开展专业的红蓝演练 Part.4:论红队的自动化技巧
发布时间:2021-06-09 10:30 所属栏目:53 来源:互联网
导读:人类黑客演练还是自动化? 尽管在上一章的篇幅里,我们确实巩固了红队的目的,但对于人类黑客而言,这并不能令人满意。在企业组织内部定期开展红蓝演练工作,相
人类黑客演练还是自动化? 尽管在上一章的篇幅里,我们确实巩固了红队的目的,但对于人类黑客而言,这并不能令人满意。在企业组织内部定期开展红蓝演练工作,相信大部分主导者都希望能够实现自动化,毕竟每次都靠“人肉”发起演练是一件很耗时且耗人精力的事情。但如我们所看到的,完成红蓝演练是一项艰巨的任务,并且其成本往往是昂贵的。 学术界和工业界都试图用各种工具和技术来实现自动化或替代人类黑客。 还有一些新出现的安全服务,目的是为了替代红队所能提供的的好处,但这些服务对人员的要求也各不相同。 阅读完本章后,毫无疑问,你会明白为什么人类黑客会成为倒数第二个实现自动化红蓝演练的解决方案,为什么寻找各种类型的安全人员并不会像红队那样提供主动的缓解措施。 论红队的创新与自动化 在没有人类黑客的情况下,对红队流程的创新动机受到了多个方面的支持。 这些趋势主要集中在加快评估,使评估更容易获得或在某些情况下用更易于实施的服务代替红队。 以下是对学术界和工业界提出的替代道德黑客的建议的分析。 由此产生的对此类解决方案的理解很好地表明了道德黑客(注:本书作者在前几章中已经多次强调,红蓝演练中的红队人员必须由道德黑客组成)为何极为重要并且将继续存在。 关于红队创新的最大工作是学术界提出的。在某些情况下,此类学术工作将自己标记为渗透测试,而把其他的工作标记为红队。同样,出于本书的目的,所有这些攻击性的安全能力在本质上都是可以互换的。在期刊和论文等学术论坛中,大部分工作都集中在使用技术实现红队攻击的自动化,而不是对人类黑客开展红队工作的攻击性安全流程进行创新。原因可能是极少有学者是经验丰富的安全专家,特别网络攻击经验,或者更准确地说,大多数有着丰富的网络攻击经验的安全专家在学术方面没有太多的努力。所以,这意味着学术研究者和具备安全攻击经验的人之间存在很大的“gap”,他们不太可能会以执行者的角度对红队遇到的问题和挑战有实际的了解,也无法切实地改善流程和方法。围绕道德黑客谍报技术的学术创新进一步复杂化,学术工作也必须努力做到辩护。学术人员会寻找可行的测试方法来测试像红队的谍报技术、评估和环境这些会受到“人为”因素影响的东西,即使不是一件几乎不可能的事情,这样的做法也可能会令人生畏。因此,学术方面对红队的研究重点主要集中在自动化技术和攻击模型方面,这些模型可以反复进行防御性测试,而无需有经验的或昂贵的红队从业者参与,也无需红队人员进行实际的参与。 由此产生的技术大致分为三类:既不利用漏洞或不进行移动渗透主机操作的技术、利用漏洞但不进行移动渗透主机操作的技术以及打算同时进行这两种操作的技术。所有这些技术都有其自身的优点和缺点,就像实现整个自动化一样。这并不意味着这样的解决方案不可用。这也不意味着它们已足以取代人类道德黑客。 (编辑:ASP站长网) |
相关内容
网友评论
推荐文章
热点阅读