蓝队、红队和紫队:概述
作者:Erik Goldoff、Ray Van Hoose 和 Max Boehner || 特邀作者
本文由3篇最初发表于《信息安全生存指南》第二版的文章组成。免费在线查阅或通过Spearphish General Store订购1美元实体版。
蓝队——防御、检测、保护
作者:Erik Goldoff || CISSP, @ErikG
“蓝队”是涵盖防御性安全的高级术语,其目标是减少攻击面,并检测和应对威胁。以下是蓝队运营涵盖的部分子主题:
- 防御性安全
- 基础设施保护
- 终端用户教育
- 事件响应(IR)
- 业务连续性/损害控制
- 安全运营中心(SOC)
- 威胁狩猎与数字取证(DF)
现有IT员工(用户支持/服务台运营或网络团队)转向蓝队岗位更为容易。您需要能够理解环境的正常状态,以便快速识别异常(潜在安全事件)。您现有的IT工作岗位是从各种基本角度了解环境的绝佳场所。
作为防御性安全和/或基础设施保护的一部分,安全堆栈组件的正确配置和部署至关重要——既不能忽略威胁,也不能过于严格以致影响生产力。您不希望安全解决方案导致您试图预防的拒绝服务。终端安全、终端检测与响应(EDR)以及安全信息与事件管理(SIEM)是防御性安全中使用的工具。
终端用户通常是任何组织在安全威胁方面最薄弱的环节。您需要帮助他们不仅理解要做什么,还要理解为什么这样做,以增加合作。按部门发布定期钓鱼测试结果可能比仅进行个人培训更具激励性。
如果您的组织遭受网络安全攻击,您如何继续减轻威胁和损害,同时保持企业正常运营?您的SOC和事件响应团队可以帮助识别威胁、来源和立即的补救措施,同时仍保持任何发现证据的“监管链”,因为您的组织可能有与当局合作的法律要求和/或获得保险赔偿的资格。
被动应对是不够的。组织必须采取主动的威胁应对方法。威胁狩猎团队可能在重大事件升级之前发现入侵证据。他们是否找到了提醒DF/IR团队的IOC和EOC(入侵指标/证据)?数字取证(DF)收集关于攻击方法、入口点、入侵路径和潜在数据外泄目标的数据,而事件响应(IR)通过禁用账户、限制网络访问、关闭外泄路径、清除恶意软件等必要措施帮助锁定环境。网络安全的不同部分协同工作以检测、识别和根除攻击。
如果您要防御网络安全攻击,您需要了解可用的防御工具和技术,以及攻击者使用的工具和技术。知识就是力量!
蓝队资源
漏洞 漏洞通过其CVE(通用漏洞与暴露)编号进行跟踪。更好地了解已知漏洞:
- cve.mitre.org/
- nvd.nist.gov/vuln/full-listing
- cvedetails.com/index.php
- msrc.microsoft.com/update-guide/vulnerability
- support.apple.com/
URL 在采取防御行动之前或作为取证调查的一部分,确定文件或URL/链接是否恶意:
- virustotal.com/gui/home/upload
- urlscan.io/
- checkphish.ai/
新闻 蓝队成员保持对不断发展的各种网络安全问题解决方案的最新了解非常重要:
- youtube.com/@BlackHillsInformationSecurity
- scmagazine.com/
钓鱼 钓鱼工具、资源和终端用户培训的良好来源:
- knowbe4.com/
主动对策——社区、工具、培训等:activecountermeasures.com
红队——对抗模拟
作者:Ray Van Hoose || @_meta.
问题:我们如何知道我们的安全在检测和减轻成功黑客攻击的影响方面的有效性? 答案:红队。
红队操作利用隐蔽和战略性的攻击技术,试图在未被检测的情况下渗透系统。虽然职位名称可能不同(操作员、工程师、安全专家等),但总体目标保持一致:模拟对抗行动,记录响应时间和有效性,并主动改进检测和响应能力。
作为红队成员生存所需的最低工具是什么?
