红队测试的真正附加价值

品质不是在危机中获得的，只是在危机中呈现出来。真到遭遇灾难之时，留给你做准备的时间早已过去。但如果你能提前经受那天崩地裂的大事件，从而在灾难真正降临之时能够做好准备，情况又会如何呢？

至少，在安全领域，你还真能做到这一点。这可不是什么作弊，人家叫“红队测试”。红队测试别具一格，能给出不一样的结果，而且它测试的是你安全基础设施中用其他方法可能永远检验不到的部分：你的团队。

红队测试或许是成功渗透测试的合理后续，但其本身就是一头野兽。想要控制好这头野兽，你需要知道下列内容。

01

分清红队测试与渗透测试

红队测试和渗透测试总是被混为一谈，但二者是不能互换的。

渗透测试专门审查系统中的漏洞，会告诉对自家安全状况充满信心的公司：“你漏了一处”。然后公司就会意识到那个漏洞，决定如何修复或规避。

这个解释或许过于简单，但究其本质，渗透测试就是围绕立足漏洞并充分利用其价值而展开的。边界设定，规则已知，在此既定框架范围内，渗透测试人员可以无所不用其极地尝试利用这些漏洞。

然而，渗透测试的关键成果更在于到底做了什么。渗透测试人员做完测试后会向公司提交一份漂亮的书面报告，说明存在哪些缺陷，这些缺陷会造成何种麻烦。安全团队会讨论这些发现，采取行动堵上漏洞，并感谢渗透测试人员的付出。

红队测试则是给安全团队找麻烦。如果要用什么来类比的话，可以说，红队测试就像“军事演习”，整个公司连续数天乃至数周处在专业人士的疯狂攻击之下，情况变得纷繁复杂。

02

没有什么比得上玩真的

红队成员可不仅仅是有礼有节地寻找系统中的漏洞，他们还会寻找任何有弱点的迹象，如果找不到，那就造一个出来。这就是场毫无限制的演习，任何手段都可以使用。从搜索在线数据库到窃取高管凭证，再到通过注入攻击、恶意软件漏洞利用等等各种手段来搅乱网站，攻击者会让公司真正体验一下遭遇野生入侵是何种感觉。

没有什么东西比得上真品。红队演练能给团队带来一种心跳加速、彻夜不眠的冒险体验，到真遇上此类漏洞利用的时候，团队就能对自己会如何反应有所准备。恶意黑客可不会彬彬有礼，也不会提交给你一份漏洞清单。红队测试能够尽其所能地检验安全态势。

03

渗透测试你的团队

主要区别就在于此：渗透测试针对的是系统，红队测试针对的是团队。没错，红队也测试技术性防御措施，但其真正的附加价值在于，公司内部安全团队可以实时看到自己（和队友、老板，以及自己的各项流程）会如何反应。虽然是模拟的，但这些演练感觉就像真实的一样。团队需要经历战火洗礼才能适应这种热度。正如心理学家所言，人在压力下的反应和仅仅在热灯下的反应是两码事。渗透测试可以加强安全态势；红队测试则能增强团队。

04

一揽子交易

个中区别先放一边，值得注意的是，渗透测试和红队测试这两种攻击性演练是携手共进的。企业往往通过进行渗透测试来为红队测试做准备。这样一来，他们就可以在安全防护松动之前先堵上漏洞。然后，红队进场，让公司知道自己的准备工作到底有没有效果。而效果体现在策略、剧本、平均恢复时间（MTTR）和人员准备等等一切事务上。

CISO需要知道自己投资的技术有何效用，安全运营中心（SOC）需要知道自己面对现实场景的工作表现。Fortra的Core Impact是一款自动化渗透测试工具，任何使用者都可借助这款工具掌控企业级渗透测试技术。该工具直观易用，可以引导初级测试人员在不牺牲质量的情况下完成首次对战，并自动化已然成熟的技术，节省测试熟手的时间。接下来，Fortra的Cobalt Strike提供威胁模拟软件，可以模仿隐秘高端对手的技术。然后，团队就可以自行掌控攻击性安全，并反复演练，直至趋于完善。

现实世界可能不会给你机会对紧急情况进行演习，但借助Fortra的渗透测试和红队测试解决方案，企业可以为下一次网络危机做好必要的准备。

* 本文为nana编译，原文地址：https://www.tripwire.com/state-of-security/real-value-add-red-teaming
注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

更多推荐

原文始发于微信公众号（数世咨询）：红队测试的真正附加价值