本文的内容参阅了奥克利博士（Dr. Jacob G. Oakley）的著作《Conducting Successful Cybersecurity Engagements:Professional Red Teaming》一书，笔者会分享本书中部分章节中的重点内容以及学习笔记，希望能帮到更多的人。如果您有好的建议或想法，请在评论区留言，一起交流学习，如文中有误，请斧正。

开展专业的红蓝演练 Part.1：演练目的及形式

开展专业的红蓝演练 Part.2：红蓝演练的优点及作用

在《开展专业的红蓝演练 Part.1：演练目的及形式》中，我们共同学习了“红队”的目的和三种演练形式的概念及特点。本文将阐述红蓝演练的优点和缺点，以及红队在防御、监控、响应这三个方面的作用。

许多攻击性安全专业人员的职业生涯都是从系统工程师、管理员或开发人员开始的，他们利用自己的经验和黑客思维来提供补救指导。对于这些专家来说，与甲方企业组织的实施方(如管理员或安全人员)讨论补救措施是非常有用的。通常情况下，他们解决问题的想法并不考虑攻击者的想法或行为。让红队参与决定补救行动可节省时间，并更有效地处理安全问题。此外，在补救工作完成后，引入红队的评估人员再次执行红蓝演练，以确定之前发现的安全问题是否得到了满意地处理。

无论是在报告中还是在与安全人员的讨论中，都可以体现出红队对于缓解威胁的益处。红队发现的安全问题，在某些时候对安全人员来说是无价的。举个例子，我们使用漏洞扫描识别出了企业组织正在使用的某些低成本机器上存在安全问题，但是公司管理层可能出于 ROI 的考虑不允许安全人员处理这些安全问题。由于易受攻击的机器成本很低，当这些机器被攻击时，公司高层可能会决定替换或重新格式化这些相同的设备。红队的介入将通过演示攻击者如何利用这些低成本的设备入侵公司的整个网络，并帮助安全人员指出这种情况的不可取之处。公司高层管理人员可能会因此改变他们关于保留使用这些机器的想法。

红蓝演练的缺点

本文既然是关于红蓝演练的讨论，那么如果不涉及红蓝演练的一些缺点和挑战，就不是完整的讨论。如前所述，红蓝演练是信息安全领域中可用的最锐利的一种手段，但这显然也不是万能的。红队的实现非常复杂，即使是在甲方公司内部有机地组建红队也是如此。由于缺乏标准和透明度，由外部第三方提供的（无机地）红队可能是不可靠的。此外，组建红队可能会在工作场所中导致紧张或敌对的关系，并由此产出的评估报告可能需要承担巨大的责任。

许多事情让执行一次成功的红蓝演练任务变得复杂。有些是可以避免的，而有些则必须作为做生意的成本来接受。建立一支红队或者为红队的服务付费这两种方式的成本都是很昂贵的。因为在安全行业中，真正懂攻击的人才凤毛麟角。此外，很难找到一群有才能的黑客，并且他们碰巧是值得信赖的，有良好的判断力。更难以找到有才能并且值得信赖同时也善于与他人(如安全人员/主管)友好相处，并能与公司领导层很好地沟通的黑客，而这些人实际上有利于修复红队发现的安全问题。因此，专业的红队候选人非常难寻，正如前面提到的，许多企业组织无法将他们有机地保留为红队的一部分。这意味着许多企业组织都会选择雇佣外部的红队作为一种安全服务。

使用供应商来提供红蓝演练服务并非没有问题。对于乙方企业组织来说，这同样是非常昂贵的。在这些情况下，可能不会有一个持续的红队生命周期，项目通常只需要两到四周的短期努力后就结束了。当一个企业组织试图满足审计或实施审计的安全需求，但又没有足够的预算时，尤其如此。为了省钱，让第三方提供的红队尽可能缩短投入时间，会导致不可靠的结果。不管评估人员多么有才华，一周的红蓝演练工作不太可能挖掘出多少东西，并可能导致客户组织对自身的安全态势产生一种错误的安全感。

第三方提供的红队作为一种服务也提出了防御性的问题。有些供应商甚至把简单的漏洞扫描服务作为一种攻击性安全产品来销售。此外，为了保护商业秘密和竞争力的目的，使用不公开的定制工具和流程通常与维护行业范围的标准化和防御性服务是相冲突的。

假设有足够的预算来组建一支优秀的红队，或者使用一支有能力的、专业的红队服务，那么仍然存在着合同和法律方面的制约因素。红蓝演练可能涉及到一些受到法律法规（例如《健康保险可移植性和责任法案》(HIPAA))保护的信息的设备，财务信息，以及个人身份信息(PII)。从事这些业务的人员必须了解与这些数据有关的法律，在某些情况下，还必须被指定专门处理这些数据。

