1.5 红队和蓝队

红队与蓝队演练并不是什么新鲜事。最初的概念是在第一次世界大战期间引入的，与信息安全领域的许多术语一样，这个概念起源于军队。总的想法是通过模拟来演示攻击的有效性。

例如，1932年，海军少将哈里·E.亚内尔（Harry E.Yarnell）展示了袭击珍珠港的效果。九年后，日军偷袭珍珠港，我们可以对比一下，看一看类似的战术是如何使用的。根据对手可能使用的真实战术进行模拟，其有效性在军事上是众所周知的。外国军事和文化研究大学有专门的课程来培养红队学员和领导者。

虽然军事中“红队”的概念更广泛，但通过威胁模拟的方式进行情报支持，与网络安全红队所要达到的目的相似。国土安全演练和评估计划（Homeland Security Exercise and Evaluation Program，HSEEP）还在预防演练中使用红队来跟踪对手移动方式，并根据这些演练的结果制定应对措施。

在网络安全领域，采用红队方法也有助于企业更安全地保护资产。红队必须由训练有素、技能各异的人员组成，他们必须充分了解组织所在行业当前面临的威胁环境。红队必须了解趋势，了解当前的攻击是如何发生的。在某些情况下，根据组织的要求，红队成员必须具备编程技能才能构建漏洞利用，并对其进行自定义，以便更好地利用可能影响组织的相关漏洞。红队的核心工作流程使用图1.12所示的方法进行。

红队将执行攻击并渗透环境以发现漏洞。这项任务的目的是发现漏洞并加以利用，以便获得对公司资产的访问权限。攻击与渗透阶段通常遵循洛克希德·马丁公司（Lockheed Martin）的方法，该方法发表在论文“Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”中。我们将在第4章中更详细地讨论杀伤链。

红队还负责记录他们的核心指标，这对业务来说非常重要。主要指标如下：

●平均失陷时间（Mean Time To Compromise，MTTC）：从红队发起攻击时起，直到成功攻陷目标的那一刻。

●平均权限提升时间（Mean Time To Privilege escalation，MTTP）：从与前一个指标相同的时间点开始，但是一直到完全失陷，也就是红队对目标拥有管理权限的时刻。

到目前为止，我们讨论了红队的能力，但如果没有对手蓝队，演练就不可能完成。蓝队需要确保资产的安全，如果红队发现漏洞并加以利用，那么蓝队需要迅速补救并将其记录为经验教训的一部分。

以下是当对手（在本例中为红队）能够攻陷系统时，蓝队完成的一些任务示例：

●保存证据：当务之急是在这些事件中保存证据，以确保你有有形的信息可供分析、合理化，并在未来采取措施来减轻影响。

●验证证据：不是每一个告警或者这种情况下的证据都会让你发现有效的入侵系统企图。但是，如果它真的发生了，就需要将其作为一个失陷指示器（Indicator Of Compromise，IOC）进行分类。

●使任何所需人员参与其中：在这一点上，蓝队必须知道如何处理这个IOC，以及哪个小组应该知道失陷这件事。让所有相关小组参与进来，这可能会根据组织的不同而有所不同。

●对事件进行分类：有时蓝队可能需要执法人员参与，或者他们可能需要逮捕令才能进行进一步调查，但通过适当的分类来评估案件并确定谁应该继续处理将对这一进程有帮助。

●确定破坏范围：此时，蓝队有足够的信息来确定破坏的范围。

●创建补救计划：蓝队应该制定补救计划，以隔离或驱逐对手。

●执行计划：一旦计划完成，蓝队就需要严格执行并修复漏洞。

蓝队成员也应该有各种各样的技能，并且应由来自不同部门的专业人员组成。请记住，有些公司确实有专门的红队与蓝队，而有些公司则没有。各公司仅在演练期间才将这些小组组织在一起。

就像红队一样，蓝队也对一些安全指标有责任，在这种情况下，这些指标不是100%精确的。衡量标准不精确的原因在于，现实中的蓝队可能不知道红队攻陷系统的确切时间。话虽如此，对于这类演练来说，通过估算已经足够了。这些估算不言自明，你可以在下面的列表中看到：

●估计检测时间（Estimated Time To Detection，ETTD）

●预计恢复时间（Estimated Time To Recovery，ETTR）

当红队能够攻陷系统时，蓝队和红队的工作就不会结束。在这一点上有很多事情要做，这将需要小组之间的充分合作。必须创建最终报告，以突出显示有关如何发生破坏的详细信息、提供记录在案的攻击时间表、为获取访问权限和提升权限（如果适用）而利用的漏洞的详细信息，以及对公司的业务影响。

假定入侵

基于新出现的威胁和网络安全挑战，有必要改变方法论——从预防破坏到假定入侵。防止入侵的传统方法本身并不能促进正在进行的测试，要应对现代威胁，你必须始终完善防护。为此，将这种模式运用到网络安全领域是顺理成章的事情。

美国中央情报局和国家安全局前局长、退役将军迈克尔·海登（Micheal Hayden）在2012年说：

“从根本上说，如果有人想进去，他们就会进去。好的，很好。接受现实吧。”

在一次采访中，许多人不太明白他的真正意思，但这句话是假定入侵方法的核心。假定入侵验证了保护、检测和响应，以确保它们得到正确实施。但要将其付诸实施，你必须利用红队与蓝队演练来模拟针对其自身基础设施的攻击，并测试公司的安全控制措施、传感器和事件响应流程。

在图1.13中，你可以看到红队/蓝队演练中各阶段之间的交互示例。

这可以使蓝队利用演练结果来解决在入侵后评估中发现的漏洞问题。

在入侵后阶段，红队和蓝队将共同制作最终报告。必须强调的是，这不应该是一次性的演练，而是一个持续的过程，随着时间的推移，将通过最佳实践进行改进和完善。