在不断变化的网络安全环境中,了解到企业的系统安全性并不如预期,这对首席信息安全官CISO和其团队来说往往是一次巨大的挑战。为了帮助减少这种困扰的经历,本文提供了一些实用建议。
红队已成为执行主动安全测试的标准,当你想了解各种安全投资包括技术控制、用户培训和响应程序如何在针对性攻击下共同作用时,可以利用红队的作用。不同于渗透测试,其目的是全面评估系统,亦不同于紫队,后者侧重于评估检测和响应能力,红队的目标是寻找从初步攻击点到达关键资产的攻击路径。
尽管红队演习在过去十年中有了很大的进展,许多高层管理者却难以真正从中获得预期的价值。以下是我建议的安全领导者在规划和补救过程中遵循的一些指导原则,以充分利用红队的作用。
我观察到红队出现问题的第一大原因是活动范围过于限制。在规划阶段,负责定义哪些系统、用户和网络不在范围内的人,很可能会限制红队可用的攻击路径。这往往导致活动不切实际、结果偏僻且团队资源未能充分利用。这一问题产生的主要原因有两个:对红队的不信任或恐惧。两者都导致了对情况的控制欲,通常表现为排除所有可能被视为风险的部分。
相反,领导者应默认采用完全开放的范围,仅排除那些因测试而离线可能对组织造成重大损害的系统,比如制造系统、与金融机构的SWIFT系统相关的系统、或高频交易基础设施。
为了在不人为妨碍活动的前提下移除限制性系统,可以设置检查点,证明红队能够访问敏感系统而无需直接接触。这意味着红队可以通过获取用户账户来验证其是否可以访问敏感系统,并证明凭证有效。
海鸥加速器正版官网最新版记住,攻击者不会在意你的活动范围。
这可能会有点争议,如果你限制红队严格模拟特定威胁者或行动,你几乎肯定不会从中获得最大价值。理论上,敌方仿真即使你的参与能够反映相关威胁者的战术、技术和程序看起来很有道理,但这常常忽略了许多逻辑缺陷,比如对威胁报告已知信息的依赖,以及假设攻击者不变的技术手段。
我认为,如果你的安全计划关注威胁中心测试,试着在其他项目中模拟特定威胁行为,或在红队活动的规划中使用威胁报告来指导,而不是严格限制。
例如,可以仅使用威胁报告中的宏观点来进行规划。假设威胁报告描述某个相关威胁者入侵了财务部门用户的Windows工作站,建立了持久性并开始搜索敏感文件共享并将数据外泄到AWS实例。这样,不会限制团队必须使用何种持久机制,或必须攻击哪种文件共享,而是保留了创造空间,同时将整体主题与实际威胁相关联。
在我早
