[[RedTeam Development and Operations]]

image-20230410213851129

1、概述

Red Team Development and Operations这本书的阅读笔记,Red Team Development and Operations是一本英文书,通过chatgpt进行了翻译,chatgpt翻译出来的效果确实可以,相比其他的机翻效果更好。

先把笔记贴出来,后期总结书中的具体内容,分开剖析。

2、Highlights

  • 许多组织花费大量时间和金钱来保护其重要数字资产。然而,大多数安全测试都是针对系统合规性或受限范围的审查,这会让这些组织产生虚假的安全感。与此不同的是,那些不仅评估技术,还评估人员和流程的组织,可以显著提高其安全姿态,并调整其有限的安全预算和资源,以保护最关键的资产。通过场景测试和红队技术,我们可以确定组织如何真正应对现实和有决心的威胁。- 乔·维斯特和詹姆斯·塔布维尔
  • 这本书有一个配套网站:http://redteam.guide。这个网站提供了书本内容的增补信息、模板、指南、实验以及其它实用的信息,以帮助读者更好地理解书本内容。
  • 组织是否真正创建了一个应对威胁的安全计划呢?
  • 在安全规划中是否考虑了威胁的存在?
  • 不幸的是,许多安全设计常常排除威胁或威胁视角,这种遗漏往往会导致风险的缓解或接受,而这些风险实际上并没有完全被了解或在传统的安全测试和审计中被显露。这种情况导致了一种严重的虚假安全感,而真正的威胁正是利用这一点来谋取利益的。
  • 我们必须理解威胁,以正确开发防御措施。
  • 威胁的定义:故意宣布要报复、伤害等行为的决心或意图,可能是基于某些行动或情况;威胁是可能出现麻烦的表示或警告,是一种威胁的人或事。
    • 可能导致事故发生的潜在原因,可能会对系统和组织造成危害。
    • 信息安全中的威胁包括任何可能未经授权访问、破坏、泄露、修改信息或阻止服务,对组织的运营(包括任务、职责、形象、声誉)、组织的资源、个人、其他组织或国家造成不利影响的任何情况或事件。
    • 威胁是可能对组织产生负面影响的事件。安全运营团队是否正在防御这种威胁?一种负面事件?
  • 将安全运营从“易受攻击”或“不易受攻击”的心态转变为以威胁行为为中心的方法,将极大地提高组织预防、检测和响应真实威胁的能力。深入了解TTP是从威胁的角度理解安全的开始。采用威胁行为来推动防御TTP的组织可以让威胁行为者的生活非常困难,甚至可以保护自己免受未知或零日攻击。
  • 威胁行动者的攻击并不总是按照传统安全测试采取的模式来进行,攻击不是扫描->利用->盈利。
  • 终端用户经常因被钓鱼攻击而受到指责。安全防御不应取决于用户的点击决策。如果受害于钓鱼攻击的用户导致系统范围的妥协,那么该用户已经具有提升特权或以其他方式妥协环境的潜力。
    • 不应把遭受钓鱼攻击这种事怪给终端用户,安全防御不应取决于用户的点击,不是终端用户的错误,而是目标环境中安全控制措施不足。
    • 用户教育只是安全操作中的一个防御手段。用户会点击链接,这是他们的工作!
