史诗级失败与入侵故事:一名红队成员的Deadwood之旅
TL;DR: 在Deadwood举行的Wild West Hackin’ Fest上,Alethe Denis分享了从真实红队演练中获得的宝贵经验,这些经历既揭示了令人惊讶的漏洞,也提供了成长的机会。通过故事讲述,她强调了每次行动如何磨练进攻策略,同时帮助蓝队加强防御。
前往南达科他州Deadwood参加Wild West Hackin’ Fest并发表演讲"史诗级失败与入侵故事:通过红队测试实现真正经得起考验的安全"是一次难忘的经历。Deadwood本身丰富的历史和自然美景为反思演讲中分享的经验和故事提供了完美背景。除了技术知识交流,会议期间的社交机会和与朋友相遇的兴奋之外,我还欣赏了该地区的独特魅力——从遇到野生火鸡到惊叹拉什莫尔山的壮丽。这个小镇的历史吸引力及其西部荒野氛围似乎与黑客和红队测试中核心的创造力和韧性主题完美共鸣。
但我此行的核心是会议本身,以及我通过讲故事将观众带入红队世界的机会。Wild West Hackin’ Fest以其活跃和亲切的氛围而闻名,被证明是分享进攻安全中成功与失败经验的完美场所。
红队测试之旅:失败、入侵与谦逊
在我的演讲中,我邀请观众与我一起进入红队测试这个细致且不可预测的世界。作为Bishop Fox红队的高级安全顾问,我参与的演练以既令人惊讶又富有启发性的方式测试了组织安全性。每次演练都带来独特的挑战、教训和成长机会,无论对红队还是蓝队都是如此。
我分享的关键故事之一是在一次物理渗透测试中的谦卑时刻。我面对的是一个异常熟练的蓝队保护者及其组织的防御者。他们凭借在军队和执行红队操作的经验预判了我的策略,加固了防御,并最终智胜了我。在那个时刻,我不得不做出艰难的决定:投降。
为了帮助观众理解这一刻,我将其与《后翼弃兵》中的标志性场景相提并论,主角在那里了解到在国际象棋中认输的意义。这不是失败的标志,而是对对方技能和战略才华的尊重表示。对我来说,这是作为红队成员的一个转变时刻。它强调了谦逊、适应性和从每次演练中学习的重要性,无论我们"赢"还是"输"。每次失败都是通向更深入理解和改进的垫脚石。
这也是展示成熟度和领导技能的机会,将客户和供应商关系置于持续冒险可能破坏关系或在演练期间与客户建立真正对抗关系的欲望之上。毕竟,客户是你在演练结束后打算建立信任和融洽关系的人,也是你希望他们接受并采取行动的建议对象。在这种情况下,尽管有短暂的尴尬,但这导致了一段真正的友谊和重复业务。
除了投降的故事,我还分享了成功演练的故事——那些通过仔细规划、创造性思维和团队合作,让我们在几分钟内绕过防御并实现目标,同时逃避检测的时刻。这些故事不仅仅是关于成功;它们提供了关于攻击者如何思考和操作以及防御者如何适应以保持领先的更深层次见解。
红队成员的装备:为成功做准备
准备是任何成功红队演练的基石。在我的演讲中,我分享了一份详细的物品清单,每个红队成员在为物理渗透测试做准备时都应该打包。这些物品不仅仅是工具;它们是融入环境、适应意外挑战和实现目标的关键。合适的装备可能意味着成功与失败之间的差异,尤其是在高风险环境中操作时。
装备清单重点包括:
各种外观的服装: 从休闲到正式,合适的着装可以成就或破坏一个借口。层次和多功能性对于适应不同场景至关重要。
改变外观的配件: 太阳镜、帽子和假发可以是伪装和误导的游戏规则改变者。
红队"艺术与工艺"的办公用品: 胶带、便利贴、胶水甚至马克笔可能看起来普通,但对于即兴创造和欺骗不可或缺。
技术和电源: 电缆、充电器、适配器、电池组,以保持一切运行顺畅。电源故障不是选项。
