当前位置:   article > 正文

红队笔记(1):红队与渗透测试

红队笔记

参考资料

1.《精通Metasploit渗透测试(第3版)》
2.《Metasploit渗透测试魔鬼训练营》
3 .Hackersploit

一、啥是红队?

网络安全中的红队(Red Team)在合法的安全活动中充当进攻方的角色,与之对应的是充当防守方的蓝队(Blue Team)。关于红队和蓝队的来源与历史这里不作介绍,感兴趣的小伙伴可以自行了解。

1、红队的工作:

(1)模拟现实世界中潜在的攻击者对特定目标进行网络攻击,以测试目标的安全系统是否存在漏洞,同时,也能评估目标对于恶意攻击的检测和恢复能力。
(2)在攻击测试中,红队会使用潜在攻击者所用的所有手段(不择手段,当然这是在经过授权且合法的条件下),尽可能去攻破目标的安全防线。
(3)攻击结束后,红队会为目标提供一份具有可执行性的报告,这份报告可用于对目标安全系统的修复与升级,也可供安全部门与蓝队参考,以提升目标对于网络攻击的检测和恢复能力。

2、红队的工作与渗透测试(Pentest)的区别

(1)首先是范围:红队模拟现实世界的攻击者,攻击的范围一般不受限制(模拟“法外狂徒”);而渗透测试一般会和目标客户存在某种约定和限制,例如只能在指定的时间、对于指定的资产进行测试等。
(2)第二个是时间周期:红队模拟的攻击一般会持续相当长的一段时间(包括信息收集等等一系列操作);而渗透测试一般持续的时间较短,因为渗透测试的目标会相对明确,目标客户有可能会提供一定的信息。
(3)最后是测试结果:相比于渗透测试,红队所模拟的现实世界的攻击往往更能发现隐藏在细微处的问题。

二、红队基础概念

1、攻击模拟(Adversary Emulation)

红队使用某些策略、技术和步骤对目标发起攻击,以测试目标对于网络攻击的抵御能力。

2、TTP(Tactics, Techniques, and Procedures)

简单地说就是用来描述如何进行网络攻击的一组行为方式,红队的模拟攻击需要遵循上述的模式,以便更好地进行攻击测试。

3、红队杀伤链(Red Team Kill-chain)

一种结构化的攻击模型,将红队的行为分成一个个小的阶段。
RedTeam Kill Chain
这个模型一般包含一下几个阶段:
(1)信息收集(Reconnaissance)
(2)建立初始的落脚点(Gaining access/initial compromise)
(3)权限提升(Privilege escalation)
(4)攻击持久化(Persistence)
(5)内网漫游(Lateral movement)
注:翻译有误还望海涵,请在评论区指正
上述概念的详细信息会在后续的文章中逐步更新

4、MITRE ATT&CK(Adversarial Tactics, Techniques and Common Knowledge) 框架

总的来说就是一个公开的知识库,里面包含了已发现的一系列攻击策略、技术、步骤等。官网
MITRE ATT&CK

整体内容分为两大部分:
(1)Tactics:将攻击行为分为不同的阶段
(2)Techniques:在不同阶段下,能够使用的不同技术
注:具体的内容需要日积月累地去学习,这里只提供一个整体概念,后续更新内容主要围绕这个框架

5、TTP(Tactics, Techniques, and Procedures)

攻击行为的概括性描述,从左到右为包含关系,例如:Tactics中包含一系列Techniques,Techniques下包含一系列Procedures

6、Advanced Persistent Threat(APT)

描述入侵者在目标网络或系统上建立隐蔽的长期存在,用来窃取或破坏敏感数据。有时候也会用来描述一些攻击组织,比如:APT123,APT456,APTXXX

三、总结

本文主要介绍了一些与红队有关的知识体系,读者只需过个眼熟,有个整体的概念,避免在后续学习中对于一些名词概念感到不知所措。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Li_阴宅/article/detail/764452
推荐阅读
相关标签
  

闽ICP备14008679号