  • 政策,程序和合规措施安全
  • 常见的误解是威胁只使用漏洞利用。这与事实相差甚远。补丁管理是综合安全计划中的关键因素,有助于减少攻击面。威胁者了解这一点,并可能改变他们的策略。这个概念在文本中被进一步探讨和讨论,被称为“非漏洞利用的利用”。
  • 安全行业非常依赖安全工具。不幸的是,很多人不知道这些工具是如何工作的。缺乏理解会导致调试不良和误配置。这些工具应该提高我们的安全防御和分析人员的效率和能力,而不是直接推动安全运营。这些只是工具。如果没有木匠,锤子和钉子是不能建造房子的。
  • 红队行动也可以被称为威胁仿真、威胁模拟、对手仿真、对手模拟,或者一些其他表达基于威胁的安全测试方法的短语。
  • 红色团队是使用战术、技术和程序(TTPs)模拟现实威胁的过程,旨在训练和衡量人员、流程和技术的有效性,用于防御环境。
  • 假设、偏见、误解和怀疑对环境的安全运营产生重要影响。红队通过挑战假设、无视规范和揭露停滞和偏见,提供了强大而诚实的内部实践和安全控制评估。使用红队测量的无偏分析衡量“实际情况”和“应当情况”之间的差距。红队技巧的应用提供无偏见的客观事实和对安全运营作为一个整体的深入理解。
  • 这段话指出了观念、偏见、误解和怀疑对环境的安全运营产生重大影响。红队通过挑战假设、无视常规、揭示萎缩和偏见,提供有力的、诚实的对内部实践和安全控制的评估。使用红队评估的无偏分析可以衡量“现状”与“应该如何”的差距。红队的应用可以提供无偏的基本事实和对安全运营整体的深刻理解。
  • 人们构建系统,人们对能力、功能和安全性做出假设。这些假设导致漏洞被威胁利用。
  • 桌面模拟演习——该活动涉及关键人员模拟情境以回答“如果”问题。实际的技术测试不会发生。可能的结果讨论并以公开讨论的形式进行探讨和检查。
  • 网络演练:一种红蓝方对抗的演练,旨在培训或评估员工和安全操作防御。这种演练可以从重点攻击威胁场景到完整的红蓝方对抗战游戏。
  • 红队测试并不仅关注单一的“漏洞”或“弱点”。在红队测试中,操作人员可能会发现未打补丁或错误配置的系统。这个漏洞可能被用于团队的利益,以便更全面地侵入网络,或从易受攻击的系统中枢转,以实现特定目标,也可能不被使用。虽然单个未打补丁或错误配置的系统可能给红队操作员提供入侵网络的手段,但它只是达成目标的手段。这是红队测试的一个重要区别。
  • 红队关注更广泛的画面,提供对目标检测和响应能力的深入了解。
  • 红队的目标
    • 1、量化评估用于保卫网络的员工、流程和技术的有效性。红色团队提供了一种衡量安全运营整体而不仅仅是关注技术控制的手段。
    • 2、训练或测量防御或安全操作。
    • 3、测试和理解特定威胁或威胁场景。
  • 红队和真实攻击者的区别在哪里?红队将提供报告或其他交付成果,以理解基于威胁的风险。有效使用红队的组织不需要等待并从真实入侵中学习。红队有助于分析系统的安全漏洞,这些漏洞可能不为人所知或不为人所理解。专业红队操作员使用的思维方式和思维过程可以突破严重削弱系统安全的常见假设。红队提出“如果”问题,以挑战系统的根本防御措施。有效地使用红队可以揭示困扰系统多年的安全漏洞,并允许组织开发高度有效的缓解解决方案。
  • 尽管红队带来巨大的好处,但它们使用起来可能具有挑战性,它们通常只是名义上使用。在一个项目期间执行的活动只不过是漏洞测试或渗透测试。输出可能只是一个简单的发现清单。红队必须能够思考并像所扮演的威胁一样行动。这些项目可能是对高级威胁或单一或直接威胁进行模拟,也可能是进行有限行动。
  • 公正无私的红队有助于衡量“现状”与“理想情况”之间的差距,从而揭示整个安全运营的真相。
