红队101：什么是红队？

红队可以定义为通过对组织应用对抗性视角来消除防御者偏见来测试网络安全有效性的过程。

当您的组织授权道德黑客针对您自己的系统模拟真实攻击者的策略、技术和程序 (TTP) 时，就会出现红队。

它是一项安全风险评估服务，您的组织可以使用它来主动识别和修复 IT 安全漏洞和弱点。

红队利用攻击模拟方法。 它们模拟复杂攻击者（或高级持续威胁）的行为，以确定组织的人员、流程和技术抵御旨在实现特定目标的攻击的能力。

漏洞评估和渗透测试是另外两种安全测试服务，旨在研究网络中的所有已知漏洞并测试利用它们的方法。 简而言之，漏洞评估和渗透测试对于识别技术缺陷非常有用，而红队练习则提供了对整体 IT 安全态势状态的可行见解。

通过进行红队演习，您的组织可以了解您的防御措施抵御现实网络攻击的能力。

正如 IBM Security Randori 产品和黑客运营中心副总裁 Eric McIntyre 所解释的那样：“当您进行红队活动时，您可以看到反馈循环，了解攻击者在开始触发您的某些防御之前将进入您的网络多远。 或者攻击者在你的防御中发现漏洞，而你可以在哪里改进你的防御。”

在控制、解决方案甚至人员方面，找出哪些措施有效、哪些无效的有效方法是让他们与专门的对手进行对抗。

红队提供了一种评估组织整体网络安全绩效的强大方法。 它可以让您和其他安全领导者对您的组织的安全程度进行真实的评估。 红队可以帮助您的企业执行以下操作：

• 识别和评估漏洞
• 评估安全投资
• 测试威胁检测和响应能力
• 鼓励持续改进的文化
• 为未知的安全风险做好准备
• 领先攻击者一步

渗透测试的主要目标是识别可利用的漏洞并获得对系统的访问权限。 另一方面，在红队演习中，目标是通过模拟现实世界的对手并在整个攻击链中使用策略和技术（包括权限升级和渗透）来访问特定系统或数据。

下表标记了笔测试和红队之间的其他功能差异：

红队、蓝队、紫队的区别

红队 是攻击性安全专业人员，他们通过模仿现实世界攻击者使用的工具和技术来测试组织的安全性。 红队试图绕过蓝队的防御，同时避免被发现。

蓝队 是内部 IT 安全团队，负责保护组织免受攻击者（包括红队成员）的攻击，并不断努力提高组织的网络安全。 他们的日常任务包括监控系统的入侵迹象、调查警报和响应事件。

紫色队 实际上根本不是团队，而是红队队员和蓝队队员之间存在的合作心态。 虽然红队和蓝队成员都致力于提高组织的安全性，但他们并不总是互相分享自己的见解。 紫色团队的作用是鼓励两个团队之间的有效沟通和协作，以不断改进两个团队和组织的网络安全。

红队将尝试使用现实世界攻击者所使用的相同工具和技术。 然而，与网络犯罪分子不同，红队成员不会造成实际损害。 相反，它们暴露了组织安全措施中的漏洞。

一些常见的红队工具和技术包括：

• 社会工程学： 使用网络钓鱼、网络钓鱼和语音钓鱼等策略来获取敏感信息或从毫无戒心的员工那里获取对公司系统的访问权限。
• 物理安全测试： 测试组织的物理安全控制，包括监视系统和警报。
• 应用渗透测试： 测试 Web 应用程序以发现由编码错误（例如 SQL 注入漏洞）引起的安全问题。
• 网络嗅探： 监视网络流量以获取有关环境的信息，例如配置详细信息和用户凭据。
• 污染共享内容： 将包含恶意软件程序或漏洞利用代码的内容添加到网络驱动器或其他共享存储位置。 当毫无戒心的用户打开时，内容的恶意部分就会执行，从而可能允许攻击者横向移动。
• 暴力破解凭证： 例如，通过尝试来自违规转储或常用密码列表的凭据来系统地猜测密码。

连续自动红队 (CART) 是一个游戏规则改变者

红队是弹性的核心驱动力，但它也可能给安全团队带来严峻的挑战。 两个最大的挑战是进行红队演习所需的成本和时间。 这意味着，在典型的组织中，红队参与最多只能定期进行，这只能在某个时间点提供对组织网络安全的洞察。 问题在于，您的安全状况在测试时可能很强，但可能不会一直保持这种状态。

实时进行持续的自动化测试是从攻击者的角度真正了解您的组织的唯一方法。

IBM Security® Randori 如何让自动化红队变得更容易使用