紅隊(duì)概念

紅隊(duì)（Red Team）即安全團(tuán)隊(duì)最大化模擬真實(shí)世界里面的入侵事件，采用入侵者的戰(zhàn)術(shù)、技術(shù)、流程，以此來(lái)檢驗(yàn)藍(lán)隊(duì)（Blue Team）的威脅檢測(cè)和應(yīng)急響應(yīng)的機(jī)制和效率，最終幫助企業(yè)真正提高整個(gè)安全建設(shè)、安全運(yùn)營(yíng)、安全管理等能力。

紅隊(duì)VS滲透測(cè)試

在企業(yè)內(nèi)部的一般的滲透測(cè)試，很多就是點(diǎn)到為止，并不會(huì)被授予很多的權(quán)限。而紅隊(duì)整體來(lái)看，在合法合規(guī)的前提下，在充分溝通的前提下，授權(quán)范圍會(huì)更加廣泛，真實(shí)程度更加貼合實(shí)戰(zhàn)。

1、紅隊(duì)不僅關(guān)注技術(shù)安全問(wèn)題，例如應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)、組件等，也關(guān)注管理安全問(wèn)題，例如藍(lán)隊(duì)的組織、流程、規(guī)范等。

2、紅隊(duì)測(cè)試范圍更廣、攻擊成都更猛烈、測(cè)試時(shí)間更長(zhǎng)、行動(dòng)目標(biāo)更大。

紅隊(duì)VS藍(lán)隊(duì)

無(wú)論是Red Team 還是Blue Team,這些概念都來(lái)自真實(shí)的戰(zhàn)爭(zhēng)領(lǐng)域。

作為紅隊(duì)，是以攻擊方的方式做安全工作的，常見(jiàn)的技術(shù)概念有APT攻擊、滲透測(cè)試、零日漏洞、武器開(kāi)發(fā)。

作為藍(lán)隊(duì)，則以防御方的方式做安全工作，是安全合規(guī)、安全運(yùn)營(yíng)、應(yīng)急響應(yīng)、態(tài)勢(shì)感知、威脅情報(bào)等等。

紅隊(duì)常用模型框架

1. 滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)PTES

PTES中文全名【滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)】，他是由2010年由業(yè)界網(wǎng)絡(luò)安全專家共同發(fā)起并定義的規(guī)范，目標(biāo)是希望為企業(yè)和安全服務(wù)商，指定整個(gè)滲透測(cè)試的標(biāo)準(zhǔn)流程，方便大家工作和溝通。

PTES 包括 7 個(gè)標(biāo)準(zhǔn)步驟，即前期交互、情報(bào)收集、威脅建模、漏洞分析、滲透利用、報(bào)告輸出等，一般的滲透測(cè)試工作，基本都繞不開(kāi)這些步驟，可以看成一個(gè)標(biāo)準(zhǔn)的工作流。

① 前期交互

前期交互階段，我們得先拿到客戶的授權(quán)，并且了解授權(quán)范圍多少？滲透目標(biāo)是誰(shuí)？期望目標(biāo)是什么？

這些都是前期交互階段要溝通好的。

② 情報(bào)搜集

情報(bào)搜集階段，即根據(jù)上面的授權(quán)、范圍、目標(biāo)等信息，開(kāi)始進(jìn)行一些情報(bào)搜集工作。

無(wú)論是主動(dòng)搜集還是被動(dòng)搜集，我們得知道對(duì)方開(kāi)了哪個(gè)端口、提供了什么服務(wù)、這些服務(wù)的軟件版本是什么、這些軟件是否曾經(jīng)出現(xiàn)過(guò)漏洞？

③ 威脅建模

哪些信息是真正有價(jià)值的？哪個(gè)口子用什么攻擊方法？哪條攻擊路徑是最大可能的？

根據(jù)情報(bào)搜集的匯總，我們得制定出接下來(lái)的「作戰(zhàn)計(jì)劃」。

這些就是在威脅建模階段要分析出來(lái)的。

④ 漏洞分析

結(jié)合以上情報(bào)搜集和威脅建模階段，此階段我們要判斷出哪些漏洞是最有可能拿到對(duì)方權(quán)限，打通攻擊路徑的。

哪些漏洞的攻擊效果最佳？

哪些漏洞有最新的工具？

哪些漏洞需要自研滲透代碼？

⑤ 滲透利用

前面 4 個(gè)階段都不算真正 Hack 進(jìn)目標(biāo)系統(tǒng)，而這個(gè)階段則是真正對(duì)目標(biāo)進(jìn)行滲透攻擊，通過(guò)漏洞對(duì)應(yīng)的利用工具等，獲取目標(biāo)控制權(quán)。

⑥ 后滲透

在拿到控制權(quán)限之后，為了避免對(duì)方發(fā)現(xiàn)，還需要進(jìn)行后滲透，實(shí)現(xiàn)更持久的控制，更深層次地執(zhí)行任務(wù)。

比如進(jìn)程遷移、隧道建立、數(shù)據(jù)獲取、擦除痕跡等。

⑦ 報(bào)告輸出

最后階段就是輸出一份安全報(bào)告，即寫(xiě)明滲透測(cè)試工作中，企業(yè) IT 基礎(chǔ)系統(tǒng)所存在的漏洞和風(fēng)險(xiǎn)點(diǎn)。

以上便是 PTES 滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)。

2.網(wǎng)絡(luò)殺傷鏈Cyber Kill Chain

網(wǎng)絡(luò)殺傷鏈的英文全名是 Cyber Kill Chain，這是 2011 年洛克希德馬丁公司提出的網(wǎng)絡(luò)攻擊模型。

跟真實(shí)世界的入侵者，對(duì)一個(gè)目標(biāo)系統(tǒng)進(jìn)行攻擊的每個(gè)階段都是一一映射的。

這里也分為 7 個(gè)步驟:

