在現代企業的網絡安全能力體系建設中，有一個不可或缺的環節就是通過實戰化的攻防演練活動對實際建設成果進行驗證。通過攻防演練能夠檢驗網絡安全體系建設的科學性和有效性，發現工作中存在的問題，并針對演練中發現的問題和不足之處進行持續優化，不斷提高安全保障能力。

在實戰化網絡安全攻防演練活動中，紅隊是不可或缺的進攻性要素，它主要是從攻擊者視角，模擬出未來可能出現的各種攻擊方式。紅隊既可以由企業內部的網絡安全技術人員組成，也可以邀請外部安全服務團隊參與。為了更好實現攻防演練活動的目標與預期效果，組織需要不斷對紅隊的能力和演練策略進行優化。

紅隊測試 ≠ 滲透測試

大多數組織的安全檢查會從漏洞掃描開始，然后進入到滲透測試，也就是從猜測漏洞可以被利用到證明它是如何被利用的。因此，很多人會錯誤地將“紅隊測試”與“滲透測試”混為一談，但實際上，它具有不同的目標和定位。

滲透測試主要為了在沒有明確目標的情況下盡可能多地發現、測試各種可能的攻擊，以確認安全漏洞的危害性如何。滲透測試通常不涉及初始訪問向量，而是要將檢測到的漏洞信息和危害完整地呈現出來，并主動地去緩解它們，以達到增強并驗證組織網絡彈性的目標。

盡管紅隊在測試中使用的攻擊技術和手段方面有很多類似滲透測試，但是不同于滲透測試“盡可能多地”發現漏洞的行動目標，紅隊測試的核心訴求是通過使用完整的黑客攻擊全生命周期技術，從初始訪問到數據滲漏，再到以類似APT的隱秘方式攻擊組織的人員、流程和技術，執行高度有針對性的攻擊操作，從而進一步完善企業安全能力成熟度模型。

在某種程度上，我們可以將紅隊理解成合法的APT組織，因為紅隊要模擬出真實世界中各種攻擊團伙。通過真正的對抗性模擬行動，紅隊攻擊能夠測試出企業安全防護體系的真實能力如何。

Aquia公司首席信息安全官（CISO）Chris Hughes表示，“從CISO的角度來看，將紅隊能力建設納入企業整體網絡安全計劃的意義和價值將明顯超過設置安全檢查清單和日常安全評估，它將促進復雜安全能力建設中的針對性，并能夠突出真正的漏洞風險優先級。簡單地滲透測試已經不足以應對當今的威脅環境，企業必須像攻擊者一樣思考和訓練，才有能力在黑客行動之前做好準備。”

提升紅隊測試能力的11條建議

鑒于開展紅隊測試工作的重要性，企業IT領導者可以遵循下述11項策略來發揮紅隊測試的最大效益：

一、不要對紅隊測試進行過多限制

真正的黑客在攻擊時是不會有范圍限制的，因此，所有敵人可能涉獵的領域，都應該涵蓋在紅隊攻擊的范圍內，否則組織將無法全面獲取對可能風險的真實認知。很多組織擔心無限制的攻擊測試會造成不可控的后果，其實這可以通過完善的預案來解決。企業應該盡量減少對紅隊的策略和工作范圍進行限制，這樣才能發現最具影響力和破壞性的漏洞，從而獲得實效驅動的補救措施。

二、讓紅隊工作保持獨立性

模擬對手攻擊手段是紅隊最重要的工作，他們沒有過多精力去了解安全部門正在發生的其他事情。紅隊人員應該被視為“幕后”操作員，而管理者和領導者則是第一線聯絡人。

事實上，在許多情況下，與安全團隊和組織中的藍隊成員建立融洽關系會“軟化”他們的工作。實踐表明，紅隊越是獨立于安全團隊工作之外，他們在測試過程中遇到的阻力就越小。因此，以策略改進、安全治理、風險控制（GRC）、部署優化以及能力協同等為核心的安全會議不應該讓紅隊成員參與和了解。

三、將風險簡報與技術簡報分開

信息龐綜復雜的技術研究并不適用于管理層應該了解的范圍。管理者更關注攻擊描述、隨著時間推移的安全指標、持續的問題發現以及由此產生的風險緩解措施。技術團隊則關心端口、服務、攻擊方法和目的。讓他們共同參與問題討論，看似在節省時間實際上是在浪費時間。紅隊應該分別提供和交付兩個版本的分析報告，會更加有效：一份給管理人員和業務部門；另一份給以修復和技術為導向的安全技術團隊。

四、對風險評級并跟進

紅隊成員可以分配風險評級并猜測事后將如何處理該發現。如果沒有深入了解誰負責這些風險并跟進風險負責人的補救措施，他們的專業知識將止步于此。當被問及“這一發現的處理結果是什么？我們在哪里修復了這個問題？”，紅隊通常無法應答。他們只是將風險移交，而沒有跟進這些風險是否得到合理修復或審查。為了實現紅隊效益最大化，跟進風險負責人的行動將是必不可少的步驟。

