红队测试中的“优秀”标准
并非所有进攻性安全计划都能提供相同的价值。许多组织投资于渗透测试甚至红队演练,却发现结果未能带来实质性改善。关键在于这些工作是否与真实的业务风险相匹配,并提供可操作的见解。那么,“优秀”的标准是什么?又如何确认您的投资产生了实际效果,而不仅仅是完成另一个检查项?
为了回答这些问题,Bishop Fox 红队实践总监 Trevin Edgeworth 在网络研讨会“红队测试:您的安全计划是否准备好接受终极考验?”中阐述了强大进攻性安全的构建模块。他的见解清晰描绘了实践中优秀标准的具体模样。
优秀进攻性安全覆盖的样貌
良好的覆盖取决于组织的风险状况、行业和数据敏感性。不存在一刀切的方案。每个环境都不同,您的方法应根据业务风险和优先级量身定制。通用的分层方法可作为模板,各组织应据此调整以适应自身需求。
例如,一家在云中托管关键网络应用程序的公司可能需要的云渗透测试频率远高于每年一次,而工厂可能优先考虑物理测试和运营技术,而非以云为重点的工作。
通用的分层方法如下:
基础安全实践:这是坚实安全计划的基石,包括基本威胁建模和安全评审。它还涵盖建立攻击面管理、漏洞管理以及具有定期测试的强大应用程序安全计划。
高级测试:一旦基础要素稳固,组织可以转向更高级的测试方法,如网络、云和应用程序渗透测试。
对手模拟:最高层级涉及复杂实践,如红队测试、紫队测试和桌面演练,这些模拟真实世界攻击以测试防御和响应能力。
组织应在进入下一层级前着力强化每个级别。
评估当前工作是否足够
进攻性安全成熟度通常分为三个层级:
最小覆盖(合规驱动):这通常涉及满足监管要求,例如为合规目的(如 PCI 环境)每年进行一次渗透测试。这是最低标准,通常不会超出基本的检查项勾选。
基线覆盖(最常见):许多组织属于这一类别。由于网络演变和新技术引入,他们将渗透测试频率增加到每年约两次。他们还为“皇冠珠宝”系统(如 Active Directory、MFA 环境或客户门户等关键系统)引入针对性评估。关键是确定可管理数量的关键系统,理想情况下不超过 20-30 个,以使定期测试可行。
高级覆盖:这一级别通常适用于大型零售商、银行和其他高价值目标,其中点时间测试不足。这些组织实施持续的进攻性安全措施。这可能包括外部渗透测试服务、持续的攻击面管理和漏洞赏金计划。他们还利用专门团队持续监控其边界是否存在零日漏洞和新漏洞。对于拥有多样化业务线的大型公司,单一的年度红队演练是不够的。相反,他们可能在一年中执行多个高度具体的红队场景,以应对不同的威胁、威胁参与者和业务部门。
| 测试类型 | 最小覆盖 | 基线覆盖 | 高级覆盖 |
|---|---|---|---|
| 合规要求 | 按需 | 按需 | 按需 |
| 外部网络渗透测试 | 年度 | 半年度 | 持续 |
| 内部网络渗透测试 | 年度 | 半年度 | 半年度+ |
| 网络应用渗透测试 | 年度 | 半年度 | 半年度+ |
| 云渗透测试 | 年度 | 半年度 | 半年度+ |
| 关键系统评估 | 不在范围内 | 双年度或部署后 | 双年度或部署后 |
| 红队测试 | 不在范围内 | 年度假设入侵(外部、假设入侵、社会工程) | 年度假设入侵含多场景(5-5-20x 模型) |
| 紫队测试 | 不在范围内 | 半年度 | 季度+ |
随着组织在这些层级中进步,红队测试成为进攻性安全计划的顶峰。它超越了检查合规框或测试点时间漏洞。红队测试是关于模拟具有特定目标的真实世界对手,正是在这里,平均覆盖和卓越覆盖之间的区别变得清晰。
通过红队测试的 5-5-20x 模型提升测试水平
