红队演练中的"优秀"标准是什么
并非所有进攻性安全项目都能提供相同的价值。许多组织投资于渗透测试甚至红队演练,却发现结果未能带来实质性改进。关键在于这些工作是否与真实的业务风险相匹配,并提供可操作的见解。那么,“优秀"的标准是什么?你如何知道你的投资产生了实际效果,而不仅仅是完成另一个检查清单?
为了回答这些问题,Bishop Fox红队实践总监Trevin Edgeworth在网络研讨会"红队演练:你的安全项目准备好接受终极测试了吗?“中详细介绍了强大进攻性安全的构建模块。他的见解清晰地展示了实践中优秀的标准。
优秀进攻性安全覆盖的范围
良好的覆盖范围取决于组织的风险状况、行业和数据敏感性。没有一刀切的公式。每个环境都不同,你的方法应该根据业务风险和优先级进行定制。通用的分层方法可以作为模板,组织应根据自身需求进行调整。
例如,在云端托管关键Web应用程序的公司可能需要比每年一次更频繁的云渗透测试,而工厂可能优先考虑物理测试和运营技术,而不是以云为重点的工作。
通用的分层方法如下:
基础安全实践:这是坚实安全计划的基石,包括基本威胁建模和安全审查。它还涵盖建立攻击面管理、漏洞管理以及具有定期测试的强大应用程序安全计划。
高级测试:一旦基础要素稳固,组织可以转向更高级的测试方法,如网络、云和应用程序渗透测试。
对手模拟:最高层级涉及复杂实践,如红队演练、紫队演练和桌面练习,这些模拟真实世界攻击以测试防御和响应能力。
组织应在进入下一级别之前加强每个层级。
评估当前工作是否足够
进攻性安全成熟度通常分为三个层级:
最小覆盖(合规驱动):这通常涉及满足监管要求,例如为合规目的(如PCI环境)每年进行一次渗透测试。这是最低标准,通常不会超出基本的检查清单。
基准覆盖(最常见):许多组织属于这一类别。由于网络和新技术的发展,他们将渗透测试频率增加到每年约两次。他们还为"皇冠珠宝"系统(如Active Directory、MFA环境或客户门户等关键系统)引入针对性评估。关键是确定可管理数量的这些关键系统,理想情况下不超过20-30个,以使定期测试可行。
高级覆盖:这一级别通常适用于大型零售商、银行和其他高价值目标,其中点时间测试不足。这些组织实施持续的进攻性安全措施。这可能包括外部渗透测试服务、持续的攻击面管理和漏洞赏金计划。他们还利用专门团队持续监控其边界的零日漏洞和新漏洞。对于拥有不同业务线的主要公司,单一的年度红队演练是不够的。相反,他们可能在全年进行多个高度具体的红队场景,以应对不同的威胁、威胁参与者和业务部门。
| 测试类型 | 最小覆盖 | 基准覆盖 | 高级覆盖 |
|---|---|---|---|
| 合规要求 | 按要求 | 按要求 | 按要求 |
| 外部网络渗透测试 | 年度 | 半年度 | 持续 |
| 内部网络渗透测试 | 年度 | 半年度 | 半年度+ |
| Web应用渗透测试 | 年度 | 半年度 | 半年度+ |
| 云渗透测试 | 年度 | 半年度 | 半年度+ |
| 关键系统评估 | 不在范围内 | 双年度或部署后 | 双年度或部署后 |
| 红队演练 | 不在范围内 | 年度假设违规(外部、假设违规、社会工程) | 年度假设违规,多场景(5-5-20x模型) |
| 紫队演练 | 不在范围内 | 半年度 | 季度+ |
随着组织在这些层级中进步,红队演练成为进攻性安全计划的顶峰。它超越了检查合规框或测试点时间漏洞。红队演练是关于模拟具有特定目标的真实世界对手,这是平均覆盖和卓越覆盖之间差异变得明显的地方。
使用红队演练的5-5-20x模型提升测试
为确保你的红队工作与业务最重要的方面保持一致,考虑使用Trevin建议的5-5-20x框架,通过识别你组织的:
5大威胁:识别对你组织最重要的五个威胁(例如,勒索软件、供应链妥协)
5大威胁参与者:最可能遇到的对手(例如,国家行为者、内部威胁、网络犯罪分子)
20个必须保护的皇冠珠宝 - 组织中前20个关键系统(例如,客户数据、财务系统、知识产权)
X条构成攻击面的业务线(例如,主要在线零售商可能有10个或更多不同的业务线,有几个内部或混合红队查看其业务线的不同方面)
设计红队场景以针对这些元素的组合。这种方法将确保你获得既具有战略性又可衡量的结果,而不是可能产生一些见解但未解决最高风险目标的散漫、无重点的练习。
通过在12到24个月期间全面覆盖这些元素来规划红队场景,组织可以实现强大、战略性的进攻性安全覆盖。
优秀红队提供战略投资回报
红队演练不仅仅是扩大的漏洞扫描或重新包装的渗透测试。当正确执行时,红队演练是针对真实世界对手在你的环境中追求有意义目标的定向、情报驱动的模拟。
最有效的红队帮助你在三个关键领域理解实际风险状况并生成可操作的见解:
可利用弱点:这些是与现实攻击路径相关的技术漏洞。目标是相关性和影响。
检测和响应差距:这些揭示你的工具和人员检测和响应威胁的效果。这种反馈对你的SOC、IR和检测工程团队非常宝贵。
战略缺陷:这些是更广泛、系统性的问题,如缺乏分段、凭据重用或弱密码管理。它们通常是持续风险的根本原因。
你的红队参与应涉及所有三个方面,以免错过威胁参与者可能利用的关键见解。
优秀、糟糕和恶劣的对比
红队的价值在于它如何将发现与业务风险联系起来。
| 类别 | 优秀 | 糟糕 | 恶劣 |
|---|---|---|---|
| 目标 | 与业务风险和威胁情报对齐 | 模糊或不清晰 | 没有真实目标,只是"做红队” |
| 发现 | 技术、检测和战略见解 | 只有技术CVE | 噪音和不相关问题 |
| 报告 | 清晰的执行摘要和详细战术 | 冗长、无重点的报告 | 混乱和不可用 |
| 蓝队协作 | 主动汇报和信息共享 | 最小沟通 | 无合作 |
| 项目影响 | 告知路线图和投资 | 模糊的后续步骤 | 被遗忘和未使用 |
记住,高质量的红队演练应该让你获得更大的信心和清晰度,而不是更多的困惑。
实际例子:真实优秀(和糟糕)的样子
以下是"优秀”、“糟糕"和"恶劣"红队结果可能看起来的几个实际例子:
“优秀:” 红队参与揭示了勒索软件组织如何在不被检测的情况下遍历云和本地基础设施,然后推动对分段和遥测的重点投资。
“糟糕:” 红队交付了一个90页的漏洞列表,没有上下文,使安全团队瘫痪。
“恶劣:” 红队报告了300多个问题,大多数与定义的目标无关,使客户不知所措且不对齐。
教训是:成功的参与由发现的质量和焦点(而不是数量)定义。
强大的红队参与以清晰度结束
成功的红队参与后,你应该能够走进任何执行会议并说:
- “这是攻击者如何到达我们最关键资产的方式。”
- “这是我们的防御成功和失败的地方。”
- “这些是我们需要优先考虑的具体改进。”
真正有影响力的红队参与为组织提供对其安全状况的清晰见解。它使领导者能够准确说明攻击者如何危害关键资产以及现有防御在何处证明不足。
最终,强大的参与以可操作改进的优先列表结束,指导战略性安全投资。