  • 在早期的红队情景规划中,组织的安全领导描述了谁可以访问他们的会计系统。他们说:“会计部门的5个人可以访问会计系统”。在他们心中,这就是“现状”。在规划威胁情景时,您必须认为这是“应该是”的。这种情况是红队在专业和无偏见的方法中验证假设的完美机会。目标不是证明您可以“黑”入系统,而是了解“现状”与“应该是”的区别。
  • 挑战假设是红队操作的基本理念。
  • 易受攻击性评估、渗透测试和红队测试通常被错误地互换使用,均属于道德黑客的一般类别。这种分类也许可以在有关安全性的高级谈话中使用,但需要做出区分。如果不注意区别,安全专业人员及其客户将继续模糊这些评估类型之间的界限。通过随意定义术语,我们将给自己带来不利影响。这伤害了安全行业和专业人员自己。因此,更有必要确定定义的共识。 对评估类型的误解导致低质量的评估声称自己是高端的。在开始工作之前定义术语将有助于设定期望并提供客户所需的服务。
  • 漏洞评估是“系统性地检查信息系统或产品,以确定安全措施的充分性,确定安全缺陷,提供可以预测拟议安全措施的有效性的数据,并在实施后确认此类措施的充分性”。简而言之,漏洞评估是针对系统的分析,重点是发现漏洞并按风险进行优先排序。
  • 这就是风险评估
  • 渗透测试应被视为攻击路径验证的努力,其目标是减少攻击面。
  • 漏洞评估通常覆盖面广,但深度有限。
  • 红队战略明确关注培训蓝队或衡量安全运营如何影响威胁操作的目标。技术缺陷次于了解威胁能够如何影响组织的操作或安全运营如何能够影响威胁的能力。
  • 红队演练是使用战术、技术和程序(TTPs)来模拟现实世界的威胁,目的是培训和测量用于防御环境的人员、流程和技术的有效性。
  • 红队演练时间
    • 避免使用时间框架来限制范围非常重要。随意设定截止日期可能会对参与质量产生负面影响,因为人工的限制会对范围的延伸产生限制。
    • 建议范围持续时间为两至四周。这样可以方便估算个人参与度,并且可能是更大活动的一部分。在确定范围持续时间时,必须考虑目标的复杂性和规模。
    • 如何使时间和人员资源调配更有效益?考虑以下情 况:一项涉及目标网络 14,000个节点、使用三个操作员、预计工期为六周的项目。你可以通过减少操作员的数量来延长工期至八周,或通过增加员工来缩短工期至四周。规划时应该考虑到时间和人员弹性的限制,以在财务和时间等方面解决限制。然而,这种调整也有其极限和递减收益。过度的调整可能会影响实现项目目标的能力。我们建议为每项项目至少配备两名专门的操作员。
  • 一次性的演练可以根据需要简单或复杂。希望进行一次红队演练的组织可能不知道他们具体需要什么。有效的红队将会访问和质询组织的管理层以更好的确定需要和要求。如果红队不引导这种讨论,那么这次活动很可能会面临成为另一次漏洞评估或渗透测试的风险。一次性的演练是向组织介绍红队演练的良好方式,只要规划受到管理,并关注红队演练的目标和目的。
  • 一次性的演练可以根据需要,可以是简单或者复杂的。组织可能不了解他们所需要的一次红队演练的具体要求。为更好地确定需要和需求,有效的红队操作员将与组织进行沟通和咨询管理层。 如果红队没有引导这种对话,那么这次活动面临成为另一次漏洞评估或渗透测试的风险。只要规划受到管理,并专注于红队演练的目标和目的,一次性的演练是向组织介绍红队演练的良好方式。
  • 在规划中应该优先考虑直接影响组织的意图,而不是仅仅识别技术缺陷的意图。
  • ATT&CK分为战术、技术和程序。战术是威胁在操作中可能使用的战术目标。技术描述了威胁采取的行动以实现其目标。程序是执行操作所需的技术步骤。该框架提供了所有威胁行动的分类,无论底层漏洞如何。
  • 简单来说,红队探索“威胁故事”。一个场景为这个故事提供脚本,并驱动红队模拟威胁的方式。红队使用情节来塑造他们的行动并开发他们的TTP。所有这些方面结合在一起才能创建全面的威胁场景。