第 1 步，目標(biāo)偵察: 跟前面 PTES 情報(bào)收集階段是差不多的；

第 2 步，武器研制: 編寫(xiě)各種工具/后門(mén)/病毒 Exp / Weapon / Malware；

第 3 步，載荷投毒: 通過(guò)水坑魚(yú)叉等攻擊方式將武器散播出去（投毒）；

第 4 步，滲透利用，通過(guò)漏洞利用獲取對(duì)方控制器；

第 5 步，安裝執(zhí)行，在目標(biāo)系統(tǒng)將后門(mén)木馬跑起來(lái)；

第 6 步，命令控制，對(duì)目標(biāo)來(lái)進(jìn)行持久化控制；

第 7 步，任務(wù)執(zhí)行，即開(kāi)始執(zhí)行竊取數(shù)據(jù)、破壞系統(tǒng)等；

以上便是網(wǎng)絡(luò)殺傷鏈，相比 PTES 更加貼合實(shí)戰(zhàn)階段。

3.MITRE ATT&CK框架

「ATT&CK 框架」，由 MITRE 公司于 2013 年提出來(lái)的一個(gè)通用知識(shí)框架，中文名叫做「對(duì)抗戰(zhàn)術(shù)、技術(shù)、常識(shí) 」

ATT&CK 框架是基于真實(shí)網(wǎng)絡(luò)空間攻防案例及數(shù)據(jù)，采用軍事戰(zhàn)爭(zhēng)中的 TTPs （Tactics, Techniques & Procedures）方法論，重新編排的網(wǎng)絡(luò)安全知識(shí)體系，目的是建立一套網(wǎng)絡(luò)安全的通用語(yǔ)言。

舉例，大家經(jīng)常聽(tīng)到的什么 APT 攻擊、威脅情報(bào)、態(tài)勢(shì)感知等等，無(wú)論個(gè)人還是企業(yè)，理解上不盡相同，總會(huì)有一些偏差的。

有了 ATT&CK 框架，大家不會(huì)存在太大的偏差，紅隊(duì)具體怎么去攻擊的，藍(lán)隊(duì)具體到怎么去防御的，使用 ATT&CK 矩陣可以將每個(gè)細(xì)節(jié)標(biāo)記出來(lái)，攻擊路線和防御過(guò)程都可以圖形展現(xiàn)出來(lái)，攻防雙方就有了一套通用語(yǔ)言了。

網(wǎng)絡(luò)安全行業(yè)的組織、機(jī)構(gòu)、廠家，每年都會(huì)造各種 ”新詞“，但 MITRE 這個(gè)組織推的這套框架，兼具實(shí)戰(zhàn)和學(xué)術(shù)價(jià)值，具備廣泛的應(yīng)用場(chǎng)景，對(duì)安全行業(yè)的發(fā)展推動(dòng)是實(shí)實(shí)在在的。

在未來(lái) 5 年也好 10 年也好 ，它可能會(huì)成為一個(gè)事實(shí)上的標(biāo)準(zhǔn)。

這里看一下左上角圖片，它整體有三個(gè)部分，一個(gè)是 PRE ATT&CK，一個(gè)是 ATT&CK for Enterprise，一個(gè)是 ATT&CK for Mobile，我們學(xué)習(xí)和研究時(shí)，核心放在 ATT&CK forEnterprise 即可。

大家可以看到，其實(shí)左邊這里面，也有偵查、武器化、載荷傳遞、利用、控制、執(zhí)行、維持等等階段，是不是跟前面介紹的網(wǎng)絡(luò)殺傷鏈?zhǔn)且粯拥哪兀?/p>

是的，你可以這么簡(jiǎn)單理解，其實(shí) ATT&CK 這個(gè)框架，剛開(kāi)始就是在殺傷鏈的基礎(chǔ)上，提供了更加具體的、更細(xì)顆粒度的戰(zhàn)術(shù)、技術(shù)、文檔、工具、描述等等。

因此，如果要深入學(xué)習(xí)紅隊(duì)，平?？梢远喙涔淙?ATT&CK 框架官網(wǎng)。

接下來(lái)，我們來(lái)重點(diǎn)看一下 ATT&CK for Enterprise。

這張圖里面，橫軸代表是戰(zhàn)術(shù)（Tactics），最新版本里橫軸包括的戰(zhàn)術(shù)有 12 個(gè)（原來(lái)是 10 個(gè)），縱軸代表的是技術(shù)（Techniques）有 156 個(gè)技術(shù) 272 個(gè)子技術(shù)，它是基于 TTPs 方法來(lái)描述的，所以非常標(biāo)準(zhǔn)和通用。

在實(shí)際的紅藍(lán)對(duì)抗、威脅情報(bào)分析、安全差距評(píng)估等工作場(chǎng)景中，都可以用得上。

這 12 個(gè)戰(zhàn)術(shù)從左到右，也是按照網(wǎng)絡(luò)殺傷鏈的路徑來(lái)編排的，包括初始訪問(wèn)、執(zhí)行、持久化、權(quán)限提升、防御繞過(guò)、憑證訪問(wèn)、發(fā)現(xiàn)、橫向移動(dòng)、收集、命令控制、數(shù)據(jù)獲取、影響。

每一個(gè)戰(zhàn)術(shù)下面包括很多技術(shù)，每個(gè)技術(shù)有詳細(xì)的過(guò)程，包括獨(dú)立的編號(hào)、描述、工具等。