兵者,詭道也。故能而示之不能,用而示之不用,近而示之遠,遠而示之近。利而誘之,亂而取之,實而備之,強而避之,怒而撓之,卑而驕之,佚而勞之,親而離之。攻其無備,出其不意。此兵家之勝,不可先傳也。---《孫子兵法始計篇》
什麼是Red Team
下面是萬能WIKI的解釋
A red team is an independent group that challenges an organization to improve its effectiveness. The United States intelligence community (military and civilian) has red teams that explore alternative futures and write articles as if they were foreign world leaders.[citation needed] Little formal doctrine or publications about Red Teaming in the military exist.
以及
Penetration testers assess organization security, often unbeknownst to client staff. This type of Red Team provides a more realistic picture of the security readiness than exercises, role playing, or announced assessments. The Red Team may trigger active controls and countermeasures within a given operational environment.
「紅隊「最早指的是對特定機構(軍隊,政府)發起挑戰」行動」的獨立團隊, 目的是檢測整個系統的被攻擊風險和應對風險的能力。通過模擬攻擊挖掘內部缺陷,以預防外部的真實攻擊。其涉及的很多東西(spy,riots),與我們今天的企業安全管理和社會工程學攻擊有著非常相似的地方。雖然官方極少披露其相關信息, 但他們卻是真實的存在。
而在網絡安全領域, 「紅隊「的化身則是,那些擁有超凡攻擊技能的」黑客軍團」。
慢著,慢著, 你說滲透? 那小白門有話要說了:
既然 滲透==掃描 並且 紅隊==滲透, 那 紅隊==掃描
囧!
感謝」鐵盒子」,此時我竟無言以對。
科普前先讓我們看一個真實發生的案例:
以下內容經過防和諧處理。
在阿富汗戰爭期間,一隊美軍被派遣去清剿當地的塔裡班分子。但是這些kb份子在特戰隊員來之前,就悄悄的混入平民只中隱匿了起來。這時候,隊員們除了和村中的」長輩」溝通之外,就沒有更好的方法了。這時候,他們附近的一組RED TEAM(老SF)幫助了他們. 由於他們和當地的平民合作密切。所以想了一個很絕的方法,把這些kb份子逮出來。他們讓當地人和隊伍中的一些小個子穿上女人們的布卡,然後走在大街上與男人名幽會,暢談。這時候塔裡班就按耐不住,紛紛跳出來,要活剮了那可憐的」女人」.(塔裡辦的宗教信仰, 決定了他們無法忍受這種行為,這也恰恰成為他們的弱點。)
這個案例印證了我們開頭的那段話:」兵者,詭道也「.
網絡戰場與現實戰場比起來, 有過之而不及。
「RED TEAM「 (紅對挑戰), 涵蓋的範圍甚廣(傳統的滲透測試,屬於其中的一種具體實現)。意思形態上,是一種對抗的抽象。落地實施上是對抗團隊和 CERT (應急相應機構)的構建。
可以預想在需求程度上,ZF和重要組織對」RED TEAM「的需求是最緊迫的。 因為那是真正的生死攸關.
當你知道類似的手法可以消滅對手的時候, 你會不擔心它也能消滅你嗎?
正所謂」生於憂患,死於安樂「。國外在這一塊的重視很大程度上也源於其,深知其」害「.
FireEye 在前不久推出了 Red Team 業務.和傳統的滲透測試相比, 有兩個非常鮮明有趣的特點:
隨著新業務,新架構,飛速增長的今天, 統一化的安全防禦思路漸顯疲態. 而隨著安全挑戰的越發的多元化 , 安全定製化需求也隨之愈加突出. 因為任何一種技術都需要在特定的應用場景下才能發揮其真正的價值, 定製化恰好能將」安全技術「與」新興的安全需求「很好的關聯起來.
目標定製化
我們現在常見的滲透測試,只是對RED_TEAM的一個具像化實現. 大部分傳統滲透測試的目標是以獲取核心數據和重要權限為目的。
而RED_TEAM本質是博弈的抽象。具體的挑戰目標可以」百無禁忌」。
任何一種能威脅現有體系運作的攻擊場景都可以被作為」RED TEAM「的挑戰目標。而其成功率往往非常高!
內容定製化
這裡結合我們團隊當前的滲透方向和對未來網絡安全技術的趨勢總結了一個擴展版的,」RED_TEAM」 挑戰圖 。
其中的很多問題點, 在當今的網絡防禦體系中都沒有很好的解決方案。 社會工程學攻擊, 工控安全, IOT安全,業務安全,移動安全, 都是這兩年可預見的安全趨勢。
紅隊挑戰是一種持續性的安全理念. 一次性的滲透測試只能評估當下目標組織的安全能力。唯有持續性的安全挑戰才能將風險降到最低。
目前大部分安全防禦體系和安全標準都是基於傳統的防禦性思維制定的。但隨著基礎安全建設的日益完善的同時,傳統安全思維的短板也愈發凸顯,各種維度的攻擊思路推陳出新,手法日新月異,一成不變的防禦體系顯得如此的不堪一擊。一個非常好的例子就是, 正式滲透項目中社工的成功率幾乎接近於100%,而固有安全防禦體系對此幾乎毫無作用。
企業落地
組建」RED TEAM」和」BLUE TEAM」. 長期,持續的對企業資產做針對性的攻防對抗和安全監控. 關於團隊的構建方法和角色分配會在後續的文章中介紹。
構建應急相應中心(CERT可由紅藍隊員輔助), 遇到風險和攻擊後可快速修復漏洞並反制攻擊者。
在關鍵部門和位置搭配」觀察者」, 記錄」紅隊挑戰」過程中, 各個部門的相應情況和安全問題。 後續可對攻擊鏈條中每一個淪陷節點做針對性的安全建設指導和監督。 同時評估整個企業體系的安全防控能力(藍隊)。
僱傭外部 「RED TEAM」 做模擬攻擊. 定製攻擊目標, 並記錄測試過程中, 整個組織的安全響應能力和防禦能力。
團隊側寫
"無論你凝不視凝視深淵, 它都在凝視著你" !
"成王敗寇. NOBB"
"別給我戴這些**帽子, I****Y"
"全部淪陷, 下班"
"好樣的, 你們耕種, 我們掠奪"
"Art is Life"
"這是致命的, 先生"
"********************"
這把雙刃劍, 你沒的選。