  • 请记住,红方团队不是像渗透测试一样寻找漏洞或者弱点,而是通过对企业的刺激和影响来全面测量安全运营水平。
  • 威胁仿真是模仿特定威胁的策略、技术和流程(TTPs)的过程,红队扮演代表性威胁来执行威胁仿真。任何类型的威胁都可以模拟仿真,例如:
    • 0day或定制攻击,这类攻击利用对未曾被公开披露的、未被修补的漏洞进行攻击,通常是由黑客团队或特定目标的团体发起的。由于这些攻击方法是新颖且不知名的,因此传统的防御措施可能无法防范这种攻击。
    • 从脚本小子到高级威胁攻击,攻击人员的技术水平差异很大,从仅具有一些简单的技能和技巧的脚本小子到高度技术熟练的专家都有。前者通常使用已经存在的工具和攻击技术,后者则能够制定出更加高级、高效的攻击方式。
    • 特定威胁工具或技术模拟,一些安全团队为了准备应对具体的威胁,可能会模拟特定的黑客工具或攻击手段,例如僵尸网络、DDOS、勒索软件、特定的恶意软件或APT等等。通过模拟这些威胁手段,安全团队能够了解并应对这些具体的威胁。
  • 通常情况下,不要将二进制文件直接放入系统中。首先要使用内置命令来达到目标。虽然这并非总是可行,但使用二进制文件之前必须经过审核、混淆和检测。
  • 永远不要下载(或从目标网络中移除)任何PII、HIPAA、PCI或其他受限制的数据集。一个好的经验法则是在日志中注明数据类型、位置、访问方法和受限数据的访问级别。
  • 利用并不是红队交战的终极目标。利用只是达到目的的手段;
  • 目标环境可能存在多个可利用的漏洞。仅应考虑那些能够实现参与目标和目的的漏洞进行利用。记录所有已识别的可利用漏洞,但只使用达到参与目标所需的漏洞。
  • 无论如何,当威胁使用有效的凭据时,它们看起来和感觉就像内部人员。对于蓝队来说,区分威胁和有效用户可能非常困难。这些都是安全运营能力的重要度量。
  • 红队可以测试威胁获取访问和窃取数据的能力。缺乏监控可能会允许威胁在不被察觉的情况下访问和窃取数据。有弱安全监控流程的蓝队将无法识别威胁造成的恶意流量或更改。防御工具很棒,但必须进行配置和测试以确保其按预期操作。记住,红队的主要角色是促进组织的防御姿态的改进。
  • 一个可靠的策略是将钓鱼邮件发送给一位值得信任的内部人员。这个人将会按照钓鱼的指示点击链接或提供信息。这样就可以在政治上安全的情况下发送钓鱼负载,同时让钓鱼邮件触及所有安全防御措施。这种模式基于用户会屈服于钓鱼攻击的假设。红队的挑战是绕过旨在保护用户免受自身伤害的安全防护措施。
  • 导致单个系统受到威胁的网络钓鱼可能是可以接受的。但导致整个组织陷入威胁的网络钓鱼是不可接受的,因为这需要在组织的各种控制措施(技术、政策、程序等)中出现多个失败。
  • 网络钓鱼攻击导致组织被入侵并非用户的过错,而是目标环境安全控制不足所致!
  • 在实际目的上,如果威胁有能力在网络中进行横向移动、提升特权、访问敏感信息、外传数据或造成运营影响,那么组织内的其他(或许所有)用户也可能具备这些能力,只是他们不知道如何做而已。
  • 红队经常需要定制代码,以确保其按照特定方式执行,或是删除工具可能留下的迹象。至少,优秀的操作员应该了解工具的功能、引入的影响和潜在风险。卓越的红队操作员能够完全掌握自己的行动,包括工具的使用方式、时机和必要性。
  • 红队通常不使用漏洞扫描器。这些工具通常很嘈杂,并且会产生大量的流量。红队的漏洞识别重点在于OSINT、慢速枚举、智能猜测或其他非侵入性方法。
  • 在运行漏洞扫描器之前应该谨慎,以减少曝光风险,如果需要进行更深入的扫描,可以从一个不被重视的区域上执行扫描,以保护更敏感的区域不被曝光。
  • 只因目标脆弱,并不意味着必须利用它!