红队vs蓝队 练习是评估企业安全状况的非常有效的方法。但是,红色团队具有一定的风险,对于红色团队和目标业务而言,这都是必须考虑的。

2019年9月,当爱荷华州外包的两名渗透测试人员进入 因入室盗窃罪被捕 在进行渗透测试司法建筑物的物理安全性时。更糟的是,这种误解已经好几个月没有解决了。直到最近 费用已减少。该案例清楚地表明,在实际攻击中,红队成员或任何类型的攻击性安全专业人员都可能会犯下严重错误。

但是,不仅红色团队的操作和/或外部笔测试人员在安全测试期间面临风险。在测试期间可能受到威胁的目标系统可能会受到网络攻击的损害。因此,在进行渗透测试以及成熟的红色和蓝色团队操作时,请牢记以下几点。

1.同意红色团队的详细条件

在外包测试人员或红色团队成员时,请确保尽可能详细。如果您目前不希望对安全程序中的某些区域进行测试(可能是因为它们尚未得到足够的保护),请确保对其进行澄清。请记住,优秀的渗透测试人员会想到最奇怪的方式来规避您的安全控制。除非在测试前明确指出,否则他们可能会尝试进行网络钓鱼,社交工程或在实际攻击中禁用物理安全措施。

请特别注意在渗透测试期间可能会损坏的资源。例如,如果红色团队活动的一部分是超越网络安全范围并测试您的物理安全性,请确保清楚地表明您是否不想让团队测试是否有可能在不触发警报的情况下突破玻璃门或是否有可能切断报警系统的电线。

另外,如果团队是内部团队而不是外包团队,也不要以为这样的问题不会发生。您的内部团队可能也很想以富有想象力的方式测试您的安全性。确保他们清楚地知道您的期望和可接受的条件。

2.编写一切

无论您的红色团队演习是由您自己的员工还是由外部公司执行,请确保双方都受到法律保护,以防万一发生任何问题。详细的协议/合同将保护笔测试人员和您。

例如,如果在渗透测试中涉及任何形式的执法,您的团队如果可以立即出示绝对清楚地表明他们的要求是合法的文件,则可以避免很多麻烦。例如,您可以颁发身份证/进入卡,以用于证明他们可以合法地进入他们所闯入的场所。他们显然不会将此类卡用作测试的一部分。

对于非物理测试(例如,网络安全性或Web安全性),访问与您的业务相关的外部IP地址将大有帮助。这样,如果有任何执法部门介入(例如,由于Internet提供商检测到异常活动),则渗透测试人员将能够证明他们进行攻击的IP实际上是属于同一目标的IP。被袭击了。

3.了解当地法律

在物理安全和信息安全方面,有关渗透测试的法律在国家之间甚至地区之间都可能存在很大差异(例如美国)。专业承包商将了解此类法律,但您的内部安全团队可能没有。

如果您的红色团队评估完全是内部评估,请确保您的笔测试人员已充分了解您的法律部门有关哪些行为可能被视为具有法律风险的情况。如果您在承包商的帮助下进行红色团队合作,请确保您的法律部门参与其中。原因很简单:预防问题要比事后纠正问题容易得多。

4.通知潜在的利益相关者

在执行切合实际的渗透测试时,尤其是如果还涉及检查“人的状况”(例如,人身安全的效率)时,无法告知直接参与的人员,因为这会破坏测试。例如,如果安全员工知道他们将在特定的一天受到攻击,那么他们将极大地加强努力,尽早发现并阻止它。

但是,让人们处于黑暗中可能会造成严重后果。例如,如果渗透测试涉及物理安全性,而您的企业与外部物理安全公司合作,则该公司的员工可能会检测到渗透尝试并做出反应,甚至可能在此过程中对笔测试人员造成身体伤害。

在这种情况下,没有简单的解决方案,因此您必须根据具体情况进行解决,在必须共享的信息和必须保留的信息之间找到完美的平衡,才能使测试切实可行。

5.期望事情会出错

红队和笔测试本质上是侵入性的。即使团队成员非常专业和谨慎,也可能发生事故,并可能危及敏感数据。因此,就网络安全和物理安全而言,请确保您保护渗透测试中涉及的资产。除非您对所有可能涉及的系统和数据进行了完整备份,否则请不要执行渗透测试。当然,即使没有渗透测试,您也应该具有完整的备份,但是在如此高风险的活动中,出现问题的可能性要高得多。

通常,在执行此类有创实时练习时,您应该预料到最坏的情况-就像真正的攻击一样,但甚至更糟,因为攻击者也属于您的团队!例如,如果您有笔测试人员试图实际侵入您的公司,则期望执法部门抓住他们并准备做出相应反应。您可能期望的其他一些结果是关键系统或防御机制暂时不可用。

尽管存在潜在风险,但是渗透测试和红色分组是验证安全状态的绝佳方法,因此您不应该因这些风险而灰心。

资源: //www.acunetix.com/blog/web-security-zone/red-teaming-5-tips/