红队服务通过引入安全专家团队(通常是道德黑客和渗透测试专家)来帮助您测试企业的安全防御。该团队会找出您的技术和人类防御中的弱点,努力寻找他们可以利用的漏洞。现实世界中的攻击者正在寻找进入和利用这些弱点的方法,因此企业需要在网络攻击者之前意识到潜在的漏洞并堵住这些漏洞。
“除了防御者对自己网络的先验知识之外,看到潜在攻击者将看到的结果,将使人们能够很好地了解网络及其资产的实际状态。” – Itay Peled,你攻击过你自己的网络了吗?
红队服务通过以下方式帮助您的防御团队更快地提高其能力:
- 检测弱点
- 了解和优化事件响应流程
- 优化检测和监控系统
精通红队网络安全的专家明白,威胁行为者不仅限于远程网络攻击者;他们也可能是妥协的合作者、心怀不满的员工(内部威胁)、竞争对手以及恐怖分子或网络活动家。红队服务可以通过以下三种方式帮助保护您的业务。
1. 像攻击者一样思考
了解您的潜在对手及其攻击动机有助于红队评估在开始与红队交战时应关注哪些高价值目标。大多数企业及其安全团队主要关注培训、预防和检测。挑战在于攻击者的想法不同。他们正在寻找方法来利用人员、流程或技术来访问他们想要的资源。红队网络安全将攻击者的方法带到每一次交战中。最优秀的红队队员利用他们的知识、技能和想象力进行攻击并为您的企业提供反馈,以便您可以有效地保护您的网络资产。
“知己知彼,百战不殆。” ——孙子兵法
攻击者经常关注如何获得渗透内部网络所需的访问权限。一旦他们这样做了,他们的动机就会决定他们的下一步。红队服务通过考虑这些动机并发现网络安全防御中的关键问题来帮助企业,包括:
- 确定黑客访问、修改、泄露或删除特权客户端数据的容易程度——以及攻击者可能使用的方法
- 确定可用于破坏业务连续性或造成财务损失的方法
- 暴露任何可能让犯罪分子逃避内部安全团队发现的监控和检测漏洞
2. 根据风险严重程度确定优先级
所有网络安全专业人员都熟悉通用漏洞评分系统 (CVSS) 框架,该框架捕获软件漏洞的特征以创建反映该漏洞严重程度的数字评分。然后对这些分数进行定性排序:低、中、高和严重。这有助于组织根据漏洞的严重程度、利用的难易程度以及修补或创建补偿控制以降低风险的难度来确定漏洞管理流程的优先级。
风险严重性是相似的——它是一种衡量给定风险发生时影响程度的方法。红队服务可以评估技术风险,然后将其应用于业务风险,以帮助您企业的领导团队了解不同风险的现实影响。例如,如果某个特定的技术风险极难被利用,而红队已确定业务风险较低,则可以优先考虑其他业务风险更大的技术风险。红队活动与技术相结合,可以为您的企业提供做出更好的业务决策所需的环境,并专注于最重要的补救工作。
3.创建基于层次结构的攻击路线图
除了了解风险严重性之外,红队服务还可以帮助企业了解潜在的攻击路线、使用这些路线时的相关严重性以及攻击者使用给定攻击路线的可能性。此信息可帮助您根据潜在的业务影响决定哪些攻击路线最需要阻止。
红队网络安全演习通常会识别可能的攻击路径,这些路径将允许恶意行为者映射提供对 IT 系统和设施的访问的路线和流程。最常见的攻击路径包括企业、云、应用程序、网络、运营技术 (OT)、物联网 (IoT) 和工业物联网。全面的网络风险评估涵盖您组织的生态系统,并将该信息与您公司的特定环境相结合。
要创建基于层次结构的攻击路线图,您需要了解攻击路线。红队服务通过以下方式帮助您提高这种知名度:
- 考虑可能的威胁源,例如互联网边界、内部威胁和供应链
- 评估企业的基础架构以发现漏洞、安全漏洞和错误配置
- 参考持续的威胁情报并利用攻击者用来访问您的环境的工具
基于层次结构的攻击路线图可帮助您确定潜在风险的优先级,并了解攻击者如何组合攻击向量以访问特权信息或重要的内部系统。
通过红队服务加强网络资产保护
包括红队在内的攻击者不仅要评估他们应该攻击什么,还要在不被您组织的蓝队检测到的情况下进行攻击。攻击您自己的网络,无论是通过您的内部团队还是使用外部红队,都可以很好地了解您的网络及其资产的状态。
获得此信息后,需要了解被利用的给定威胁的潜在业务影响,以及减轻该威胁或减轻违规影响的成本。如果了解这一点,就可以采取措施降低风险,同时优先考虑那些对您的业务影响最大的问题。这些努力通过分配资源和补救措施来帮助您改善组织的安全态势,它们将在保护网络资产方面发挥最大作用。
