为什么企业急需红队渗透测试？

转载

51CTO文章精选 2021-12-18 14:31:33

传统网络安全技术用静态或被动防御的思路来做安全，但被骇客入侵的情况时有发生，所以出现了“以攻促防”的概念，诞生了红队渗透测试。红队（Red Team），即安全团队最大化模拟真实世界里面的入侵事件。它采用入侵者的战术、技术、流程，以此来检验蓝队（Blue Team）的威胁检测和应急响应的机制和效率，最终帮助企业真正提高整个安全建设、安全运营、安全管理等能力。

为什么企业急需红队渗透测试？_网络安全

红队跟传统的渗透测试相同之处，都是采取攻击技术来发现安全问题。不同的是，红队考虑的范围更广，兼顾技术和业务需求，同时也关注人、组织、管理、规范等，测试范围变得更为广泛，站在企业组织架构来全盘考虑。另外，红队更贴近真实。在合法合规的前提下，在充分沟通的前提下，其授权范围会更广，真实程度更贴合实战。简言之，红队其实就是一种更高层次更高级别的渗透测试。

为什么企业急需红队渗透测试？这几年，我们经常提到一个词，「以攻促防」。简单来说，就是你买的设备、你招的人、你定的规范，到底好不好？到底有没有用？一句话：是骡子是马？拉出来溜溜！这句话放在当前网络空间安全领域，仍然是非常适用的。那么，到底怎么溜？于是有了当今网络安全的一大主角 - 红队。????????????《网络安全 | 红队渗透测试》11月16-17日 2天直播

☑ 网络安全进阶 ☑ 渗透测试入行

特别占座价 0 元！完整内容，移步直播课学习网络安全实战大牛陈鑫杰+小乔在线等你 为什么企业急需红队渗透测试？_网络安全_02

现在无论是领导、还是老板等决策层，大家也都知道网络安全确实很重要。毕竟国家网络安全法也出台了，网络安全等级保护2.0等合规要求也出来了。可以预估到，未来很长一段时间，网络安全产业相关政策法规，出台和实施的节奏会越来越快。正因此，很多单位开始花了几十上百万变着花样买安全设备；组建安全团队，招各种各样的安全工程师；也做了很多管理工作，写了很多安全规范 ...

但，为什么各类攻击事件还是频频发生呢？例如数据被窃取、网站被植入木马、业务系统被攻击下架……造成这个原因，最主要的是：传统的安全防御技术或者管理思路，更多是一种静态防御的方式，或者是被动防御的方式。

为什么企业急需红队渗透测试？_网络安全_03

很多人总以为，买了这堆设备、招了一群人、写了一些规范，事儿是搞定了。例如，这些安全设备能很聪明的把所有的黑客攻击事件拦截下来…… 其实不会的，不能这么去想。你买了设备招了人定了规范，这只是实施网络安全的一个起点。你要知道的是，真正在前方干”犯罪事业“的骇客团伙们，TA 们可不会停止研究或升级武器。

你买的这堆设备，去年买的今年能不能跟得上，这是一个问题吧？你招的安全人才，用的是去年的知识体系，今年有这么多新的漏洞出来，TA 有没有去学习？未必。你定的这些安全规范，毕竟只是一个管理条例，人有没有去执行，执行有没有到位？因此，传统的安全技术和管理手段，整体来讲是存在乏力的。毕竟，攻防是一个持续对抗的动态过程，用静态或被动防御的思路来做安全，肯定会被吊打。????????????《网络安全 | 红队渗透测试》11月16-17日 2天直播▼特别占座价 0 元！

为什么红队在安全行业忽然火起来？其实Red Team 的概念老早就有了，为什么突然间会火起来？从国防和经济环境上讲，越来越多的组织严密、技术高超的黑客犯罪团伙，带着“老技能”又重新加入“淘金”了。以前很多黑客犯罪团伙，因为盈利问题没解决，或者变现压力大，早早退出黑灰犯罪领域。而近几年，随着勒索病毒的崛起，这个新型黑产犯罪模式，已经成为整个网络空间领域犯罪的主流盈利手段，无论政企事业单位还是高校医疗机构等等，都深受其害。

为什么企业急需红队渗透测试？_渗透测试_04 左上角图片给大家展现的是近年来影响面最广泛的、也是知名度可能最高的，即 WannaCry "想哭"病毒。电脑中了勒索病毒之后，必须交类似比特币这种数字货币，否则你的数据就全部被加密。这样的勒索病毒攻击，在过去几年，包括未来的很多年，它都会成为主流甚至是 TOP1 的黑客攻击手段。

右上角图片展现的是 CIA Vault 7 ，这是 CIA 美国中央情报局所泄漏的被称为 “核武器级”网络安全军火库。这种国家级的这种军火库，除了 Vault 7 之外，还有 NSA 美国国家安全局泄露出来的另一个武器库。近年来这种事件非常的多，它们是怎么暴露出来的呢？????????????《网络安全 | 红队渗透测试》11月16-17日 2天直播▼特别占座价 0 元！

