红队演练的目的是通过从对手到现有控制的全新视角来更好地防御蓝队。 测试和衡量组织人员、流程和技术的有效性。
脆弱性不仅来自过时的技术,也来自安全流程中的漏洞,或企业员工的安全低敏感度。攻击者利用这三个核心来探索或攻击您的数据。
从根本上来说,如果有人想进入,他们就会进入,接受这一点。 下一步就是如何检测和应对这些威胁。
在这个阶段,我们将选择目标、攻击场景、攻击目的、交战规则和白队。 白队由组织的高级成员组成,他们知道测验及保密性,以及系统受损谁可以叫停。
通常情况下,红队的参与首先是通过开放原始代码促进会(OSI)收集组织数据;从公共资源中以及通过人类智能(HI)收集数据;通过直接交互从个人处收集信息。
漏洞利用和植入通过以下方式被捆绑到可交付的有效负载中:
(i) 基于电子邮件的网络钓鱼攻击
(ii) 基于电话的网络钓鱼攻击
(iii) 携带自己的设备 (BYOD) 作为感染携带者。 或者
(iv) 非恶意; 只需充当一个标志,通知红队用户打开了带有特定附件的电子邮件
此阶段已经有了初步据点。 在此阶段常用技术可能包括:
(i) 滥用弱权限
(ii) 滥用信任关系
(iii) 过程操纵
(iv) 凭证转储
(v) 利用漏洞
执行攻击以捕获最终标志。 最终标志——评估开始前预先商定的目标:
(i) 域管理访问权限
(ii) 系统的本地管理访问权限
(iii) 数据渗透,旨在检查组织保护监控和出口保护措施的稳健性; 以及蓝队可以多快识别异常出站流量; 常用技术包括:绕过 Web 过滤和滥用松散的可移动媒体控制
我们在完整报告中将详细记录红队演习的结果,对改进工作提出结构性和全面性的建议。 蓝队将收到测试通知,甚至以此创建自己的蓝队报告。
非重新测试或验证测试。 它更常见于工作室模式。 目标:了解红/蓝组队的经验。