五、調查結果和風險評級標準化

CVSS評級有助于了解在野利用漏洞的難度和可能性，但它們通常缺乏組織背景，因此很多評級的劃分是主觀的，需要加入盡可能多的客觀性。

企業在進行風險評級時，既要考慮“固有風險”也要考慮“潛在風險”。固有風險是管理層沒有采取任何措施來改變風險的可能性或影響的情況下，一個企業所面臨的風險。在評估固有風險后，接著就需要評估控制措施的有效性。影響控制措施有效性的因素有兩個：一個是控制措施設計有效性，另一個是控制措施執行有效性。

固有風險是天然存在的風險，經過人為實施的控制措施后，固有風險會得到控制，沒有被控制的部分，就是剩余風險，可以形象地理解為：“潛在風險=固有風險-有效控制措施。”這能夠比CVSS評級提供更具價值的情報。

六、優化測試節奏

紅隊隊員不是滲透測試員。紅隊的測試節奏也與滲透測試團隊完全不同。滲透測試員有一套標準的漏洞和錯誤配置測試范圍，以嘗試“盡可能多地”找到其中的缺陷，讓防御者有機會盡可能地保護組織系統。滲透測試團隊還會尋求主動發出警報，并能夠報告EDR和SIEM解決方案獲得的積極發現。

相比之下，紅隊不會只執行實現目標所需的行動，而是要以秘密方式運作，并且需要更多時間來研究、準備和測試真實代表APT行為的殺傷鏈。因此，隨著測試范圍擴大，紅隊行動的節奏和生命周期會越來越慢。在確定紅隊今年的目標和關鍵成果（OKR）時，請記住這一點。更不用說，許多發現通常來自紅隊操作，且并非所有發現都具有相關的戰術、技術和程序（TTP）或直接緩解策略。補救團隊需要時間來處理調查結果并盡可能地減輕影響。同時，這也是為了避免藍隊（blue team）陷入疲勞，他們實際上可能會要求紅隊取消或推遲四分之一的額外操作，具體取決于藍隊落后的程度。

七、跟蹤所有指標

并非所有證明進攻性計劃成功的指標都來自紅隊。用于跟蹤測試成功和補救活動的紅隊指標包括平均停留時間：他們能夠在環境中堅持多長時間進行發現和調整而不觸發警報。

其他因素將來自網絡威脅情報（CTI）和風險團隊，形式為降低發現的剩余風險評分、提高對模擬威脅參與者的彈性認知，以及在野發現攻擊成功的可能性。CTI團隊將能夠通過明確了解哪些策略可以進行防御來鎖定相關威脅參與者。

八、明確紅隊角色和職責

優化的紅隊運營來自一個可持續的反饋循環，涉及CTI、紅隊、檢測工程師和風險分析師，所有這些都在協同為組織環境減少攻擊面。這些角色在每個組織結構圖中看起來都不一樣，但無論如何，最好要將職責明確并分開。

許多組織的安全團隊會很小，而且會有同一人身兼多職的情況，但至少需要有一名全職員工致力于這些職能中的每一項工作，以顯著提高運營質量。在這一點上，安全團隊需要被分離在首席運營官（COO）、首席風險官（CRO）或首席信息安全官（CISO）之下，而漏洞管理、補救管理和IT運營則應該由首席信息官（CIO）或首席技術官（CTO）負責。這種角色和職責劃分有助于減少摩擦。

九 、設定可實現的工作預期

當紅隊制定測試計劃時，需要根據具體的目標來計劃希望采取的方法。管理層的主要擔憂是生產力損失或拒絕服務（DoS），但紅隊并不會列出他們計劃使用的每一個步驟和方法。

事實上，在漏洞利用開發過程中，為了調試有效負載并確保順利執行TTP(技術、工具和程序)，紅隊必須根據實際情況調整具體方法。在演練活動開始之前、期間和之后對紅隊計劃設置現實的期望，將減少挫敗感以及業務部門對紅隊的抵觸情緒。

十、合理使用離網（off-network）攻擊設備

攻擊基礎設施是紅隊測試的組成部門。這包括了域、重定向器、SMTP服務器、有效載荷托管服務器以及命令和控制（C2）服務器。就管理層而言，為他們提供與企業EDR、AV和SIEM代理隔離的設備，將使他們能夠測試網絡釣魚活動、登錄頁面和有效負載，并解決發現的問題，以免在漏洞檢測期間浪費寶貴的操作時間。

紅隊不會在這些設備上存儲敏感的公司數據，他們會在安全的云環境中存儲在操作中獲得和泄露的信息。因此，這些設備實際上是作為回調的終端，其命令也應該記錄在遠程服務器中。這不僅對紅隊操作來說非常有利，也能最終節省公司時間和資源。

十一、嚴格按照測試計劃開展工作

在實際工作中，我們經常會發現，隨著紅隊測試工作推進，就會出現更多可利用的資源，以及更多可攻擊的目標，這時候就需要嚴格按照測試計劃來推進預定工作。操作期間的范圍擴展意味著他們不再遵循初始操作計劃，并遵守CTI驅動的行為限制。