除了合法性问题，合同义务也会使红蓝演练的流程复杂化。许多企业组织都在努力让云基础设施提供商对他们的部分或全部系统进行测试。在几乎所有的情况下，这些供应商都有用户协议，以防止在他们的云系统中进行红蓝演练活动。在某些情况下，可以获得特殊的许可来允许在这些环境中进行测试，但是许多客户企业组织没有意识到这一点。如果不首先与客户解决这个问题，红队可能会发现自己处于这样一种情况：红队的演练活动导致客户在云上停用了一些服务器或被列入了黑名单，从而导致利润或数据的损失。更糟糕的是，这样的活动可能会违反托管服务和客户之间的合同义务，从而使供应商不再与之长期合作。即使对存储在云中的测试系统授予了权限，许多云基础设施服务仍然会在系统之间不断地轮换地址。假设某一天，一个给定的地址可能与红队的客户端有关;那么接下来，红队就有可能将矛头指向一家完全不同的公司所拥有的设备。在这个例子中，红队发现自己正试图非法入侵一个未知的组织。这些就是为什么我们要在红蓝演练活动中要特别小心的一些例子。

当红蓝演练完美执行时，在评估阶段的后期，红队的任务仍然涉及到对人的关怀和专业精神。应对红蓝演练最困难的事情之一是人与人之间的对抗。红队的演练结果可能会让蓝队人员感到尴尬甚至更糟糕的是失去工作，这可能会导致一些蓝队人员为红队设置层层障碍。在确认演练范围和约定的规则中，这些人可能会以这样一种方式限制安全测试，即关键系统不在评估范围内。在测试的执行过程中，这些人可能会试图实施防御和监控技术，这些技术只会阻止红队的成功，而不会对企业组织的安全态势做出实际的贡献。比如说，蓝队人员了解红队使用的工具，一直在所有系统中搜索相关的签名，并在每个环节标记红队的活动。如果这些工具没有被真正的攻击者使用，那么蓝队的做法就没有起到真正的防御作用，只是在阻止红队的评估工作。

此外，如果红队的源地址在演练规则中被披露给蓝队，那么蓝队人员可以简单地封锁该地址的所有流量，以阻止红队的成功。最后，含有“敌意”的个人可能会因为“面子”淡化与公司高层沟通演练的结果。这种想法或行为似乎很荒谬，但当人们认为他们的生计受到威胁时，他们会不惜一切代价来作出保护。

红队必须以专业和政治的方式采取行动，使公司内的蓝队人员不致处于防守状态。这需要在红蓝演练的所有阶段保持——从演练方案的成形，到演练的执行，再到最后的评估阶段。保持红队和蓝队人员之间良好的工作关系至关重要。

红队的另一个潜在缺点是报告本身。报告成为负面影响通常是红蓝演练中最不可能发生的事情。红队的报告是一份将企业组织面临威胁风险的调查结果清单，而这份清单可能是一项巨大的责任。设想这样一个场景：一家医院雇佣了红队人员来执行红蓝演练任务。红队发现了10个潜在的漏洞，这些漏洞会被高层管理人员接受，然后他们将这些漏洞按影响程度从高到低进行排序。管理层要求蓝队人员按照他们的排名顺序来解决这些安全问题。假设第六个漏洞不会在六个月内修复，而影响更大的漏洞会被修复。在第五个月，黑客利用了列表上的第六个漏洞，并破坏了医院数据库的 HIPAA 和PII 数据。数据泄露事件被披露后，该医院被数名患者起诉。在诉讼过程中，医院被要求证明其定期进行了的红蓝演练，并出示调查结果。然后人们发现，医院在几个月来早已知悉获取患者数据的漏洞。尽管医院按照严重程度对演练结果进行了处理，但由于红队的报告中已经披露了这一漏洞，因此医院可能要承担责任。这个缺点和其他缺点不应该成为阻止使用红队的理由，但红队的专业人员和那些希望使用红队的人应该知晓这一缺点。 

总结

本章描述了红蓝演练的概念以及实现红蓝演练的意图。此外，我们还讨论了使用这种主动安全能力的优点和缺点，以便在后面的章节中提供指导。

红蓝演练是一种主动防御的手段，能够有效的评估企业当前的安全水位以及当前的防御措施是否奏效，同时还能评估企业对于攻击事件的反应（应急响应）能力，但在演练的规划，执行以及最后的报告阶段仍然有许多问题需要注意。笔者结合自己的演练经验，有这么几点需要说明，在演练之前，红蓝双方需要明确演练范围并约定好规则，这些范围和规则要足够明确和精细。此外还要得到双方的认同，否则在演练结果通晒的时候会引发争议，就像作者所说的，要避免人与人之间不必要的“对抗”。最后，演练过程中发现的问题（不一定是漏洞）要及时解决，有时需要叫上红队一起推动。