红队与渗透测试的区别

重要信息

红队不仅仅是渗透测试的体现。渗透测试是安全基础设施测试的一个重要部分，包括手动测试和持续的自动化渗透测试，而红队的工作更为深远。红队模拟真实攻击者的行为，采用多种技术进行攻击，发现安全漏洞并获取敏感数据。与此同时，蓝队作为防御方需要准备应对各种潜在威胁。

红队的组建

组建一个有效的红队的最简单方法是指定一组内部安全专业人员。如果内部具备合适的技能，这可能是最简单的选择。然而，如果能引入外部的专业人士，尤其是专注于道德黑客的专家，通常会取得更好的效果。外部红队可以更全面地评估组织的网络安全防御，因为内部员工可能会忽视某些攻击路径，或在认为已很安全的区域跳过测试。专职红队通常包括道德黑客、渗透测试人员、社会工程学专家以及其他具有规避各种安全措施经验的安全专业人士。

蓝队的角色

在红队与蓝队的演练中，蓝队负责防御。如果有专门的安全运营中心SOC，可以利用SOC人员作为蓝队。否则，蓝队可能仅由内部安全团队组成，此外，蓝队成员还可包括非安全专业的员工。从广义上看，安全是每个人的责任，因此，在整个组织中进行安全意识培训是必不可少的。虽然这对物理安全人员尤其重要，但所有员工都需要知道如何识别潜在风险及如何报告可疑行为、异常错误或不寻常的联系人。

紫队的概念

进行全面的红队与蓝队模拟演练成本高且耗时较长，因此一些组织选择组建紫队一个既充当红队也充当蓝队的内部或外部单位。紫队成员将包括技术技能多样的安全专家，可以在红队和蓝队之间切换。虽然紫队的效果不如全面的红队与蓝队演练，但它可以在更大规模的测试之间维持安全状态，或在大型组织内执行抽查。

备战攻防演练

在真实攻击中，没有人会提前警告，因此蓝队的准备不仅仅是应对冲击，更在于知道如何使用现有的安全控制、入侵检测IDS和入侵防护IPS系统，以及事件响应程序。详细了解组织的物理和虚拟基础设施也至关重要。

例如，组织可能已有一些安全解决方案和程序，准备工作可能涉及使用安全事件信息管理SIEM系统对这些措施进行文档记录和集成，从而提供实时威胁情报。对于网站和应用程序，蓝队可能会运行在线漏洞扫描器，以发现并修复网络系统和基础设施中的弱点，包括配置错误和遗留测试部署。

对于红队而言，准备工作则注重侦查和研究。如果雇佣外部红队顾问，他们可能会像真实攻击者一样进行观察和分析。这可能包括扫描漏洞、绘制虚拟与物理基础设施图、识别安全软件和物理安保系统，以及通过社会工程攻击收集员工身份信息和联系方式。如果需要物理接入，红队甚至可能会通过设立虚假的业务部门，假装是商业伙伴或承包商来实施。

红队和蓝队演练的执行

与一次性事件如渗透测试、风险评估或安全审计不同，蓝队与红队的演练检验的是组织在日常业务中面对潜在威胁的韧性。根据约定的操作范围，红队可以利用这段时间尝试各种级别的入侵。在网络安全方面，这可能不仅涉及对公司网站、网络基础设施和内部系统的直接攻击，还包括社会工程技巧和网络钓鱼邮件，以