红色团队与蓝队 练习是评估您业务安全态度的非常有效的方法。然而,红色组合带来了某些风险,必须考虑到红色团队和目标业务。

2019年9月,当由爱荷华州外包的两个渗透测试人员都是,IT安全的世界已经略有动摇 因入室盗窃罪而被捕 在渗透测试司法建筑的物理安全时。更糟糕的是,这种误解尚未解决了几个月。最近, 收费已被删除。这种情况清楚地表明,在真实世界袭击中,红色的组织者或任何攻击性安全专业人员都可能会严重错误。

但是,它不仅是在安全测试中受风险的红色团队操作和/或外部笔测试仪。应该在测试期间受到损害的目标系统可能遭受损坏作为网络攻击的一部分。因此,在进行渗透测试以及完全剥离的红色和蓝色团队运营时,值得注意的是。

1.同意红色合作的详细条件

在外包笔测试仪或红色组织者时,请务必尽可能详细地进行详细的细节。如果您的安全计划有些区域,您宁愿在此刻(也许是因为它们没有足够的保护),请务必澄清它。请记住,良好的渗透测试仪会想到最奇怪的方式来规避安全控制。除非在测试前明确说明,否则他们可能会尝试像网络钓鱼,社会工程,甚至在真实攻击期间禁用身体安全措施的东西。

通过在渗透测试期间可能受到可能损坏的资源进行大多数照顾。例如,如果红色团队锻炼的一部分是为了超越网络安全并测试您的物理安全性,请确保清除它,如果您不希望团队测试是否可以突破玻璃门而不绊倒警报或者是否可以将电线剪切到警报系统。

此外,不要认为如果团队内部,而不是外包,则不适用此类问题。您的内部团队可能同样渴望以非常富有想象力的方式测试您的安全性。确保他们清楚地知道你对什么以及可接受的东西。

2.以书面形式拥有一切

无论您的红色团队练习是否由您自己的员工或外部公司执行,以确保双方都受到法律保护,以防任何出现问题。详细的协议/合同将保护笔测试人员和您。

例如,如果在渗透测试期间涉及任何形式的执法,如果他们能够立即提出使其行为所要求和合法的文档,您的团队可能会避免很多问题。例如,您可以发出他们可以使用的身份/入口卡,以证明他们可以合法地访问他们正在闯入的场所。它们显然不会像测试的一部分使用此类卡片。

在非物理测试(例如,网络安全或Web安全)的情况下,访问与您的业务相关的外部IP地址将极大地帮助。这样,如果涉及任何法律实施(例如,由于互联网提供商检测到异常活动),渗透测试仪将能够显示他们执行攻击的IP实际上是属于同一目标的IP正在受到攻击。

3.了解当地法律

关于渗透测试的法律,既存在物理安全和信息安全,国家之间会在各国或地区之间有很大差异(如美国的情况)。专业承包商将意识到此类法律,但您的内部安全团队可能不是。

如果您的红色团队评估完全内部,请确保您的笔测试人员与您的法律部门完全介绍了您的法律部门可能被视为法律风险的行动。如果您的红色合作练习是在承包商的帮助下进行的,仍然确保您的法律部门涉及。原因很简单:防止问题更容易,而不是被迫以后纠正它们。

4.告知潜在的利益相关者

在进行现实的渗透测试时,特别是如果它涉及检查“人类状况”(例如,物理安全的效率),则无法通知直接涉及的人,因为它会破坏测试。例如,如果安全员工知道他们将被攻击在特定的日子,他们将大大加强他们早期发现它并防止它的努力。

然而,让人们在黑暗中保持严重后果。例如,如果渗透测试涉及物理安全和业务与外部物理安全公司一起工作,那么该公司的员工可能会检测到渗透尝试并反应,甚至可能在该过程中物理损害笔测试人员。

在这种情况下没有简单的解决方案,因此必须在逐个案例的基础上解析它,在必须共享的信息和必须重新保留的信息之间找到完美的平衡,以便测试要逼真。

5.期待事情出错

红色组合和笔测试是,其性质侵入性。即使团队成员完全专业和谨慎,事故也可能发生,敏感数据可能会濒临灭绝。因此,无论是在网络安全和物理安全的情况下,确保您保护涉及穿透测试的资产。除非您拥有可能涉及的所有系统和数据的完整备份,否则永远不要执行渗透测试。当然,即使没有渗透测试,您也应该有完整的备份,但在如此高风险的活动中,出现问题的可能性要高得多。

一般来说,在进行这种侵入性实时练习时,您应该期待最坏的情况 - 就像真正的攻击一样,因为甚至更糟,因为攻击者也是你团队的一部分!例如,如果您有钢笔测试人员试图物理地闯入贵公司,预计执法将抓住它们并准备好相应地反应。您可能期望的其他一些结果是关键系统或防御机制的暂时不可用。

尽管潜在的风险,渗透测试和红色合作是验证安全姿势的绝佳方式,验证了您不应该由于这些风险而令人沮丧的安全姿势。

资源: //www.acunetix.com/blog/web-security-zone/red-teaming-5-tips/