如何打造一支优秀的红队？

在探究所有安全投入，比如技术管控、用户培训以及响应流程等，于定向攻击场景下的协同运作成效时，红队已然成为攻击性安全测试领域的标准。渗透测试侧重于系统的全面评测，通常来说，紫队聚焦于检测与响应能力的评估，而红队则致力于探寻从初始突破点至核心资产的攻击线路。

尽管红队演练在过去十年间取得了显著进展，然而众多企业高管却难以从红队活动中充分挖掘出预期价值。对此，Prelude 的CISO Matt Hand提供了一些指导方针，这些方针贯穿从规划筹备至问题整改的全过程，可助力其在红队协作项目中实现效益最大化。

在审视红队（专业渗透测试团队）行动时，Matt发现，其最常见的失误在于过度收窄的测试范围。这一局限往往在规划初期便已显现，负责定义系统、用户和网络不属于测试范围的安全人员，他们在无意中限制了红队于攻击路径上的选择。“如此做法，不仅导致测试情景失真，测试结果偏颇，还会使得红队的潜能得不到充分释放。造成这一现象的原因有很多，但归根结底，主要可归结为两点：对红队能力的不信任或对红队意图的担忧。这两种心态均会驱使人倾向于通过收窄测试范围，排除一切看似蕴含风险的因素。”

为破解此局，Matt表示，领导层应秉持开放心态，预设一个尽可能宽泛的测试范围，并将那些一旦因测试而中断服务，将给组织带来重大损失的系统排除在外，诸如生产系统、金融机构的SWIFT系统或高频交易平台等关键设施。

而为了确保在剔除高风险系统的同时，不人为束缚测试的深度和广度，较为有效的策略是设立验证点，用以证明红队有能力触及敏感系统，而无需直接触碰其核心。比如，红队若能成功渗透一个拥有敏感系统访问权限的用户账户，并验证其凭证的有效性，即可视为达到了这一目的。

Matt说：“切记，真正的攻击者从不关心你的测试边界。”

此外，Matt表示，如果我们限制红队只能刻板地模仿某个特定的威胁行为者或攻击活动，那么企业就无法从渗透测试中获取最大价值。虽然从理论上看，威胁行为者模拟（即让你的测试反映你所关注的威胁行为者所利用的技术、战术和程序，简称TTPs）非常有意义，安全团队可以将精力集中在现实中已被观察到的内容上。

“然而，这种方法本身存在许多逻辑缺陷，从威胁报告的局限性，到错误地假设威胁行为者不会改变其攻击手法等。我认为，如果你想要重现威胁行为者的特定行为，使用基于行为的自动化安全（Behavioral Analysis System，简称BAS）工具可能更为合适。最终，这会产生与上述问题相同的净效应，但这次是限制可以使用的技术，而不是可以攻击的目标。这最终会抑制团队的创造力，导致测试效果降低，从而使安全团队对安全态势的理解达不到该有的程度。”

Matt指出，当我们对安全团队施加人为限制时，可能会影响他们对环境以及业务的理解，以至于他们无法将技术串联起来，甚至会剥夺他们在测试过程中发现新型攻击手段的能力。

“如果安全计划中，所谓的测试是以威胁为中心，那么你就可以尝试使用其他项目来模拟威胁的特定行为，比如组建专注于测试威胁相关技术的紫队，或者利用威胁报告来指导红队测试，而不是仅仅将其限制在报告所描述的内容上。”

在实施渗透测试时，一个有效的策略是，仅采纳威胁报告中的宏观概述作为指导。举个例子，比如某威胁行为者入侵了财务部门的Windows工作站，他们窃取了敏感文件共享资源，因此产生了相应的威胁报告。虽然这样的报告为测试规划提供了合理的框架，但其并未对“团队使用何种具体的持久性机制”或“攻击哪些类型的文件共享资源”做出严格限制，因此才说为什么“仅采纳威胁报告中的宏观概述作为指导”就可以了。

Matt表示，“拓宽于报告之外”赋予了安全团队充分的自由度，能鼓励他们在保持与现实威胁紧密关联的同时，积极探索和发挥创意。安全团队可以根据对环境和业务的理解，灵活运用各种技术和策略，以全面评估组织的安全防护能力。

通过这种方式，渗透测试不仅能够更贴近真实世界的威胁场景，还能够为董事会或上级提供“关于组织可能面临的潜在风险”的价值见解。同时，团队的创新精神也得到了充分的激发和锻炼，为未来的安全测试工作奠定了坚实的基础。

