨询。所有这些人工成本都计入总成本中。

从逻辑上讲,Red Teaming的价格将高于全面的渗透测试。但同时,当然,它的成本不会超过其十倍。

完成工作


该报告是工作证明的一种形式。但是,它的主要价值在于可以(并且应该)对其进行分析并用于提高公司的安全性。因此,其质量极为重要。

Red Teaming报告可能与渗透测试和安全分析报告完全不同。由于工作主要集中在脚本上,因此该报告基于操作的历史记录。

该报告将包含以下信息:

  • 关于安全状况和捍卫者面对实际威胁的意愿的高级别结论
  • ,
  • . , (IOC)
  • ,
  • ,
  • .

在项目结束时,双方代表可以举行几次会议。一种是指导组织,重点是项目的总体情况。 Red Teaming的结果可能会影响组织的未来工作:需要资金以消除发现的缺点或更改人员配置表。如果将Red Teaming的结果用于提高组织的安全性(否则,这种工作就没有意义),那么管理层的意识和兴趣就非常重要。

另一个会议是技术会议。这是攻击者,防御者和客户方项目协调者之间的双向信息交换。包括对该项目攻防团队的行动进行的详细高科技审查。允许双方在已实施的攻击的背景下提出问题并做出回应,获得改进建议和新方法的构想。这样就可以提高防守者和进攻球队的能力。这样的会议是项目的一部分,其收益是无价的。

结论


Red Teaming的主题非常广泛,无法在一篇文章中充分考虑。尽管如此,从上面我们可以得出一些基本的简短结论:

  • Red Teaming的主要好处是培训和知识共享。
  • Red Teaming
  • Red Teaming – ( )
  • Red Teaming – , , , .

: , , «-»

More articles:


All Articles