红队行动前：修复这5个常见错误

攻击者不依赖运气；他们依赖模式。在安全领域20多年并管理了数百次红队演练后，我注意到同样的五个错误不断出现：

• 不当的密钥管理
• 过多的用户权限
• 缺乏适当的网络分段
• 过度依赖用户培训来阻止社会工程学
• 薄弱或默认的安全检测

这些差距不仅仅是理论上的——它们基于真实世界的发现。事实上，大约90%的红队演练仍然表现出至少其中一个漏洞。它们是常见、可避免的失误，让组织暴露于被入侵的风险。

1. 不当的密钥管理

攻击者通常不需要零日漏洞就能获胜——有时他们只需要四处看看。明文凭证存储在SharePoint文件夹、内部维基甚至电子表格中，这种情况太常见了。这些对攻击者来说是中大奖的时刻，使他们能够绕过身份验证，快速横向移动系统、提升权限或以最小努力深入访问敏感资源。
成功的入侵通常可以追溯到存储不当的密码。人们将凭证存储在绝不应该出现的地方。红队喜欢发现这些——有时这意味着演练的失败与成功之间的差别。
解决方案：使用安全的密钥管理工具存储用户凭证。锁定对敏感信息的访问，并定期审计环境中暴露的密钥。

2. 过多的用户权限

太多用户“拿着剪刀跑步”。当拥有不必要管理员权限的人点击错误链接或运行错误脚本时，后果可能是灾难性的。攻击者可以利用这些提升的权限，在几天甚至几小时内获得完全域控制或访问敏感数据，而不会触发任何警报。
解决方案：严格应用最小权限原则。确保用户只拥有他们需要的访问权限——不多不少。定期审查权限并移除不必要的管理员权利。

3. 缺乏适当的网络分段

扁平网络架构是将小规模入侵变成重大事件的最快方式之一。我们一次又一次地看到内部网络为用户便利性和可访问性而设计，而不是为安全性。
缺乏分段意味着一旦攻击者获得对环境某部分的访问权限，他们通常可以在整个网络中自由行动——包括服务器、操作技术（OT）或云基础设施等关键系统。
解决方案：分段您的网络。限制用户、服务器和OT环境之间的横向移动。强制执行访问控制列表并监控东西向流量。

4. 过度依赖用户培训来阻止社会工程学

安全意识很重要，但它不是银弹。攻击者和红队继续通过社会工程学取得成功——即使对抗训练有素的员工队伍。一位Bishop Fox客户部署了防钓鱼MFA——包括FastPass和YubiKey——但攻击者仍然说服员工插入他们的YubiKey并批准登录。那一次批准打开了大门。即使防钓鱼MFA在涉及人类信任时也不是防弹的。
对钓鱼或社会工程学的易感性永远不会达到零。总会有一些人点击恶意链接或下载附件，因此您需要提供一个适当的安全网，为这种情况发生做好准备。组织必须假设用户错误并相应计划。
解决方案：假设用户错误。部署分层技术防御，如DNS沉洞、沙箱和URL过滤。这些控制措施有助于在用户点击后捕获和遏制威胁。

5. 薄弱或默认的安全检测

许多团队假设他们的安全工具会捕捉一切，但对手在攻击您的网络之前很久就针对现成的EDR工具测试他们的恶意软件。他们无法预测什么？您的自定义检测针对业务逻辑和异常行为进行调整，例如来自意外位置的登录。
攻击者可以访问像CrowdStrike这样的流行工具。他们可以在实验室测试什么会被检测到，因此他们知道在真实目标环境中不该做什么。他们没有的是对您嵌入安全检测中的任何自定义逻辑的可见性。
解决方案：构建自定义检测规则。监控特定于您环境的可疑行为——例如来自不熟悉地理位置的权限登录或对敏感系统的未经授权访问。

将优势转移回防御者

这些错误可能在重要性上看似微小，但它们往往是攻击者跟随的面包屑。如果这些差距存在于您的环境中，攻击者——或红队——不仅会发现它们，还会利用它们。修复这五个领域不会让您对攻击免疫，但会使任何潜在入侵者的生活更加艰难。
而这正是重点：提高门槛，使攻击者必须更努力地工作，采取更嘈杂的步骤，并增加被检测的风险。

如果您想最大化红队演练的价值——并有机会对抗高级对手——首先从修复这五个常见错误开始。否则，您只是在测试开始前就交出了钥匙。
要更深入地了解如何为红队演练做准备，请观看我的虚拟会议：“红队演练：您的安全计划准备好接受终极测试了吗？”