在Matt作为红队成员的经历中，他观察到的一个显著的结构性问题在于，客户往往要求红队必须首先自行获取初始访问权限，才能进一步评估内部网络。这种做法不仅效率低下，而且实际上是在浪费时间。“想象一下，在为期六周的测试周期内，如果我们将大部分时间用于钓鱼攻击用户或探索攻击路径以评估风险和漏洞，这是否合理？”

Matt对此表示，红队的核心价值在于解答这样一个问题：一旦攻击者突破了组织的防御边界，接下来会发生什么？这并不意味着红队无法进行初始访问评估，而是指它们更擅长处理其他类型的任务。由于评估防御边界需要投入大量的时间和资源，因此，将其作为单独的项目进行往往更为明智。

为了更有效地组织红队工作，一些聪明的CISO会采取以下策略：他们会允许红队的部分成员先获得对某个系统的访问权限，以开始探索攻击路径，而另一部分成员则专注于执行初始访问评估。当这部分成员完成他们的任务后，他们会重新加入团队。更有一些成熟的组织，会将这些测试任务完全分开，作为独立的项目进行，有时甚至会将它们串联起来，以形成一个完整的故事线。Matt说：“我曾见证过一家金融机构同时运行了两个为期八周的初始访问项目，其分别为钓鱼攻击和外部攻击面利用。这些项目的成果，包括那些被钓鱼成功的用户，以及被红队成功获取代码执行权限的外部系统，都为红队后续的深入测试提供了重要的登陆点和参考依据。”

另一方面，Matt表示，红队渗透测试结束后的总结会议往往弥漫着紧张氛围。红队可能已经揭露了攻击路径上的重大安全漏洞，同时所有相关责任人都会齐聚一堂或通过电话连线，一起直面这些问题。此时，人们很容易因为SOC未能追踪到红队的横向移动，身份管理团队为何关闭企业管理员的多因素认证（MFA），以及安全工程团队为何未能在所有主机上部署终端检测与响应（EDR）等问题而相互指责。这时就会导致情绪紧张、心情沮丧，甚至感到尴尬。

“然而，对于组织来说，最重要的是要认识到，红队是在威胁行为者之前发现了这些漏洞，为组织提供了修复的机会。因此，应努力营造一个基于诚实、谦逊和同理心的交流环境。这并不意味着可以完全避免负面情绪，但一个积极、建设性的对话氛围将极大提升讨论的质量。”

Matt说，作为安全领域的负责人，我们的任务是确保讨论聚焦于已识别的问题本身，而个人责任。一旦对话开始变得具有攻击性或争论激烈，应适时提醒团队：你们是在共同面对挑战，红队的发现是在真正发生安全事件之前为你们敲响的警钟。“随着时间的推移，这种团队精神将深深融入组织文化，团队成员也会自发地将这种态度传递给更多人，这样就能让这种积极的做法在组织内部生根发芽。”

当红队被边缘化，他们容易被视为仅传递负面信息的外部力量，最终可能转变为被对待的“对手”，而非携手共进的“伙伴”。Matt建议道：“因此，红队需积极融入安全组织及整个企业的其他团队，投入大量时间进行协同作业，这是构建高效安全防御体系的关键。”

卓越的红队与他们的利益相关者建立了深厚的联系，特别是那些拥有红队攻击目标系统的团队。Matt说，自己职业生涯中最具价值的经历之一，便是与SOC团队并肩作战，在项目结束后协助他们根据使用的攻击技术建立检测机制。“在修复过程中培养起来的深厚关系和相互理解，不仅帮助我们在复杂局面中化险为夷，也让我们对SOC团队的工作负担有了更深的同情和认识。”

在安全生态体系中，红队应扮演“传教士”的角色，而非“雇佣军”。“如果你的红队尚未与利益相关者建立直接合作关系，那么现在正是最佳时机。鼓励红队成员与SOC团队建立个人层面的联系，比如每季度安排一次共进午餐的机会，或共同投入一周时间合作完成一个项目。甚至可以考虑设立一个人员轮换机制，让两个团队互换代表进行几周的合作，以此增进相互理解和新鲜感，共同推动安全防御体系的持续优化。”

对于红队的认知，以及红队后续该如何发展，国内安全专家如此建议。

某互联公司数据安全专家王冠超表示，所在公司的红队肩负着至关重要的职责，其核心使命在于全面检测、有效预防以及彻底消除基础架构与业务运营中所面临的各类安全风险。这些风险可能源自技术层面的漏洞，也可能潜藏于业务流程的疏忽之中，对组织的整体安全态势构成严重威胁。