为确保您的红队工作与对业务最重要的内容保持一致,请考虑使用 Trevin 建议的 5-5-20x 框架,通过识别您组织的以下要素:
- 5 大顶级威胁:识别对组织最重要的五个威胁(例如,勒索软件、供应链妥协)
- 5 大顶级威胁参与者:最可能遇到的对手(例如,国家行为者、内部威胁、网络犯罪分子)
- 20 个必须保护的皇冠珠宝 - 组织中前 20 个关键系统(例如,客户数据、财务系统、知识产权)
- X 条构成攻击面的业务线(例如,一家大型在线零售商可能有 10 条或更多不同的业务线,其中几个内部或混合红队关注其业务线的不同方面)
设计红队场景以针对这些元素的组合。这种方法将确保您获得既战略又可衡量的结果,而不是可能产生一些见解但未解决最高风险目标的散漫、无重点的演练。
通过在 12 到 24 个月的时间内规划全面覆盖这些元素的红队场景,组织可以实现强大、战略性的进攻性安全覆盖。
优秀红队提供战略投资回报
红队测试不仅仅是升级版的漏洞扫描或改头换面的渗透测试。如果执行得当,红队测试是一种有针对性的、情报驱动的模拟,模拟真实世界对手在您的环境中追求有意义的目标。
最有效的红队帮助您在三个关键领域理解实际风险状况并生成可操作的见解:
可利用的弱点:这些是与现实攻击路径相关的技术漏洞。目标是相关性和影响。
检测和响应差距:这些揭示了您的工具和人员检测和响应威胁的能力。这些反馈对您的 SOC、IR 和检测工程团队非常宝贵。
战略缺陷:这些是更广泛的系统性问题,如缺乏分段、凭证重用或弱秘密管理。它们通常是持续风险的根本原因。
您的红队参与应触及所有三个方面,以免错过威胁参与者可能利用的关键见解。
优秀、糟糕和极差的区别
红队的价值在于其将发现与业务风险联系起来的程度。
| 类别 | 优秀 | 糟糕 | 极差 |
|---|---|---|---|
| 目标 | 与业务风险和威胁情报对齐 | 模糊或不清晰 | 无真实目标,只是“做红队测试” |
| 发现 | 技术、检测和战略见解 | 仅技术 CVE | 噪音和不相关问题 |
| 报告 | 清晰的执行摘要和详细战术 | 冗长、无重点的报告 | 混乱且不可用 |
| 蓝队协作 | 主动汇报和信息共享 | 最小沟通 | 无合作 |
| 计划影响 | 告知路线图和投资 | 模糊的后续步骤 | 被遗忘和未使用 |
请记住,高质量的红队测试应让您获得更大的信心和清晰度,而不是更多的困惑。
实际示例:真实优秀(和糟糕)的样貌
以下是“优秀”、“糟糕”和“极差”红队测试结果可能呈现的实际示例:
- “优秀”:红队参与揭示了勒索软件组织如何在不被检测的情况下遍历云和本地基础设施,从而推动对分段和遥测的重点投资。
- “糟糕”:红队交付了一份 90 页的漏洞列表,没有上下文,使安全团队瘫痪。
- “极差”:红队报告了 300 多个问题,大多数与既定目标无关,使客户不知所措且方向错误。
教训在于:成功的参与取决于发现的质量和焦点,而非数量。
强大的红队参与以清晰度结束
成功的红队参与后,您应该能够走进任何高管会议并说:
- “这是攻击者如何到达我们最关键资产的路径。”
- “这是我们的防御成功和失败的地方。”
- “这些是我们需要优先考虑的具体改进。”
真正有影响力的红队参与为组织提供了对其安全状况的清晰洞察。它使领导者能够准确说明攻击者如何危害关键资产以及现有防御在何处证明不足。
最终,强大的参与以可操作的改进优先列表告终,指导战略安全投资。
想确保您准备好了吗?
下载我们的配套指南:红队准备度。它将帮助验证准备情况、对齐目标并最大化红队参与的影响。