物理突破工具: 一罐空气、门下工具、双门工具、垫片和开锁设备,用于物理绕过。暖手宝和金属衣架,用于在操纵通过请求退出传感器时即兴发挥。这些工具有助于快速有效地克服机械障碍。
道具和对话启动器: 金属剪贴板、徽章夹和与借口相关的设备,以建立可信度和信任。
舒适性和实用性: 符合借口但允许移动的鞋子;舒适且不会影响在假定借口内操作能力的服装。减少焦虑的应对机制,如持有的物品以避免坐立不安,或咀嚼口香糖以吸收紧张能量。
制作借口:社会工程学的艺术
没有精心的OSINT(开源情报)和借口开发,任何红队演练都无法成功。借鉴我之前的演讲"Phishy Little Liars",我讨论了制作可信场景的策略和技巧。无论是冒充IT承包商、送货员还是维修技术员,细节都很重要。这是关于理解目标、预测他们的反应并在几秒钟内建立信任。
借口创建通常从广泛的研究开始,了解你的观众、他们的惯例和组织文化。你知道的越多,你的互动就越真实和可信。这个过程既是一门艺术也是一门科学,需要创造力和分析思维,以及即兴发挥和适应的能力。
为什么红队物理渗透测试重要
在结束演讲时,我强调了红队物理渗透测试的关键重要性。这些演练不仅仅是关于闯入;它们揭示了组织可能甚至没有意识到的差距和弱点。无论红队是否实现其目标,获得的见解都是无价的。物理安全通常与数字安全重叠,一个领域的弱点可能危及另一个领域。
例如,我分享了从过去演练中出现的发现示例:
未加密的低频徽章数据: 攻击者可以以最小努力利用的常见漏洞,扫描然后克隆员工徽章以进入建筑物。
默认账户和密钥: 提供对关键系统轻松访问的疏忽,例如在键盘安全门上留下启用的默认PIN码。
物理弱点: 门框和双门间隙,允许工具如门下工具绕过锁。
不一致的监控: 监控死角和缺乏响应协议使组织暴露。
不充分的文件销毁: 不当处理的敏感文件可能导致数据泄漏。
不安全的文件存储: 留下未受保护的机密信息增加未经授权访问的风险。
不安全的凭据存储: 存储凭据的薄弱实践创造妥协机会。
不安全的Wi-Fi网络设置: 配置不良的无线网络可以作为攻击者的入口点。
缺乏绕过检测: 缺乏检测物理或技术绕过尝试的机制。
每个这些漏洞都代表了一个改进的机会。解决这些问题不仅保护免受攻击者侵害;它还建立了贯穿整个组织的安全意识文化。虽然作为红队成员成功是值得的,但最终目标是加强客户对现实世界威胁的防御。
反思Deadwood
我在Deadwood的时间不仅仅是分享故事;它也是关于学习和与热情的安全专业人士社区联系。在会议间隙,我探索了当地历史,欣赏了令人惊叹的景色,甚至在火鸡和松树之间有一些安静的反思时刻。它提醒我定义西部荒野和网络安全世界的韧性和创造力。
会议本身因Black Hills Information Security和Antisyphon Infosec Training培育的不可思议环境而变得更加特别。他们致力于为参与者创造有趣和支持性的知识分享和社交空间,在整个活动中显而易见。社区的可访问性和 camaraderie 突出,使其成为一个不仅传授知识而且加强专业联系的活动。
当我离开Deadwood时,我不仅受到Black Hills之美的启发,还受到会议期间引发的对话和想法的启发。红队测试是一个不断学习、适应和协作的旅程。我很感激每一次与他人分享这一旅程的机会。像Wild West Hackin’ Fest这样的事件提醒我们所有人,网络安全的核心在于社区以及共同致力于构建更安全的数字和物理世界的承诺。
要详细了解我的红队测试故事,请观看我的网络直播——史诗级失败与入侵故事:通过红队测试实现真正经得起考验的安全。