1.6　红队与蓝队

红队与蓝队演练并不是什么新鲜事。最初的概念是在第一次世界大战期间引入的，与信息安全领域的许多术语一样，起源于军队。其中心思想是通过模拟来演示攻击的有效性。

例如，1932年，海军少将Harry E.Yarnell展示了袭击珍珠港的效力。9年后，日军偷袭了珍珠港，我们可以对比一下，看一看类似的战术是如何使用的[22]。根据对手可能使用的真实战术进行模拟，其有效性在军事上是众所周知的。外国军事与文化研究大学（UFMCS）有专门的课程，专门培养红队学员和领导者[23]。

虽然军事中“红队”的概念更广泛，但通过威胁模拟的方式进行情报支持，与网络安全红队所要达到的目的相似。美国国土安全演练和评估计划（Homeland Security Exercise and Evaluation Program，HSEEP）[24]还在预防演练中使用红队来跟踪对手移动方式，并根据这些演练的结果制定应对措施。

在网络安全领域，采用红队方法也有助于企业更安全地保护资产。红队必须由训练有素、技能各异的人员组成，必须充分了解组织所在行业当前面临的威胁环境。红队必须了解趋势，了解当前的袭击是如何发生的。在某些情况下，根据组织的要求，红队成员必须具备编程技能才能构建漏洞利用方案，并对其进行自定义，以便更好地利用可能影响组织的相关漏洞。红队核心工作流程按照图1-6进行。

图1-6　红队核心工作流程

红队将实施攻击并渗透环境以发现漏洞。这项任务的目的是发现漏洞并加以利用，以便获得对公司资产的访问权限。攻击和渗透阶段通常遵循洛克希德·马丁公司（Lockheed Martin）的方法，该方法发表在论文“Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains）”[25]中。我们将在第3章更详细地讨论杀伤链。

红队还负责注册其核心指标，这对业务非常重要。主要指标如下：

·平均失陷时间（Mean Time To Compromise，MTTC）：从红队发动攻击时起计，直到成功攻陷目标的那一刻。

·平均权限提升时间（Mean Time To Privilege escalation，MTTP）：它的起计时间点与前一个指标相同，但一直到完全失陷，也就是红队对目标拥有管理权限的时刻。

到目前为止，我们已经讨论了红队的能力，但如果没有对手蓝队，演练就不能完成。蓝队需要确保资产的安全，如果红队发现漏洞并加以利用，前者就需要迅速补救并将其记录作为经验教训的一部分。

以下是蓝队在对手（这里指红队）能够发现漏洞并成功利用时完成的一些任务示例：

·保存证据：当务之急是在这些事件中保存证据，以确保有有形的信息可供分析、合理化，并在未来采取行动进行缓解。

·验证证据：不是每一个警报，或者这种情况下的证据，都会让你发现有效的入侵系统企图。但是，如果它真的发生了，就需要将其作为一个攻陷指示器（Indicator of Compromise，IoC）进行分类。

·使任何所需的人员参与其中：在这一点上，蓝队必须知道如何处理这个IoC，哪个小组应该知道失陷这件事。让所有相关小组参与进来，这些小组可能会根据组织的不同而有所不同。

·对事件进行分类：有时蓝队可能需要执法人员参与，或者可能需要搜查令才能进行进一步调查，但用适当的分类来评估案件并确定谁应该继续处理将有助于这一进程。

·确定破坏范围：此时，蓝队有足够的信息来确定破坏的范围。

·创建补救计划：蓝队应制定补救计划，以隔离或驱逐对手。

·执行计划：一旦完成计划，蓝队需要严格执行计划并从破坏中进行恢复。

蓝队成员也应该具备各种各样的技能，并且应由来自不同部门的专业人员组成。请记住，有些公司确实有专门的红队与蓝队，有些公司则没有。各公司仅在演练期间才将这些小组组织在一起。就像红队一样，蓝队也对一些安全指标负有责任，在这种情况下，这些指标并非100%准确。指标不准确的原因在于，现实中蓝队可能不知道红队攻陷系统的确切时间。话虽如此，对于这类演练来说，这些估算已经足够了。这些估算不言自明，你可以在下面的列表中看到：

·预计检测时间（Estimated Time To Detection，ETTD）

·预计恢复时间（Estimated Time To Recovery，ETTR）

当红队能够攻陷系统时，蓝队和红队的工作还没有结束。此时还有很多事情要做，这将需要小组之间充分合作。必须创建最终报告，以突出显示有关如何发生破坏的详细信息，提供记录在案的攻击时间表，为获取访问权限和提升权限（如果适用）而利用的漏洞的详细信息，以及对公司的业务影响。

假定破坏

由于新出现的威胁和网络安全挑战，有必要将方法论从预防破坏改变为假定破坏。传统防止破坏的方法本身并不能促进正在进行的测试，要应对现代威胁，必须始终完善防护。为此，将假定破坏这种模式运用到网络安全领域是顺理成章的事情。

美国中央情报局（CIA）前局长、美国国家安全局（National Security Agency）退休上将Michael Hayden在2012年接受采访时说[26]：

从根本上说，如果有人想进去，他们就会进去。好的，很好。接受这个事实吧。

许多人不太明白它的真正意思，但这句话诠释了假定破坏方法的核心。假定破坏会验证保护、检测和响应以确保它们得到正确实施。但要将其付诸实施，你必须利用红队与蓝队演练来模拟针对其自身基础设施的攻击，并测试公司的安全控制、传感器和事件响应流程。

从图1-7中，你可以看到红队与蓝队演练中各阶段之间的交互示例。

图1-7　红队与蓝队演练中红队和蓝队的交互

图1-7显示了一个红队启动攻击模拟的示例，这可以使蓝队利用其结果来解决在破坏后评估中发现的漏洞问题。

在破坏后阶段，红队和蓝队将共同完成最终报告。必须强调的是，这不应该是一次性的演练，而是一个持续的过程，随着时间的推移，将通过最佳实践进行改进和完善。