网络安全红队与蓝队

在讨论网络安全时，经常提到“红队”和“蓝队”这两个词。长期以来，这些术语与军队联系在一起，用于描述使用他们的技能模仿“敌人”可能使用的攻击技术的团队，以及使用他们的技能进行防御的其他团队。在网络安全方面，没有太大区别。今天我们将讨论红队与蓝队，它们的重要性，以及为什么每家公司都应该利用这些高技能专业人员的能力。

什么是“红队”？

红队专注于不同系统及其安全程序级别的渗透测试。 它们的存在是为了检测、预防和消除漏洞。

红队模仿可能袭击公司或组织的现实世界的攻击，并执行攻击者将使用的所有必要步骤。通过扮演攻击者的角色，他们向组织展示了哪些可能是对其网络安全构成威胁的后门或可利用漏洞。

一种常见的做法是聘请组织外部的人员进行红队 - 具备利用安全漏洞的知识但不了解组织基础架构中内置的防御措施的人员。

红队使用的技术多种多样，从针对员工和社会工程的标准网络钓鱼尝试到冒充员工以获取管理员访问权限。为了真正有效，红队需要了解攻击者将使用的所有策略、技术和程序。

红队提供了重要的好处，包括更好地了解可能的数据利用和预防未来的违规行为。通过模拟网络攻击和网络安全威胁，公司可以确保其安全性与适当的防御措施相提并论。

什么是“蓝队”？

** 蓝队类似于红队，因为它还评估网络安全并识别任何可能的漏洞。**

但蓝队的不同之处在于，一旦红队模仿攻击者并以特有的战术和技术进行攻击，蓝队就会找到防御、改变和重组防御机制的方法，从而使事件响应更加强大。

与红队一样，蓝队也需要了解相同的恶意策略、技术和程序，以便围绕它们制定响应策略。蓝队活动并不是攻击所独有的。他们不断参与加强整个数字安全基础设施，使用像 IDS（入侵检测系统）这样的软件，为他们提供对异常和可疑活动的持续分析。

• • 安全审计，例如DNS审计

• • 日志和内存分析

• • pcap

• • 威胁情报数据分析

• • Digital footprint analysis

• • 逆向工程

• • DDoS测试

• • Developing risk scenarios

红队重要还是蓝队重要？

红队和蓝队之间总是有一种轻松的“敌意”，所以问不同的人可能会给我们不同的答案。我们很高兴的一件事——没有人在我们的小把戏上！事实是，没有蓝队就没有红队，反之亦然。我们无意欺骗任何人，但这是一个欺骗问题！这个问题的真正答案是：两者兼而有之。

红队用进攻和进攻的战术来检验蓝队的预期和防守准备。有时，红队可能会发现蓝队完全忽略的漏洞，而红队有责任展示如何改进这些事情。红蓝团队共同打击网络犯罪分子至关重要，这样才能提高网络安全性。

没有“红队胜过蓝队”，选边站队或只投资一个队没有好处。重要的是要记住双方的目标是防止网络犯罪。

试图调和红色和蓝色团队的一个想法是创建紫色团队。紫队这个概念并不能真正描述一个全新团队的存在，而是红队和蓝队的结合。它让两个团队一起工作。

公司需要双方团队的相互合作，以提供双方的完整审计，记录他们执行的每项测试并记录相关细节。红队提供他们在“攻击”时执行的操作的信息，蓝队提供他们为填补空白和解决他们发现的漏洞和问题而采取的行动的文档。

红队和蓝队都是必不可少的。如果没有他们不断的安全审计、渗透测试的实施和安全基础设施的开发，公司和组织将不会意识到自己的安全性。好吧，在一些数据泄露发生之前，他们不会意识到，而且很明显他们的安全措施还不够。

红队和蓝队的特点和他们使用的技术一样不同。这将使您更深入地了解这两个团队所扮演的目的和角色。您还将更好地了解您自己的技能是否适合这些网络安全工作描述，从而帮助您选择正确的道路。

红队技能Top 5

红队的主要特点是跳出正常思维（机敏）；不断寻找新的工具和技术来更好地保护公司安全。作为红队有一定程度的反叛，因为这是一种禁忌——你违反规则和合法性，同时遵循白帽技术并向人们展示他们系统中的缺陷。这些不是每个人都喜欢的东西。