“然而，在我看来，红队的工作远不止于单纯的技术操作层面，如挖掘系统漏洞、成功渗透内部网络或实施钓鱼攻击以诱捕不法分子。诚然，这些技术成就能够在一定程度上彰显红队的实力与专业性，但绝非其全部价值所在。更为关键的是，红队需要将自身所掌握的渗透测试、安全审计与效能评估、模拟攻击（包括钓鱼攻击与攻防实战演练）、安全检查与系统加固等一系列安全能力，深度融入到公司的日常业务运营之中。这意味着，红队需要与公司的IT部门、业务部门以及管理层紧密合作，共同推动安全能力与业务逻辑的深度融合，以DevSecOps等先进理念为指导，实现安全与业务的同步规划与协同发展。”

王冠超表示，在这一过程中，红队需要特别注重平衡安全与效率的关系。在确保业务安全稳定的前提下，尽可能减少对数据流动与人员工作效率的阻碍与干扰。通过精细化的安全管理策略与智能化的安全技术手段，红队能够在保障业务连续性的同时，有效打击网络犯罪分子的嚣张气焰，大幅提升其违法成本，为公司的长远发展保驾护航。

关于后续红队可以有怎样的发展，王冠超指出，国内的红队发展分为两个方向，一是乙方的红队，特点是技术能力强，各种发撒思维的突破方式。能够检测甲方网络、人员意识方面的不足；二是甲方的红队，特点是更关注于企业自身数据安全问题，如订单数据泄漏，供应链代理数据泄漏等业务风险。多一个漏洞少一个漏洞的公司领导不是很关心。

“然而，在我看来，这两个方向的红队之间并非完全割裂的。相反，他们应该加强交流与合作，共同推动网络安全防护水平的提升。乙方红队可以从外围入手，帮助甲方红队验证网络和合规风险，提供技术支持和咨询建议，使甲方团队能够更加专注于业务风险的管理和应对。同时，甲方红队也可以将自身在业务安全方面的实践经验和案例复盘分享给乙方红队，以便双方能够相互学习、共同进步。”

王冠超表示，通过这种合作与交流的方式，我们可以实现以攻促防的目标，共同打击网络犯罪行为。乙方红队的技术实力和创新能力可以为甲方红队提供更多的安全验证手段和方法，而甲方红队对业务安全的深入理解和实践经验则可以为乙方红队提供更加具体的攻击场景和测试目标。两者相辅相成，共同推动网络安全防护技术的不断发展和完善。

中国移动上海产业研究院正高级工程师唐双林表示，在电信运营商企业中，安全攻击红队扮演着关键角色，他们通常行事低调而注重实效，主要工作包括：

1、实施模拟攻击：红队成员扮演攻击者角色，运用多种攻击技术和策略来测试企业的网络安全防线。这样的模拟攻击有助于揭示企业安全体系中的潜在漏洞和缺陷。

2、执行安全评估：红队负责评估企业的安全防护措施，找出其中的不足之处，并提出改进方案。他们的目标是降低企业面临的安全风险，并增强企业在遭遇真实攻击时的应急响应能力。

3、进行技术验证：红队依据法律法规和公司的安全政策，利用技术手段来检验公司业务产品和解决方案的安全性，确保其安全防护效果符合标准。

4、提升员工安全意识：通过模拟钓鱼和社会工程学攻击，红队教育员工如何识别和防范这些威胁，从而提高员工的安全意识，减少安全事件的发生。

5、参与攻防演练：红队积极参与国家和地方组织的攻防演练活动，通过实际操作来提升团队的技能，并不断优化团队的应对策略，以适应不断演变的安全威胁环境。

“总体而言，安全攻击红队对于电信运营商企业来说至关重要，他们通过模拟攻击手段，助力企业增强安全防御，确保企业在面对真实攻击时能够保持敏捷和有效的应对。”

此外，唐双林还提出以下建议：

1、管理层面，构建综合红队测试体系：借鉴STAR框架（SocioTechnical Approach to Red Teaming），融合社会学和技术学的方法，以增强安全测试的广度和深度。这种体系旨在通过综合考量技术和社会因素，提升企业安全防御的全面性和精准度。

2、技术层面，整合AI技术优化攻击策略：运用先进的人工智能技术，如大型模型和私有数据库，来扩展红队的知识库和分析能力。通过集成外部数据源和搜索引擎，增强红队智能体的网络安全专业技能。同时，运用AI技术开展对抗性测试、数据污染、模型逆向分析和社会工程攻击，以评估AI系统的稳定性和安全性。这种方法不仅能够增强红队的攻击能力，还能揭示AI系统中的潜在风险，进而强化系统的整体安全性能。