当涉及到网络安全时,通常没有组织是100%安全的。 即使在具有先进安全技术的组织中,关键要素(例如人员,业务流程,技术和关联的交叉点)中也可能存在问题点。
有许多用于检查安全级别的服务:分析系统和应用程序的安全性,渗透测试,评估人员对信息安全问题的意识等。 但是,由于网络威胁格局的不断变化,新工具和犯罪集团的出现,出现了新的风险类型,这些风险很难使用传统的安全分析方法来识别。
在这种背景下,最现实,最先进的安全测试方法
我们认为, 红色团队格式的网络指令是对信息系统安全性,事件响应专家的准备情况以及基础架构对新型攻击(包括APT (高级持久威胁,复杂持久性威胁,针对性网络攻击)的抵抗力)的持续评估。 通过进行红队合作并练习对受控攻击的响应,内部安全团队可以增强其检测以前未检测到的威胁的技能,从而在攻击的早期阶段阻止真正的攻击者,并防止对企业造成物质和声誉损害。
Group-IB审计与咨询部首席分析师Vyacheslav Vasin( vas-v )说,关于Red Teaming格式的网络订单如何进行。
红队。 这是什么
Red Teaming是一种全面,最现实的方法,可以使用黑客团体的先进方法和工具来测试组织抵抗复杂网络攻击的能力。
该练习的主要思想不仅在于确定使用标准测试方法未发现的潜在弱点,而且还评估组织预防,检测和响应网络攻击的能力。
红色团队帮助组织了解:- 安全如何保护重要资产
- 警告监控系统配置是否正确
- 如果攻击者的用户资源受到威胁,则内部基础结构中的攻击者可以利用哪些机会
因此,一切都应该真实且最大程度地切合实际:不通知客户的安全服务(蓝队)开始工作,以便红队可以基于特殊的威胁分析对真实攻击者的行为进行建模,并评估“破坏”基础架构的可能性。
Red Teaming格式的网络订单对于信息安全水平成熟的公司而言最为有效。 无论是通过任何可用的方式获取对网络节点的访问还是对敏感信息的访问,它们都不会受到暴露时间的限制,并且专注于实现目标。
Red Teaming的主要方案(对于每个客户而言都是唯一的)取决于设定的目标。
常用方案包括:- Active Directory林捕获
- 访问最高管理设备
- 模仿盗窃敏感的客户数据或知识产权
阅读团队合作与合作 渗透测试
尽管Red Teaming和渗透测试使用了类似的网络攻击工具,但两项研究的目标和结果却截然不同。
红队Red Teaming流程模拟了对整个组织的真实和针对性的攻击。 这种方法的优点是不断研究信息系统以实现目标。 如此深入的检查可以全面了解基础架构的安全性,员工的意识以及在遭受实际攻击时组织的内部流程是否有效。
渗透测试在本研究过程中,渗透测试专家试图利用检测到的漏洞并增加其特权,以便评估这些影响可能带来的风险。 此测试不测试是否准备检测和响应信息安全事件。
以下是Red Teaming和渗透测试之间的一些差异:
Group-IB的经验表明,红色团队和渗透测试可以完美地互补。 每次研究对于组织而言都是重要且有用的,因为在这样的组合测试过程中,可以评估系统的被动安全性和整个公司的主动安全性。
Red Teaming对各种形式的测试(例如,代码分析,渗透测试等)进行了补充,并且随着组织的发展而纳入信息安全验证计划中。
以下是与Red Teaming类似的目标和研究结果的比较:
我们的方法
项目活动
Red Teaming格式的研究分为几个连续的阶段。 为了提高效率,考虑到有限的时间,主要阶段中的某些动作可能会更早开始或与其他动作并行执行。 因此,在实践中,“红色团队”过程并非如此清晰的线性步骤顺序。
以下是Red Teaming工作的主要阶段:
在扰流板下可以找到有关每个阶段的更多信息:
1.准备阶段持续时间:4至6周
评估特定组织的当前需求和工作量
在此阶段,确定了进行红色团队合作的关键点,并宣布了该项目的正式启动:
- 由客户和承包商代表组成的工作组
- 确定工作范围(持续时间,数量,禁止采取的行动等)
