红队行动前必改：攻击者最爱的5大常见安全疏漏

攻击者不靠运气，而是靠模式。经过20多年的安全实践和管理数百次红队测试后，我注意到同样的五个错误不断出现：

不当的密钥管理
过度的用户权限
缺乏适当的网络分段
过度依赖用户培训来阻止社会工程
薄弱或默认的安全检测

这些漏洞不仅仅是理论上的——它们基于真实世界的发现。事实上，大约90%的红队测试仍然表现出至少其中一个漏洞。这些是常见且可避免的失误，让组织面临被攻破的风险。

1. 不当的密钥管理

攻击者通常不需要零日漏洞就能获胜——有时他们只需要四处查看。明文凭证存储在SharePoint文件夹、内部wiki甚至电子表格中的情况太常见了。这对攻击者来说是中大奖的时刻，使他们能够绕过身份验证，快速横向移动 across systems，提升权限，或以最小努力获得对敏感资源的更深访问。

成功的入侵通常可以追溯到存储不当的密码。人们将凭证存储在根本不应该存放的地方。红队喜欢发现这些——有时这关系到测试的成败。

解决方案：使用安全的密钥管理工具存储用户凭证。锁定对敏感信息的访问，并定期审计环境中暴露的密钥。

2. 过度的用户权限

太多用户"拿着剪刀跑步"。当拥有不必要管理员权限的人点击错误链接或运行错误脚本时，后果可能是灾难性的。攻击者可以利用这些提升的权限在几天内——有时甚至几小时内——获得完全域控制或访问敏感数据，而不会触发任何警报。

解决方案：严格应用最小权限原则。确保用户只拥有他们需要的访问权限——不多不少。定期审查权限并移除不必要的管理员权利。

3. 缺乏适当的网络分段

扁平网络架构是将小规模入侵变成重大事件的最快方式之一。我们一次又一次地看到内部网络为用户便利性和可访问性而设计，而不是为了安全。

缺乏分段意味着一旦攻击者获得对您环境某部分的访问权限，他们通常可以在整个网络中自由行动——包括服务器、操作技术（OT）或云基础设施等关键系统。

解决方案：对网络进行分段。限制用户、服务器和OT环境之间的横向移动。强制执行访问控制列表并监控东西向流量。

4. 过度依赖用户培训来阻止社会工程

安全意识很重要，但它不是万能药。攻击者和红队继续通过社会工程取得成功——即使面对训练有素的员工。一位Bishop Fox客户已经部署了防钓鱼MFA——包括FastPass和YubiKeys——但攻击者仍然说服员工插入他们的YubiKey并批准登录。那一次批准就打开了大门。当涉及人类信任时，即使是防钓鱼MFA也不是防弹的。

对钓鱼或社会工程的易感性永远不会达到零。总会有人点击恶意链接或下载附件，因此您需要为此提供适当的安全网。组织必须假设用户会出错并相应计划。

解决方案：假设用户会出错。部署分层技术防御，如DNS沉洞、沙箱和URL过滤。这些控制措施有助于在用户点击后捕获和遏制威胁。

5. 薄弱或默认的安全检测

许多团队假设他们的安全工具会捕获一切，但对手在攻击您的网络之前很久就会针对现成的EDR工具测试他们的恶意软件。他们无法预测什么？您的自定义检测针对业务逻辑和异常行为进行调整，例如来自意外位置的登录。

攻击者可以访问像CrowdStrike这样的流行工具。他们可以在实验室中测试什么会被检测到，因此他们知道在真实目标环境中不应该做什么。他们没有的是对您嵌入安全检测中的任何自定义逻辑的可见性。

解决方案：构建自定义检测规则。监控特定于您环境的可疑行为——例如来自不熟悉地理位置的权限登录或对敏感系统的未经授权访问。

将优势转移回防御方

这些错误可能看起来微不足道，但它们往往是攻击者跟随的面包屑。如果这些漏洞存在于您的环境中，攻击者——或红队——不仅会发现它们，还会利用它们。修复这五个领域不会让您对攻击免疫，但会让任何潜在入侵者的生活更加艰难。

这就是重点：提高门槛，让攻击者必须更努力地工作，采取更嘈杂的步骤，并增加被检测的风险。

如果您想最大化红队测试的价值——并有能力对抗高级对手——请首先修复这五个常见错误。否则，您只是在测试开始前就交出了钥匙。