原创 | 我对红队与渗透测试团队的理解！

国内网络安全培训环境，什么红队高级班，什么护网高手班，什么高薪就业班，什么进阶班。。。一片乱像，割韭菜的机构层出不穷，靠短视频、新媒体营销，韭菜嘎嘎割，收获一大片，可喜可贺！（发个牢骚，人总会吃亏，被割一次就会吸取教训）

能沉下来，去做安全研究的，越来越少。对网络安全有一些看法的，也可以加我微信，互相交流和学习。

今天，我想和大家交流下我对渗透测试和红队的理解。

这两个词语经常被一起讨论，所以可能会让人感觉到有些混淆。

在这里，我会谈一下我是如何理解渗透测试团队和红队这两个不同的术语的。

渗透测试团队更多的是对网络、应用程序以及硬件等方面进行严格的、全方位的测试。

如果你之前没接触过渗透测试，我建议你先阅读一下渗透测试执行标准 PTES——这是一个关于如何进行渗透评估的非常好的指导手册。

简而言之，你会经历确定渗透测试范围，然后对其进行详细的信息收集，下一步的漏洞挖掘，漏洞利用，以及后渗透阶段和最终的完成渗透测试报告等所有工作。

在传统的网络测试中，我们经常会用扫描器扫描漏洞，去寻找可利用的漏洞点和应用或者系统，可能会稍微的再进行一点深入的工作，去找到域管理员，最后写一份报告。

这种类型的测试创造了一个漏洞挖掘、漏洞修补以及可控性的测试方法的整体模型。

即使是在确定范围期间内，渗透测试也非常明确，首先测试评估期间是在一周或两周内，其次通常会向公司内部的安全团队进行结果公布，因为公司仍然需要渗透测试人员作为其安全软件开发周期(S-SDLC)不可或缺的组成部分。

现在，即使很多公司遵循安全软件开发生命周期，拥有漏洞防护程序，渗透测试人员，应急响应团队或应急程序，并且可能还有很多昂贵的安全防火墙，但他们仍然会有被入侵的威胁。

如果我们看看最近爆出来的任何一个漏洞，我们会发现有很多大公司都会中招。而且我们可以在一些安全报告中看到一些在六个月以前就被入侵的案例。我想问问所有的公司，如果你们公司遭遇了同样的攻击，你能检测到吗？会用多长时间发现？被入侵以后你可以从攻击中恢复吗？你能准确的知道入侵者对你的公司做了什么吗？

这就是红队存在的意义。

红队的任务就是模仿入侵者的TTP（战术和技术手段）。

红队的目标是测出公司应对入侵事件的真实状况，找到安全计划中的问题和员工对安全项目的理解中的不足，最终提高他们对安全计划的理解。

对于红队来说，它不像渗透测试那样有条不紊。

因为我们是在模拟现实的入侵事件，所以每个测试过程都会有很大的差异。比如一些测试项目可能侧重于窃取员工个人的身份信息(PII) 或者信用卡，而有的测试项目可能侧重于进行域环境的接管。

说到域管，我就是在这个地方看到了渗透测试和红队的最不一样之处。

对于网络测试，我们喜欢通过获取域管理员（DA）权限以获得对域控制器（DC）的访问权。但对于红队来说，我们完全可以忽略域控制器（DC）。

其中一个原因是我们可以看到许多公司会在其分布式控制系统周围放置了大量的保护设施。

它们可能采取程序白名单，流量监控，大量的IDS/IPS/HIPS规则，甚至更多防护措施。

因为我们的任务是尽可能的不被发现，所以必须低调谨慎行事。

我们遵循的另一条规则就是，几乎不会对内部网络进行大规模的漏洞扫描。

你见过有多少入侵者会对内部网络进行大规模的扫描？

几乎没有吧，为什么呢，因为漏洞扫描会对网络造成很明显的冲击，在现在这个社会很容易被发现。

渗透测试和红队的另一个主要区别是时间范围，对于渗透测试，不出意外的话我们会很幸运的有两周的时间。

然而，红队的测试短达两周，长达六个月（国内HVV只有国家级才有20天，省10天，市州5-7天）。其实红队在我们国内总认为是在HVV的时候才出现。很多大厂和小公司，针对不重视的地区，都是找一些学生去应付，因为领导好忽悠，领导不懂技术。对于一个有实力的红队队员，在一些企业中的成本是非常高的，也没有人员去应付大面积的HVV或者应急演练。我觉得是正常现象，大家看看热闹就好，对于现象，我觉得在这里可以忽略，我们还是回归技术的本质。

红队需要模拟真实的攻击、社会工程学、远控木马等等。

最后要说的是，还有一个显著的区别是红队的测试结果是两种团队的共同努力。

并非使用漏洞列表，红队的调查结果需要更多地针对蓝队团队流程，政策，工具和技能等方面。

在你最终的报告中，你可能会有一些能用于模拟入侵的漏洞方面的发现，但更多的是需要发现应用程序中的漏洞。

要永远记住，模拟入侵的结果是要针对制定的安全计划，而不是单纯的信息技术。

作为红队，我们要向公司展示自己的价值，这和挖掘到的漏洞数量和漏洞严重性无关；它和能证明安全计划如何正常运行有关。

红队的目的是模拟真实入侵事件，所以我们要尽可能的低调。

从这些测试计划中抽取出的两个强有力的衡量指标是检测时效（TTD）和缓解时效（TTM）。

虽然这些不是新的概念，但对红队来说仍然很有价值。

什么是检测时效（TTD）？这是从入侵事件的初始发生到安全分析人员检测并开始处理入侵事件之间的时间。

假设你有一封社工钓鱼邮件，然后用户会在他们的系统上执行恶意软件。

即使他们的杀毒软件，防火墙，或检测工具可能会报警，但这个时效是安全分析人员发现并第一次记录的时间。

缓解时效（TTM）是测试记录的次要指标。

当进行防火墙阻止入侵，DNS 污染，或者网络隔绝这些操作的时候，会记录这个时间。

要记录的另一个有价值的信息是安全团队如何使用信息技术，管理层如何处理重大事件，以及员工是否惊慌失措。

基于这所有的时效，我们可以用真实的测试结果计算你的公司是否是有风险的，或者它被入侵破坏的可能性有多大。

总结

我希望你把自己当作一名红队队员，并把注意力集中于以下几点：

• 应用程序的安全漏洞而不是信息技术的漏洞；

• 模拟真实世界的入侵事件；

• 为红队持续的发展做出极大努力；

挑战所有的安全系统......提供真实的数据来证明安全漏洞。

原文始发于微信公众号（船山信安）：原创 | 我对红队与渗透测试团队的理解！