紅隊演練 (red teaming),又稱為「紅血球」、「對抗模擬」或「資安紅隊」,是透過模擬真實網路攻擊手法、技巧與程序 (TTP) 來測試企業的資安韌性,卻不會真的傷害到目標環境。
目錄
紅隊演練的意義
在網路資安的世界裡,「紅隊演練」(red teaming) 一詞是指為了某些目標而執行合乎道德的駭客攻擊。這通常會透過多種技巧來達成,如:社交工程、實體安全測試、合乎道德的駭客攻擊等等來以模擬真實駭客的行為和動作,駭客會結合多種不同的 TTP,而且乍看之下似乎彼此之間並無關聯,但卻能達成駭客的目標。
紅隊演練的目的是為企業提供有關其資安防禦的珍貴洞見,並找出需要解決的漏洞和弱點。藉由模擬真實的駭客,紅隊演練可讓企業更了解自己的系統與網路可能如何遭到攻擊,讓他們有機會在真的發生攻擊之前預先加強防禦。
紅隊演練的歷史
紅隊演練的概念源自於軍事戰略,歷史上,軍隊會組織兩支隊伍來模擬戰鬥的情況,一隊扮演敵人 (紅隊),對正在接受訓練的部隊 (藍隊) 進行逼真的對抗。這種作法可讓軍事戰略專家從敵人的角度來探索各種不同的情境和戰術。
隨著企業開始意識到主動式資安評估的價值,紅隊演練也在 1990 年代末期至 2000 年代初期開始在資安領域流行開來。一開始,採納這類作法的主要是政府和軍事機構,目的是保障國家和關鍵基礎設施的安全。但隨著時間的推移,資安威脅不斷演進且變得越來越精密,民間企業也開始將紅隊演練納入資安措施的一環。
紅隊:在網路資安領域的演進與角色
在網路資安領域,紅隊演練已從基本的滲透測試進化成全方位的計畫,包括各種攻擊模擬、社交工程、實體資安評估等等。紅隊通常使用技術最先進的工具和技巧,盡可能逼真地模擬潛在的攻擊。
對於受到高度監管或有重大資安需求的產業來說 (如金融、醫療、關鍵基礎設施),紅隊尤其能彰顯其價值。他們不僅能協助企業偵測潛在的漏洞,還能了解當這些漏洞遭到攻擊時可能造成的實際影響。如此就能回過頭來協助企業判斷應該優先防範哪些漏洞攻擊風險。
紅隊演練提供的意見回饋和洞見,可用來改善資安政策、強化系統,並且訓練人員更妥善地防範實際的網路威脅。這反覆測試與改善的流程,對於維持企業的韌性以對抗不斷演進的資安挑戰非常重要。
紅隊可結合其專業能力與進階工具 (如 Metasploit、Bloodhound、Sliver 及 Havoc) 來模擬一些精密駭客所使用的複雜攻擊。這些開放原始碼工具是由專門提供紅隊演練服務的企業所開發,因此能提供獨特的雙重綜效。
例如,Rapid7 的 Metasploit 可作為滲透測試計畫的先驅,而 BSquare 的 Bloodhound 則是設計用來搭配其紅隊演練服務。
像這樣結合開放原始碼工具與紅隊專家的作法,可讓企業掌握有關其資安態勢的珍貴洞見,隨時搶先最新威脅一步。
紅隊演練的效益
紅隊演練對大大小小的企業來說都是一項珍貴的工具,且對擁有複雜網路和敏感資料的大型企業來說尤其重要。導入紅隊能帶來以下幾項主要效益。
客觀、公正的評估
紅隊可以針對業務計畫或決策提供客觀、公正的觀點。由於紅隊成員並未直接參與規劃流程,因此他們更有可能發現那些在乎計畫成果的人看不到的漏洞和弱點。
發掘風險與漏洞
紅隊可以協助發掘那些非顯而易見的潛在風險和漏洞。這對於複雜或代價高昂的情況尤其重要,因為一旦發生錯誤或疏失,後果可能不堪設想。企業可透過紅隊來發掘並解決潛在的風險,不讓風險變成問題。
鼓勵批判性思考與創新
紅隊有助於主要團隊培養健康的辯証和討論風氣。紅隊的挑戰和批評有助於激發新的想法和觀點,為企業帶來更具創意且更有效的解決方法、批判性思考,以及持續改善。紅隊可對計畫和決策定期提出挑戰和批評,培養一種提出質疑和解決問題的文化,進而帶來更好的成果和更有效的決策。
提升企業韌性
此外,紅隊也有助於企業建立韌性與適應性,讓企業接觸到不同的觀點與情境。如此一來,企業就更能對意外事件與挑戰做好因應的準備,並且更有效回應環境的變化。藉由定期進行紅隊演練,企業就能搶先潛在的駭客一步,降低資安事故所帶來的昂貴風險。
然而,紅隊演練也並非沒有挑戰,紅隊演練執行起來有時可能既費時、又昂貴,而且需要特殊的專業技能和知識。此外,紅隊演練有時也可能被視為一種破壞性或對抗性活動,因此容易引起企業內部的阻力與反彈。