- 交互协议和格式一致
- 根据当前项目的需要组成红队
2.红色团队合作的阶段持续时间:从12周以上
在这个阶段,红队:
- 以威胁情报格式产生情报
- 根据关键的系统功能和威胁模型开发方案
- 制定计划并尝试攻击商定的目标(包含一个或多个关键功能的资产,系统和服务)
该阶段分为两个主要阶段-网络情报和场景开发以及Red Teaming格式的测试。
3.最后阶段持续时间:2至4周
红色团队测试已完成,并且在所有步骤都已成功完成或工作分配的时间到期后进入此阶段
在这个阶段:
- 红队准备一份报告,描述有关威胁发现和响应的工作,结论和观察,并将其传递给蓝队
- 蓝色团队根据红色团队报告的时间顺序准备自己的报告,描述所采取的行动
- 流程参与者交换结果,对其进行分析并计划进一步的步骤,以提高组织的网络稳定性
红色团队合作过程涉及的直接方是:
- 白色团队是负责的经理,客户业务部门的必要代表以及需要了解有关工作的安全专家数量
- 蓝队-客户安全服务,用于信息安全事件检测和响应
- 红色团队是负责任的经理和专家,可以针对性地模拟攻击
方法论
为了模拟针对既定目标的攻击,IB组专家使用了一种经过验证的方法,该方法包括国际惯例并适应特定的客户,以便考虑组织的特征而不破坏关键业务流程的连续性。
Red Teaming格式的测试生命周期遵循“网络杀伤链”的模型,并具有以下概括的步骤:侦察,装备,交付,操作,安装,获得控制权并针对目标采取行动。
IB红队案例之一
访问活动目录
客户是生产部门中的一组公司。
目的是获得对公司总部Active Directory域控制器的管理访问权限。
在工作过程中,发现客户对总部的所有类型的访问都使用多因素身份验证(智能卡),包括远程和外部Web服务。 禁止使用社会工程学。
工业公司的通用基础架构:
IB组的行动和结果IB集团的专家进行了彻底的勘察,确定总部已收购了14家公司,并在Red Teaming运营期间将其重组为子公司。 红队设法获得了对集团中所有公司进行攻击的许可。 接下来,包括域控制器branch1.domain.com在内的一家保护薄弱的子公司被“黑客入侵”,并且在分支机构本地网络之间发现了VPN(站点到站点全网状VPN)。
该客户为所有分支机构构建了一半的Active Directory域林,但是他不能很好地增强外部网络(请参见下图)。
网络连接受到良好的保护。 Active Directory林域之间的信任机制不适用于branch1.domain.com域上的控制器。 攻击已分发到branch2.domain.com,在那里获得了域管理员权限。
最初尝试“破解” Active Directory:
由于使用了Kerberos协议本身的实现功能,红队使用Kerberos“金票”攻击,绕过了使用“低级”智能卡的保护措施。 通过操作Active Directory域之间的信任机制,团队成功地在总部获得了管理权限。
在总部访问Active Directory:
因此,总部的域控制器被“黑客攻击”。
IB组专家已经实现了Red Teaming项目的目标。
总结一下
阅读所有材料后,仍然可能会出现一个问题,为什么要使用“网络订单”? 我再说一遍,通过进行红色团队合作和对受控攻击做出反应,内部安全团队可以提高其检测以前未检测到的威胁的技能,从而在攻击的早期阶段阻止真正的攻击者,并防止对企业造成物质和声誉损害。 另外,作为培训的一部分,可以举行活动以联合再现并打击攻击。
Red Teaming格式的测试使组织可以了解网络安全的优势和劣势,还可以使您在此领域中定义改进计划,以实现业务流程的连续性和宝贵数据的保护。
通过将Red Teaming作为其安全策略的一部分,公司可以衡量一段时间内的安全改进。 这种可测量的结果可用于其他信息安全项目的经济可行性,并引入必要的保护技术手段。
完整的Group-IB Red Teaming分析评论可在此处找到。