在网络犯罪分子不断更新网络攻击技术和工具的时代，安全人员必须不断完善防御战略，以跟上不断变化的威胁形势，加强检测和响应能力，争取领先攻击方一步。

对于大多数企业组织而言，真正的纵深防御战略应该包括红队演练这个环节。这些企业组织只有经过不断的红蓝对抗演练，形成漏洞发现、修复闭环，才能构建强有力的安全防御体系。基于这一需求，本文将重点介绍关于红队演练的方方面面，希望帮助更多人理解、应用好红队演练服务，以发现自身防护漏洞，提升防护能力。

图1 红蓝对抗的流程闭环

什么是红队演练？

红队演练是测试企业对网络攻击检测和响应能力的最终方法。它专注于攻击模拟，通过采用与真实攻击相同的各种策略、技术和程序 (TTP) 来评估企业在整个攻击生命周期中每个阶段的防护能力。红队演练服务为安全运营团队提供了一种安全的方式来测试其威胁检测和事件响应能力。

红队演练的目的在于通过攻击模拟揭示公司安全中的漏洞，发现网络安全防御中的暴露面及盲点，帮助企业深入了解自身安全体系的状态以及安全技术、流程和人员的有效性，并确定需要改进的领域。

通过红队评估，用户可以测试以下内容：

攻击面的大小；

威胁检测技术的有效性；

响应过程的效率；

内部人员的安全意识。

扫码获取2022《红蓝对抗服务全景图》

为什么需要红队演练？

网络安全不是一个短暂的事件，而是一个持续的过程。网络攻击技术和工具不断进化、企业的攻击面不断扩大、企业并购带来的新用户和新政策……所有这些变化都会产生新的安全问题。

解决这些安全问题意味着需要进行定期的安全评估和持续的侦察活动，而红队演练就是最好的安全评估方式之一。它的主要价值在于帮助企业：

衡量关键资产的风险。了解外部或内部攻击者接触企业核心资产的难易程度，并明确通往这些资产的各种关键路径。

发现未知的攻击路径。发现未知的载体和弱点，了解其潜在的业务影响，并基于此提前制定准备、检测、响应和恢复方案。

确定优势和劣势。对自身安全策略进行广泛而深入的分析，获得对团队优势和劣势的客观评估。

推进安全防护策略的改进。为用户提供持续改进所需的洞察力，并促进其有针对性地提高特定能力。

红队演练鼓励安全团队以主角的身份思考，帮助他们识别和修复所有已识别或未识别的漏洞，使其在网络安全防护中始终处于准备就绪的状态，促进团队协作能力的提升和批判性安全思维的养成。红队演练是识别漏洞的绝佳途径，它能在漏洞发展成为安全问题之前彻底将其发掘出来。

以下这些企业组织非常有必要进行红队演练：

上市公司及经常被攻击的资本密集型组织；

拥有大量数字资产的组织；

以信息安全为企业形象的组织；

拥有需要保护的敏感数据的组织；

想在攻防演习中取得好成绩的组织。

如何开展红队演练？

在演练服务期间，红队会使用任何必要的手段，就像真实的攻击者所采取的措施一样，包括网络攻击、社会工程攻击、近源攻击、钓鱼邮件、安全设备攻击、供应链攻击、分支机构攻击，不过这些手段不会对客户的基础设施或资产造成损害。

图2 红队演练涉及到的攻击方式

红队演练遵循结构化方法，根据攻击者传统的策略进行攻击模拟。在每次演练服务开始时，红队人员与客户一起确定项目的目标。客户可以根据他们个性化的要求，选择针对已知或未知威胁进行测试。一旦红队与用户的红队演练目标达成一致，演练服务将分为四个步骤进行：

第一阶段——侦察

采用一系列网络威胁情报技术来尽可能多地收集有关用户的信息。这可能包括开源情报、金融情报、技术情报和人员情报等等。红队人员使用这些信息来识别和确定攻击目标及方法。

第二阶段——武器化和交付

在这个阶段，红队利用获取到的情报对用户发起攻击。根据之前确定的范围和目标，红队可以执行诸如钓鱼邮件、社会工程攻击、物理入侵或命令和控制活动等方法来利用漏洞并获得对用户网络的访问权限。

第三阶段——开发、安装、指挥和控制

一旦红队建立了立足点，他们的接下来目标就是实现与用户共同商定的演练目标。这也意味着在真实攻击中，攻击者能否成功实现他们的最终目标。在这个阶段，红队人员还可以模拟不同类型的攻击者，包括心怀不满的员工或获得用户网站访问权限的攻击者。

第四阶段——输出报告

红队人员需要针对演练的每个阶段为用户提供清晰的报告。这使用户可以全面了解系统或人员中可能存在的任何漏洞或弱点，以便其可以采取行动加强防御。报告的内容通常包含两大部分：

执行摘要：概述演练涉及的范围、主要发现，以及这些发现所造成的业务影响。

技术分析：详细阐述发现的漏洞和风险，分析其形成原因，并给出具体补救建议。

在网络安全防护方面，没有企业是万无一失的。通过练习对模拟攻击的事件响应，安全运营团队可以提高他们的威胁检测和响应能力，在威胁追踪方面变得更加高效，还能发现之前可能未被注意到的漏洞，从而在攻击发生之前或攻击早期阻止攻击进程，避免对业务造成重大损害。

渗透测试和红队演练有什么区别？

基于对自身安全防护能力进行检测的目的，用户在进行安全服务选型的时候，可能会面临这样一个问题：既然都是测试系统的防御能力，那红队演练与渗透测试有什么区别呢？

虽然红队演练和渗透测试都旨在通过模拟真实攻击的技术和流程来改善企业的安全防御策略，但两种评估的形式和方法不尽相同。

渗透测试是在指定的时间内，对给定的目标系统进行安全测试，比如指定的web系统或APP，找出用户安全系统的漏洞或风险，渗透测试过程中对漏洞的利用一方面可以证明漏洞是真实存在的，另一方面也能基于这些漏洞揭示目标系统所面临的安全风险。在渗透测试的过程中，企业的安全防护团队一般不会参与，为了配合渗透测试的进行，企业还会关闭某些安全防护软件或策略，以方便渗透测试团队发现更多的漏洞。

与渗透测试不同，红队演练的任务往往是完成某个特定业务目标的攻防演练，例如获取用户某个项目的源代码等。它不局限于单个应用程序或系统，而是着手利用包括社会工程在内的多种攻击手段，对整个环境都在范围内的多个系统进行攻击，全面模拟真实世界中具有明确目的且避免被检测到的攻击者。红队演练某种程度上可以看作是合法的高级持续性攻击（APT）。这种完全贴合真实攻击环境的演练过程，能够反映出企业安全防护体系的检测和响应能力。

两者之间的主要区别可以直观地概括为下表中的7点：

表1 渗透测试与红队演练的区别