要克服這些挑戰,企業應確保自己擁有必要的資源並獲得支持來有效執行演練,並為紅隊演練建立明確的目標和目的。此外,向所有利害關係人傳達紅隊演練的價值與效益也很重要,並且要確保紅隊演練活動是以受管制且合乎道德的方式進行。
紅隊演練的類型
外部紅隊演練
這類紅隊演練會模擬從企業外部進行攻擊,例如來自駭客或其他外部威脅。外部紅隊演練的目的是要測試企業抵禦外部攻擊的能力,並發掘駭客可能利用的任何漏洞。
內部紅隊演練 (假設已遭入侵)
這類紅隊演練是假設系統與網路已經遭到駭客入侵,例如內賊或駭客利用他人的登入憑證在未經授權的情況下取得系統或網路的存取權限,而這些登入憑證很可能是經由網路釣魚攻擊或其他登入憑證竊取手法取得。內部紅隊演練的目的,是要測試企業對抗這些威脅的能力,並找出駭客可能利用的任何潛在漏洞。
實體紅隊演練
這類紅隊演練會模擬攻擊企業實體資產的情況,例如:建築物、設備和基礎設施。實體紅隊演練的目的,是要測試企業是否能夠對抗實體威脅,並找出駭客可能用來入侵企業的弱點。
混合式紅隊演練
這類紅隊演練結合了上述各種紅隊演練的元素,模擬企業遭到多重面向的攻擊。混合式紅隊演練的目的,是要測試企業抵禦各式各樣潛在威脅的整體韌性。
藍隊演練
這是企業內部的資安團隊,負責保護企業的系統與敏感資料並對抗威脅,包括來自紅隊的模擬攻擊。
他們扮演主動的角色,透過持續監控、威脅偵測及資安事故應變來強化資安態勢。其日常的職務通常包括:分析系統是否有入侵跡象、調查可疑活動,以及回應資安事故以降低衝擊。
紫隊演練
這是由一群來自藍隊的網路資安專家 (通常是負責保護企業的 SOC 分析師或資安工程師) 以及紅隊所組成,共同保護企業以防範資安威脅。該團隊結合了技術專長、分析技巧以及創新策略來發掘並防範網路和系統的潛在弱點。
紅隊此時的目的是用來強化藍隊,但如果兩隊之間沒有持續的互動,這個目標有可能會失敗。兩者之間必須分享資訊、管理與指標,這樣藍隊才能決定其資安目標的優先次序。當藍色團隊參與演練,他們就能更了解駭客的方法,進而更有效運用現有的解決方案來協助發掘及防範威脅。同樣地,了解藍隊的防禦和思維也讓紅隊可以更有創意地找出企業特有的漏洞。
上述的每一項活動都能讓企業發掘駭客可能成功入侵其環境的弱點。
紫隊演練能同時提供攻擊策略與防禦策略的雙重優點。這可以是一種有效提升企業網路資安實務與文化的方法,因為它可讓紅隊與藍隊彼此合作並分享知識。藉由了解攻擊手法與防禦思維,雙方都能更有效扮演各自的角色。此外,紫隊演練也讓團隊之間能有效率地交換資訊,進而協助藍隊判斷其資安目標的優先次序並提升自身能力。
紅隊演練在資安領域的重要性
紅隊演練是一套可讓 IT 與資安人員掌握真實技能以應付真實威脅的實務訓練框架。這項演練可提升他們的技術、信心,以及對付真實威脅的能力。企業可在真實環境中測試其資安事故應變 (IR) 與復原流程。
企業可執行一項評估來測試 IR 團隊的合作能力、能夠多快將受影響的系統隔離,以及在攻擊期間恢復正常運作的效用。這些演練所蒐集到的資訊,可用來提升復原技巧、改善溝通、降低真實網路攻擊的衝擊。這些演練是培養企業內部整體資安文化的重要動力,為 IT 人員提供所需的防禦技巧,並教育一般使用者、管理階層及 CXX 高階主管有關漏洞的資訊,同時提倡一套多層式的資安方法。
除此之外,這些演練所產生的報告也可用於稽核程序,讓稽核人員知道企業已建置了主動式資安控管,並提出企業資安態勢與符合法規的證明。隨著數位威脅不斷增加,企業必須採取主動的網路資安策略,讓團隊具備技能、知識以及實戰經驗來防範真實的威脅。
哪裡可以取得有關紅隊演練的協助?
透過單一平台,更快速地制止惡意攻擊並掌握您的資安風險。透過全方位預防、偵測及回應能力,並搭載人工智慧、領先的威脅研究和情資,落實全面資安管理。
TrendAI Vision One™ 支援多元混合 IT 環境,自動化並協調工作流程,提供專業的資安服務,讓您能夠簡化並整合資安營運。
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.