这篇文章探讨了红队,即安全专业人员如何通过模拟攻击来检测和响应网络安全威胁,包括渗透测试、社会工程、网络钓鱼等手法。同时提到了微软默认策略对网络安全的影响和老虎队的角色。
| 美国国家安全数据遭到攻击数据泄露 |
| 数据检测和响应:增强威胁情报和事件响应 |
| 美国国际开发署进行的全球互联网审查 |
| 人工智能战争的杀戮问题 |
微信搜索关注公众号:网络研究观,了解获取更多信息。
红队由安全专业人员组成,他们充当克服网络安全控制的对手。红队通常由独立的道德黑客组成,他们以客观的方式评估系统安全性。
他们利用所有可用的技术(如下所述)来查找人员、流程和技术中的弱点,以获取对资产的未经授权的访问。根据这些模拟攻击,红 队就如何加强组织的安全态势提出建议和计划。
红队如何运作?
您可能会惊讶地发现(就像我一样)红 队花更多时间计划攻击而不是执行攻击。事实上,红 队部署了多种方法来访问网络。
例如,社会工程攻击依靠侦察和研究来实施有针对性的鱼叉式网络钓鱼活动。同样,在执行渗透测试之前,数据包嗅探器和协议分析器用于扫描网络并收集尽可能多的有关系统的信息。
此阶段收集的典型信息包括:
● 发现正在使用的操作系统(Windows、macOS 或 Linux)。
● 识别网络设备(服务器、防火墙、交换机、路由器、接入点、计算机等)的品牌和型号。
● 了解物理控制(门、锁、摄像头、保安人员)。
● 了解防火墙上打开/关闭哪些端口以允许/阻止特定流量。
● 创建网络地图以确定哪些主机正在运行哪些服务以及流量发送到的位置。
一旦红队对系统有了更完整的了解,他们就会制定一项行动计划,旨在针对他们在上面收集的信息中特定的漏洞。
例如,红队成员可能知道服务器正在运行Microsoft Windows Server 2016 R2(服务器操作系统),并且默认域策略可能仍在使用中。
微软以默认状态“发布”其软件,由网络管理员来更新策略,微软建议您尽快执行此操作 以强化网络安全。如果仍设置为默认状态,攻击者就可以破坏现有的宽松安全措施。
识别漏洞后,红队会尝试利用这些漏洞来访问您的网络。一旦攻击者进入您的系统,典型的行动过程是使用权限升级技术,攻击者试图窃取对最高级别的关键信息具有更大/完全访问权限的管理员的凭据。
在网络安全的早期,老虎队执行了许多与红队相同的职能。这个术语经过多年的发展,现在指的是老虎团队作为一个精英和高度专业化的团队 ,被雇佣来应对针对组织安全态势的特定挑战。
红队练习示例
红队使用各种方法和工具来利用网络中的弱点和漏洞。值得注意的是,红 队将根据参与条款使用任何必要的手段来闯入您的系统。根据漏洞的不同,他们可能会部署恶意软件来感染主机,甚至通过克隆访问卡来绕过物理安全控制。
红队练习的示例包括:
● 渗透测试,也称为道德黑客,是测试人员尝试访问系统的地方,通常使用软件工具。例如,“开膛手约翰”是一个密码破解程序。它可以检测使用的加密类型,并尝试绕过它。
● 社会工程是红队试图说服或欺骗员工披露其凭据或允许访问受限区域的过程。
● 网络钓鱼需要发送看似真实的电子邮件,诱使工作人员采取某些行动,例如登录黑客的网站并输入凭据。
● 拦截通信软件工具(例如数据包嗅探器和协议分析器)可用于映射网络,或读取以明文发送的消息。这些工具的目的是获取有关系统的信息。例如,如果攻击者知道服务器正在 Microsoft 操作系统上运行,那么他们将集中攻击以利用 Microsoft 漏洞。
● 克隆员工的安全卡以授予对不受限制区域(例如服务器机房)的访问权限。
3344
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
