[翻译]-当下红队存在的问题

最近我发现了Andrew Thompson在推上创建了一个小问卷,主题是:蓝队是否应该在红队的行动过程中展示是如何捕捉到他们的攻击行为

我的回答是No并给出了我的解释.

Andrew 指出:是取决于他们是什么类型的测试.

我自己的看法有以下几点:

红蓝对抗旨在反映出防御者和真实对手之间的斗争,现实中的对手和红队一样,需要在攻击链的每一个环节都成功打击到目标.

红队的目的是不停地接近目标(比如拿到核心域控权限),拿鱼叉钓鱼来说,他不需要让所有人都上钩,只需要一个即可.

对于攻击链的每一个阶段,只需要一种方法就可以进入到下一步,发现的方法肯定不止一种,有时候是不经意间或者自动发生的.

红队可能会完成他们的任务,拿下最终目标,然后告诉蓝队他们每一个阶段做了哪些事,但是这对防守方有什么影响呢?

那么,红队证明了什么?事实就是他们能够在Kill Chain的不同阶段找到攻击方法.

我的意思是我们能否有最全面,最有效的方式来发挥出红队的作用?

红队经常把重点放在一条攻击链最短的路径上,换句话说,他们减少了更多可能的攻击思路.

但是,现实中,当对手开始行动以后,经常会持续的发现一些新的漏洞,从一个系统打到另外一个系统,只是为了寻找有价值的信息,收集信息和泄露的数据.

DMZ中一台Web服务器上的一个rar.exe进程导致CPU使用率过高,发出大量DNS请求,监控也显示出完整的磁盘分区,从而发现很多的安全事件.

很多红队限制了自己在入场时的行动,找到目标系统->拿到system权限->建立后门.他们知道如何混淆payload,但是他们是否训练过或者模拟过GB级的信息混淆?
他们是否获得了拿下域的任务,或者是拿到某开发部门设计蓝图的任务.

由此引入下一个问题.

红队应该以最全面的方式来模拟对手(包括最笨拙和最明显的方式,不是吗?)

我认识的红队成员通常都很熟练，在我对Virustotal进行研究和研究时发现的有效payload经常与现实世界的攻击者工具集区分开。我问自己为什么？，然后试着用语言表达出来。

红队应该模拟对手的所有优点和缺点，而不是成为更好的攻击方。他们应该：

应用不同级别的笨拙并实现这一点，请研究威胁情报社区提供的APT报告-是的，这意味着你要去激活Guest帐户并将其添加到本地管理员组，即使你的灵魂反抗它。
设定切合实际的目标，因为完全控制高层
域从来不是的真正的实际目标。一些红队已经做到了这一点。设置诸如检索有关客户/项目X公开招标的所有内部和机密信息”或在机场X航站楼的行李处理系统中获取X射线管理控制台的屏幕快照之类的目标。

ps:Wing肚子饿了,翻译不下去了,谷歌翻译CV一下???

作为一名防守者，我希望得到：

如上所述：要想要更真实的模拟

我要求这样做的原因并不是我害怕干架（无论如何我还是赢了）。原因是，人们往往忽视了红队的真正目的-不是赢得比赛，而是训练蓝队进行真正的战斗。

蓝队的目的是：和真正的威胁对抗！，而不是：去教红队你是如何抓住他们的，以便他们知道如何在下一次练习中躲避你的监测。

当然，你可以玩公开的猫捉老鼠游戏，直到两支球队都非常了解另一支球队的运作方式为止，但从我的角度来看，红队和蓝队的时间可以更有效地用于更好的演练.

在Twitter上进行一些讨论和评论后，我现在对红队的目的和局限性有了更清晰的了解。

首先，我看到的红队做什么和红队实际上应该做什么混为一谈。有人告诉我，正确的红队已经在进行合理的进行模拟对抗。
对红色团队提供的实际价值也存在误解。我想很多客户也一直相信，红队的练习将帮助你发现自我安全检测上的空白。这种错误的信念使我提出了这样的建议，即在杀死链的不同阶段对保护/检测覆盖率进行测试将非常有帮助。
合适的红队告诉我，红队的主要目标不是发现检测缺口，而是发现反应本身，过程，协调，沟通等方面的缺陷。仅作为副产品，你会得到不完整的检测列表。主要目的是发现蓝队的内部弱点。

我是从以下观点写这篇博客文章的：