- 剪贴板
- U盘
- 令人信服的故事
考虑因素和职位要求
- 强大的沟通和社交技能
- 涵盖广泛领域的技术技能
- 间谍小工具和服装可能来自您的个人预算
- 对蓝队战术、技术和程序的知识和理解
- 在压力和尴尬情况下保持冷静的能力
- 对潜在法律考虑和复杂性的知识
- 对组织业务方面的扎实理解
最后,您应该意识到,在执行某些练习时,特别是在现场参与中,被逮捕并不罕见,包括可能被监禁的风险。
暗网日记剧集详细说明潜在法律复杂性:darknetdiaries.com/episode/59
生存技能与技术
沟通 最重要的技能。您将与执法部门、物理和网络安全团队互动,以及向领导汇报情况,并与开发人员和蓝队合作改进检测和缓解能力。
文档 考虑到法律复杂性的范围和各种类型的攻击,仅记录范围就可能令人望而生畏。通常记录的项目还包括攻击、漏洞利用、安全团队对这些攻击的响应、创建的工件、重现步骤以及建议改进蓝队政策和流程。
利用 许多红队练习要求您首先利用(社交或技术)他们的系统。即使您获得“假设已 breached”选项以获得初始访问权限, stealthily 获得更多 shell 通常需要额外的利用。
获得初始访问权限的工具和技术:
- gophish – 快速轻松地设置钓鱼参与
github.com/gophish/gophish
使用SSO(单点登录)供应商提供干净的钓鱼链接!
jordanpotti.com/2019/08/26/phishing-with-saml-and-sso-providers/
后利用 利用漏洞获得立足点只是第一步。理想情况下,这引导您到其他系统,您能够 stealthily 利用以获得持久性和所有 shell。
红队资源
- Responder – 监控和操纵响应以 gain control of the network
- Mimikatz – 从内存中提取密码、哈希、PIN码和Kerberos票据
- Cobalt Strike – 商业(昂贵)产品,提供对抗模拟工具
紫队——结合我们的力量……
作者:Max Boehner
是什么 紫队是由蓝队和红队成员执行的协作活动,目标是改进防御。换句话说:红队成员分享或演示工具、战术和程序(TTP)以训练蓝队。这可以范围从一次性的“如果我运行这个攻击工具,您会收到警报吗?”到复杂、可重复和定义的过程。
不是什么 尽管有红队成员的参与,紫队不是红队。红队通过执行模拟攻击而不通知蓝队来测试蓝队的检测和响应,同时试图保持未被检测。在紫队期间,您希望蓝队成员意识到并警惕。
为什么这样做? 蓝队成员需要了解对手的TTP以防御它们。红队成员知道这些TTP并能执行它们。紫队可以是一种有效的方式将这两者结合起来。
以下是一些潜在用例:
- 验证事件日志记录和转发是否按预期工作
- 发现检测差距并开发新的检测
- 建立响应时间指标和攻击活动与警报通知之间的差异
进入紫队 先坏消息:专门的紫队职位很少见。大多数组织负担不起专门的全职紫队。
好消息:如果您有蓝队、红队或理想情况下两者的经验,并具有协作心态,您仍然可以进行紫队活动。刚开始从事信息安全的人可能想先选择红队或蓝队,在那里积累经验,然后 later 参与紫队。训练紫队活动的好方法是设置一个测试实验室,包括运行攻击的机器,配置集中日志记录以分析攻击期间生成的遥测数据。当然,您也可以参加专注于紫队的培训课程。
与Kent Ickler和Jordan Drydale进行紫队:youtu.be/_KqtVWrw_Gc
紫队资源
- MITRE ATT&CK® 这个攻击者行为和技术知识库是必须知道的。它被用作分类攻击的通用术语。
- 紫队练习框架(PTEF) 关于紫队的进一步阅读,描述了不同成熟度级别。
- Atomic Red Team 可执行攻击(atomics)的库,可以在没有深入红队知识的情况下执行以模拟对手活动。它被许多紫队框架使用并映射到MITRE ATT&CK®。
- VECTR 用于规划、执行和跟踪紫队参与的免费工具。它可以利用Atomic Red Team atomics。
- MITRE CALDERA™ 可用于紫队参与的平台。它包括通过命令和控制(C2)通道执行对手活动的功能等。
- DO-LAB 在Azure云中轻松部署的实验室环境。包括Active Directory、攻击者和受害者机器,以及在Sentinel中的日志聚合。
在我们的“信息安全初学者”博客系列中阅读更多:
- 如何在网络安全领域找到工作
- John Strand的计算机安全入门五阶段计划
- 从高中到网络忍者——几乎免费!
- 蓝队、红队和紫队:概述
- 渗透测试、威胁狩猎和SOC:概述
- 什么是渗透测试?
- 如何执行和对抗社会工程
- 网络安全中的人为因素:理解信任和社会工程
- 构建家庭实验室:设备、工具和技巧
- 初学者威胁猎人的问题
- Shenetworks推荐:9个必看的BHIS YouTube视频
- 心理健康——信息安全的挑战