其实这还得“归根于”左下角展示的这种 APT 攻击。全球各地安全研究人员在 APT 高级持续性威胁攻击里面，捕获到一些不寻常的事件。大家普遍认为，这类级别的“军火库”，不应该是黑客团体能做得出来的，应该得有国家级力量介入进去才能够去做出来的。
比方说左下角图片里面展示的是 STUXnet "震网"病毒，就是由美国和以色列为了抵御或拖垮伊朗的核武器研发计划国家之间联手做的这枚病毒。这个病毒的攻击目标不是针对常规的电脑、手机、服务器等，而是针对工业控制系统。不仅如此，这枚病毒的研制，居然用到了 4 个 0day 零日漏洞！想想看，究竟什么样的作战计划，需要投入这么多 0 day ？在这之前的话，我们普遍认为，黑客攻击或者 APT 攻击，一般都是针对服务器、电脑、手机等对象，例如 Hack 掉目标系统，获取对方用户数据等。但事实上，现在很多黑客攻击对象，未必只是常规的电脑手机服务器这些了，它们的攻击面越来越广，攻击对象也发生了迁移，震网病毒就是一个非常好的案例。

简单来说，就是目前全球网络空间安全的发展态势，对于国家、企业、各种架构来说，整个安全威胁是在持续加剧的。

从网络和技术环境上讲，网络安全研究的对象，从原有的信息系统，延伸到了「大物移云」。

网络安全本质是围绕攻防对抗模型构建起来的应用型学科，哪里有用户、哪里有数据，哪里就有安全问题。因此，当场景、数据、用户、对象等因素变得越来越多时，伴随而来的，就是绕不开的攻击、威胁、挑战。当出现了互联网，那就有了互联网安全；当出现了大数据，那就有了大数据安全；当出现了云计算，那就有了云计算安全；当出现了物联网，那就有了物联网安全；为什么企业急需红队渗透测试？_渗透测试_05

……我们以前提到信息安全 Information Security，主要包含网络（Network）安全、主机系统（System）安全、应用（Application）安全、数据（Data）安全等等。而近年来 IT 信息技术的发展速度，用 “技术大爆炸” 来形容毫不为过，全球 IT 基础设施已发生了巨大的变革。AI 人工智能、Big Data 大数据、Cloud 云计算、5G 物联网等新一代信息技术快速崛起，与原有由电脑、手机、服务器、网络所组成的经典互联网，共同构建起了这套「新型 IT 基础设施」。因此，现阶段我们描述信息安全时，如果仍用原有定义和范畴的话，已经远远不够了。

所以，关于网络安全的定义，已经从 Information Security 信息安全转变为 CyberSpace Security 或者 CyberSecurity，即「网络空间安全」或简称「网络安全」。
那么，作为当下最主流前沿的安全攻防技术--红队（RedTeam），关于红队及渗透测试，需要掌握的知识点有哪些呢？这里简单罗列下：

红队出现的背景有哪些？
红队的标准定义是什么样的？
红队跟渗透测试的关联和差别？
红队和蓝队之间的差别是什么?
有哪些模型框架可帮助我们建立红队知识体系？

如何快速学习红队渗透测试？

很多同学经常问到，如何快速地建立一个红队的知识体系？又或者是，一个白帽子黑客的知识体系应该怎么样？大家也都知道，类似上面这些问题，近年来网上比较多都是「Web安全路线如何学习」等知识体系，包括我自己之前也写了很多这类路线文章。但说实话，如果只学某个领域的知识，仍然是没法建立起更完善的知识体系。为什么呢？以当前的红蓝对抗程度来看，即便你 Web 渗透再牛，拿到了某个站点服务器的权限，这也仅仅是一个入口，之后是否能够刺穿外网或DMZ区，到达内网目标系统核心，中间还有九九八十一难呢。因此，如果想更体系化地学好红队知识，我的建议是这样的：学习前期，还是需要有一些计算机功底，比方说编程语言、操作系统、网站开发等等。别小看这么基础的技能，这些很大程度会决定你未来在安全领域发展的天花板。在学完这些基础之后，你要马上去做的一个事情是什么呢？按照我下面给大家讲解的，先去了解一些安全模型和框架（红蓝队都有很多） 为什么企业急需红队渗透测试？_网络安全_06 这些就好比作战时的地图，咱上战场之前，得提前了解路径、战术、执行规范等。同理，深入学习安全之前，通过这些模型和框架，你可以提前知晓作战路径，在不同阶段给自己定不同的小目标，这样的话，自己离目标便是可测量可评估可调整的。否则，随着学习周期的延长、学习难度的增加，大部分人学着学着就放弃了，或者局限在某个细分领域就自足了。只有深入理解「作战地图」，我们才能在脑海里构建出一个技能树，然后通过持续学习，将每个技能点亮。「ATT&CK 框架」是近年来一直比较火，在未来可能会成为红蓝对抗领域主流甚至 Top1 的模型框架。它是由 MITRE 公司于 2013 年提出来的一个通用知识框架，中文名叫做「对抗战术、技术、常识 」。

ATT&CK 框架是基于真实网络空间攻防案例及数据，采用军事战争中的 TTPs （Tactics, Techniques & Procedures）方法论，重新编排的网络安全知识体系，目的是建立一套网络安全的通用语言。比如，大家经常听到的什么 APT 攻击、威胁情报、态势感知等等，无论个人还是企业，理解上不尽相同，总会有一些偏差的。有了 ATT&CK 框架，大家不会存在太大的偏差，红队具体怎么去攻击的，蓝队具体到怎么去防御的，使用 ATT&CK 矩阵可以将每个细节标记出来，攻击路线和防御过程都可以图形展现出来，攻防双方就有了一套通用语言了。网络安全行业的组织、机构、厂家，每年都会造各种 ”新词“，但 MITRE 这个组织推的这套框架，兼具实战和学术价值，具备广泛的应用场景，对安全行业的发展推动是实实在在的。在未来 5 年也好 10 年也好，它可能会成为一个事实上的标准。因此，如果要深入学习红队，平常可以多逛逛去 ATT&CK 框架官网。为什么企业急需红队渗透测试？_网络安全_07