基本团队结构
在当今的渗透测试世界中,没有固定的方法来规定团队的实际组织方式。项目中实际渗透测试人员的数量将主要取决于三个关键因素:
双重渗透认证
了解网络犯罪分子用来对您的组织进行白帽、道德黑客攻击的工具和技术。
- 正在执行的渗透测试类型
- 相关企业或公司的规模(这可能是员工规模的直接函数)
- 要测试的 IT 基础架构的复杂性
例如,如果想要完成渗透测试的组织的员工少于 20 人,则可以假设 IT 基础架构相对简单。在这种特殊情况下,可能不需要一个完整的渗透测试团队:两个或三个渗透测试人员就足以执行所需的测试并编写总结他们的发现和建议的报告。
但是,如果需要渗透测试的组织是大型组织(例如拥有 10,000 多名员工的财富 500 强公司),则可以有把握地假设 IT 基础架构要复杂得多。因此,将需要一个结构化的渗透测试团队。在这些情况下,通常使用两种类型的团队:
红队
这是渗透测试团队实际发起针对业务防线的模拟攻击。该团队模拟真实类型的网络攻击,以发现任何未知的安全漏洞或弱点。测试通常包括硬件和软件方面。
就前者而言,这将包括诸如服务器之类的项目和整个网络基础设施本身。就后者而言,这将涉及诸如数据库和任何类型的面向员工或面向客户的 Web 应用程序之类的项目。
蓝队
这是渗透测试团队,扮演企业或公司 IT 员工的模拟角色。蓝队将负责监控 IT 基础架构内的所有警报、异常和任何其他形式的可疑行为。最后,他们在渗透测试中的工作是双重的:抵御红队发起的网络攻击,并让组织的真正 IT 员工了解所需的警惕性和主动性。
在某些情况下,还有第三支队伍。这是:
紫色团队
这是一种渗透测试团队,旨在确保并最大限度地发挥红队和蓝队的努力。他们将蓝队的防守战术与红队发现的威胁和弱点结合起来。
什么是蓝队?
如上一节所述,蓝队的首要任务是抵御红队发起的网络攻击。但除此之外,蓝队还有其他具体职责。它们包括:
1. 准备
这将包括测试所有到位的安全技术,以确保它们经过优化以检测任何类型的异常。
2. 鉴定
尽一切努力正确识别针对企业或公司的任何潜在网络攻击。
3. 遏制
这涉及使用事件响应计划遏制网络攻击造成的损害。
4. 恢复
这是业务或公司的关键任务功能和流程重新上线的部分,通常在 1-2 天的时间跨度内。
5. 经验教训
此时,将召集一个调查小组对发生的事情进行详尽的研究。蓝队有责任将所有数据和调查结果汇编成一份报告,并制定有关如何在未来避免此类事件的策略。
6. 操作系统加固
这里的目标是减少当前正在使用的所有操作系统的“脆弱面”。
7. 外围防御
蓝队还将确保所有防火墙、网络入侵设备、路由器、流量设备、数据包过滤设备等都处于最佳状态。
什么是红队?
正如我们之前讨论过的,红队的主要责任是针对企业或公司发起基于道德的网络攻击,以发现其真正的安全漏洞、弱点和漏洞。但重要的是要注意,红队对被攻击的对象并不是特别感兴趣:他们对获得这些目标的方式更感兴趣。
红队将使用大量的创造力,甚至使用您可能从未听说过的技巧。请记住,红队的目标不仅是攻击您的防线,而且是通过任何必要的手段突破它们。为此,他们将像真正的网络攻击者一样思考和行动。
当红队进行模拟网络攻击时,他们通常不会要求提供特定的目标列表。相反,他们对您 IT 基础设施中那些“超出范围”的系统也感兴趣。因此,这为红队提供了一组更广泛的排列来检查。正因为如此,红队将寻找本质上是系统性的漏洞——那些你从未想过存在的漏洞,因为你从不同的角度看待情况。
让红队进行渗透测试的一个主要优势是,他们不仅可以对 IT 基础设施中的弱点,而且还可以对您的员工和办公地点中的弱点提供公正、无所不包的观点。
除非他们是由客户特别指示,否则红队确实没有明确的方法来进行渗透测试练习。最后,他们的目标是尝试访问业务中可以想象到的几乎所有内容。
什么是紫队?
紫队实际上是红队和蓝队成员的组合。在这一点上,人们可能会问:为什么这种组合甚至是必要的?重要的是要记住,并非每次渗透测试都需要紫团队。
例如,如果它是一个小得多的企业(再次使用我们的 20 名员工公司的例子),那么就不需要紫色团队。
紫色团队的目标可能包括以下内容:
一、红蓝两队协调配合
这包括对两个团队如何合作进行观察和记录,并提出任何建议以改变团队组成或对渗透练习本身进行任何必要的调整。
2. 理解和可视化大图
这意味着承担红队和蓝队的心态、思维过程和责任。
3. 承担渗透测试练习的总体责任
这只是指为客户分析和解释结果并采取任何必要的纠正措施。例如,这可能包括制定下载和实施软件补丁和升级的时间表,为正在测试的组织的员工提供改进安全意识培训的建议。
4. 为客户提供最大价值
通过从红队和蓝队收集信息和数据,紫队可以向客户提供高质量的文档。最终结果是防线将更加坚固。
如何打入渗透测试领域
在尝试在红队或蓝队担任渗透测试员时,您必须首先具备许多关键属性。
(请注意,虽然不是必需的,但强烈建议您拥有计算机科学或信息技术的大学学位。)
- 获得A+证书
- 如果您想进入专注于网络安全的渗透测试,请获得 CCNA 或 Network+ 认证
- 如果您想进入专注于信息安全的渗透测试,请获得 Security+、CISSP 或 TICSA 证书
- 强烈建议您学习一门编程语言,例如 Java、Perl 或 LISP。您还应该具备编写 Unix/Linux 命令行界面的能力,并且精通 SQL。如果您被要求操作 SQL 数据库并向其中注入恶意命令,则需要后者
- 您还应该拥有认证道德黑客 (CEH) 证书;这是目前由电子商务顾问内部委员会 (EC-Council) 提供的
- 您还应该具备强大的社会工程学技能。这对于说服毫无戒心的受害者在发起红队网络攻击时向您提供进一步访问所需的信息很重要
结论
本文在渗透测试练习中检查了不同的团队。其中包括红队、蓝队和紫队。我们还审查了成为真正合格的渗透测试人员的一些要求。
转载请注明:布尔云安的博客 » 渗透团队是如何构建的?