深入了解计算机系统、协议和库以及已知方法将为您提供更清晰的成功之路。

对于红队来说，了解所有系统并跟随技术趋势至关重要。了解服务器和数据库将使您有更多选择来寻找发现其漏洞的方法。

知道如何开发自己的工具的好处是巨大的。编写软件需要大量的练习和不断的学习，因此通过它获得的技能将帮助任何红队执行最佳的进攻战术。

渗透测试是模拟对计算机和网络系统的攻击，有助于评估安全性。它识别漏洞和任何潜在威胁，以提供全面的风险评估。渗透测试是红队的重要组成部分，也是他们“标准”程序的一部分。白帽子也经常使用它。事实上，红队采用了许多白帽子黑客使用的工具。

在对任何组织进行安全审计时，操纵人员执行可能导致敏感数据泄露的操作非常重要，因为人为错误是数据泄露和泄漏的最常见原因之一。

红队必须不断地跳出框框思考并发现新的工具和技术来跟上攻击者的步伐。红队在操作过程中使用的工具有很多，例如用于侦察、提权、横向移动、渗透等的工具。

5 种最常用的红队工具：

• • Namp - 开源网络扫描仪

• • Haktrails - 用于查询 SecurityTrails API 数据的基于 Golang 语言的工具

• • Shodan - 物联网设备的搜索引擎

• • Mimikatz - 用于后期开发活动的开源工具

• • SecurityTrails API - 最新的 DNS 和域情报

蓝队技能Top 5

一个更“按部就班”并且采用久经考验且值得信赖的方法的人更适合作为蓝队成员。需要一种非常注重细节的思维方式，以防止在公司的安全基础设施中留下漏洞。

在评估公司或组织的安全性时，您需要创建风险或威胁概况。一个好的威胁配置文件包含所有可能包括潜在威胁攻击者和现实威胁场景的数据，通过在可能薄弱的前沿工作，为任何未来的攻击做好充分准备。利用OSINT和所有公开可用的数据，并查看可以帮助您收集目标数据的OSINT 工具。

为了真正为任何攻击或破坏做好准备，所有系统都需要采用技术加固技术，以减少黑客可能利用的攻击面。绝对必要的是强化 DNS，因为它是强化政策中最容易被忽视的问题之一。

熟悉允许跟踪网络以发现任何异常和可能的恶意活动的软件应用程序。跟踪所有网络流量、数据包过滤、现有防火墙等将更好地控制公司系统中的所有活动。

SIEM，即安全信息和事件管理，是一种提供安全事件实时分析的软件。它从外部来源收集数据，能够根据特定标准执行数据分析。

就像红队一样，蓝队使用各种工具，例如蜜罐、沙箱、端点检测和响应 (EDR)、威胁检测和SIEM，仅举几例。

5 种最常用的蓝队工具：

• • 名字：Splunk

• • 链接：https://www.splunk.com/?rel=nofollow,noopener,noreferrer&target=_blank

• • 名字：Ettercap

• • 链接：https://github.com/Ettercap/ettercap?rel=nofollow,noopener,noreferrer&target=_blank

• • 名字：MozDef

• • 链接：https://github.com/mozilla/MozDef?rel=nofollow,noopener,noreferrer&target=_blank

• • 名字：SurfaceBrowser™

• • 链接：https://securitytrails.com/corp/surfacebrowser

• • 名字：Cuckoo Sandbox

• • 链接：https://github.com/cuckoosandbox/cuckoo?rel=nofollow,noopener,noreferrer&target=_blank

总结

您可能会认为，当涉及到红队或蓝队时，您会偏爱一个，但事实是，只有两个团队一起工作，才能为任何网络攻击做好准备的完整有效的安全基础设施。

整个网络安全行业需要更多地了解如何让两个团队合作并相互学习。有人可能会称其为紫色团队，但无论您如何称呼它，红蓝团队的团结是通向真正彻底的网络安全的唯一途径。

码字不易，喜欢给个关注哈~~~

原文始发于微信公众号（威胁情报捕获与分析）：一文搞懂网络安全红队与蓝队