Red Team 指南-第1章 红队和红队概述

第1章 红队和红队概述

贡献者：Tony Kelly @infosectdk # 翻译者 BugMan

什么是红队？它来自哪里？

红队的起源是军事起源。人们意识到，为了更好地防御， 需要攻击自己的防御系统以发现薄弱点，然后可以更好地防御.演变成“战争游戏”，其中后卫或友军标为蓝色， 敌军是红色的。Red Teaming被视为将军评估其安全状况的有用工具，Red Team 因此担当了侵略者或“坏蛋”的角色。坏家伙不遵守规则但以可控的方式利用来模拟和模拟坏人的能力Red 团队合作可帮助防御者发现，响应和制止攻击，并加强和防御提高.尽管有“进攻性”，但首先要迈向信息安全领域 自然，红队是防守者。它也是使组织更好地防御敌对的侵略者，学习和提高。进攻是防御的秘诀。防御是进攻的计划因此，为了更好地防御，您需要知道如何攻击并停止该攻击。Red Teaming是最称为渗透测试的东西。在信息安全领域，Red Teaming或进攻性安全测试被视为测试组织。通常，许多组织雇用蓝队或防御者，仅测试他们的 为了合规目的，每年进行一次防御。这种思维方式可能会使组织离开容易受到攻击。为了挑战和评估他们的姿势，组织可以进行自己的测试，可以通过专门的内部红队功能或购买外部专家来进行 并根据专业知识部署

那么，蓝队和红队有什么区别？

红队

    然后，他们将对威胁采取行动，以一种本质上反应灵敏的方式，他们正在等待事情发生。红队积极进取，将模拟真正的攻击者，并尝试突破防御  未被发现。它们的作用是突出防御方面的漏洞并提高对

蓝队

    例如，Blue Team可能会使用漏洞扫描和测试来查找和查看补丁管理层，根据相关组织的不同，可能会将漏洞标记为假设漏洞 “嘿，如果我们不打补丁，可能会发生这种不好的事情”，并且不会受到重视。红队然而，他们也会在评估中使用这种方法，但是更进一步，他们将演示如何利用发现的漏洞，并将利用这些漏洞，并提供成功的证据。结合一份详细说明该漏洞，其风险评分可能性以及剥削的证据，这会带来更大的负担，并有助于获取东西

红队有两种使用方式

外部独立测试

内部团队测试

    首先让我们看看外部红队如何运作外部独立的笔测试团队可以根据不同的能力从事  客户要求，这些要求包括但不限于：

物理

    测试对建筑物的物理访问，包括对员工区域，基础设施的访问。 暖气/公用事业，数据中心

社会工程/模拟 破解 安全控制规避 社会工程学 网络钓鱼攻击 假冒 网络基础设施 防火墙绕过 路由器测试/配置 DNS足迹 代理服务器 漏洞利用 Web应用程序的入侵和利用–物理和云 无线 未经授权的访问点 默认密码 加密协议 应用程序测试–数据库–物理和云 操作系统构建标准 Iot安全 服务器 移动

外部笔测试人员可能在工作中或在完全模拟的攻击中使用“白盒”和“灰盒”， 在黑匣子模式下操作这意味着他们必须利用自己的技能和知识来 在这些情况下，他们以最少的信息作为外部攻击者渗

防御

    将利用上述所有方法以及更多方法来实现其目标。对于合规性练习，他们可能需要遵循参与测试特定内容的范围。  例如，他们可能会尝试提升权限以获取域管理员权限，测试工作站/服务器版本，
    检查[补丁](https://www.peerlyst.com/tags/patching)，密码破解和防火墙规则检查.内部团队可以与蓝色团队坐在一起，并且可以与他们紧密合作，或者 可以在自己的部门（例如审计）中运作，并以独立的名义运营 提供诚实的行为。他们可以以此身份测试现有的防御措施，审核/检查日志，

评估已发布的漏洞并测试和评估其风险和对其威胁 基础设施。内部内部团队将拥有额外的优势，因为他们将知道组织的基础架构已经存在，而独立测试人员可能会也可能不会 取决于参与范围。在某些情况下，也可能会有战争游戏。红色与蓝色。这些可以有不同的形式 取决于练习的范围和所追求的目标。

Red可能是一名外部攻击者，任务是利用最少的信息来部署Black Box 并负责从外部渗透公司并利用特定目标数据进行渗透。 这样的练习与模拟来自真实威胁参与者的真实攻击一样真实。 需要考虑到可以从此练习中获得的价值。 一个例子是，如果红队使用社交工程和其他方法来 渗透场所，评估其对蓝队的价值，以评估其网络防御能力 如果红队在第一时间 被实物保卫员轰隆声，则为零阶段。惊喜元素也将丢失，因此红色团队练习的价值可以 如果锻炼提前结束，就会迷路。 这确实取决于相关组织的业务。与之打交道的公司 防御数据和高价值IP可能会认真考虑其物理安全性，但是 可以作为一个单独的练习进行测试，然后可以提出假设的“假设”问题 然后，攻击者将以不同的部署方式进入现场。 这些部署可以采取两个方向–蓝队了解这些入侵者， 他们的预期目标是什么，以便他们可以监视并尝试阻止它们，或蓝队 不知道该练习。这提供了关于恶意内部人员的真实证明。 威胁可以做到。 这样的练习提供了测试事件响应的良好测试场景。 如果蓝队遭到红队的殴打，他们可能会感到自豪，但这些都是 重要的经验教训，练习。 在安全方面，我们有100％的时间阻止坏人，而坏人只需要 成功一次。因此，压力施加在蓝色上以成功检测。红色起关键作用 帮助Blue改进其流程和检测过程。