什么是渗透测试及渗透测试与红蓝对抗的区别

军事战略家，体育教练，网络安全顾问都有什么共同之处？他们知道一句流行谚语：“最好的进攻就是防守”。众所周知，在这个浮躁的年代，任何事情你只要不出错就意味着胜利或者胜人一筹。

在网络安全行业中，这当然并不意味着企业应该寻求破解威胁行为者的系统。相反，它指的是组织需要将渗透测试或测试形式的安全行为纳入其网络安全计划。渗透测试是包括由安全顾问执行的手动测试过程，以识别和利用客户端环境中的安全漏洞。但为什么渗透测试如此重要？

简单回答是，渗透测试允许组织根据真实的攻击场景评估其网络安全状况，这反过来使他们能够解决如果他们采用完全防御性的安全方法而被突破的问题。由于这听起来有点含糊不清，我们想在这篇文章中概述一下渗透测试的一些主要好处。

这边链接站内文章《红队资料集锦》

几乎所有渗透测试都揭示了重要的安全漏洞。

渗透测试非常有效。换句话说，测试者通常会成功地在客户组织的网络防御中找到漏洞。事实上，Positive Technologies最近的一项研究发现，在2018年，安全研究人员冒充该组织之外的威胁行为者，客户的内部网络在92％的外部测试中被破坏。更为引人注目的是内部测试结果，其重点是与本地网络连接的恶意内部人员可能造成的损害，因为测试者能够在100％的情况下获得对系统的完整的管理控制。

这些发现证明了两件事。首先，渗透测试在暴露威胁参与者可能侵入和移动到您的网络以便访问，操纵，破坏或破坏有价值的数据和系统的方式方面显然是有效的。该研究还指出，公司根本无法正确保护他们的系统。部分问题是许多组织没有充分确定安全性的优先级，因此没有为其分配足够的资源。然而，这里的根本问题是，像许多公司一样，单独关注防御性安全是一个根本上有缺陷的战略。

仅通过防御手段保护其安全性是不够的。就像试图通过编辑自己的工作来提供完美无缺的手稿：尽管在提交之前审查您的写作至关重要，但你一定会忽略一些错别字，甚至可能更基本的错误。为了避免这种情况，你真的需要一双新眼睛来看你的工作。这份工作的最佳人选将是一位专业的校对员，他们确切地知道出版商的读者将如何评论你的写作。对于想要验证系统真正安全性的组织来说，情况也是如此：他们需要有人像攻击者那样探测他们的系统。而这份工作的最佳人选便是专业的第三方渗透公司。

渗透测试有助于防止补丁疲劳

除了上面讨论的纯粹防御性安全计划的基本问题之外，还存在妨碍组织优化其网络安全的实际因素。一个常见问题是组织越来越难以跟上新发现的软件和硬件漏洞不断发布的大量安全补丁。补丁疲劳多年来一直是一个问题，事情只会越来越严重，因为报告的漏洞数量逐年增加，目前的记录从2018年起超过16,500个安全漏洞，即每天45个（见下图）。即使这些补丁中只有10％与您的系统相关，这意味着每周必须识别，测试大约32个补丁

通过定期渗透测试，公司可以识别其IT基础架构中最易受攻击的元素，因此他们可以为这些系统确定安全补丁的优先级。例如，上面引用的研究表明，在外部测试中，安全专家通常可以通过利用Web应用程序中的漏洞来破坏网络外围。每4个发现的渗透向量中有3个（即访问本地网络的方式）源于安全性较差的Web应用程序。在这些情况下，客户端可以通过安装最新的安全更新，并在必要时改进安全配置来开始保护这些应用程序。

渗透测试揭示了超出漏洞评估范围的问题

渗透测试与漏洞评估是不一样的。

组织了解其网络安全状况中的薄弱环节的一种方法是让安全专业人员进行漏洞评估，这意味着技术人员将扫描其环境，以检测影响其系统的已知缺陷。虽然漏洞评估对于希望加强其安全性的公司非常有用，但渗透测试提供了许多额外的价值。前者只是告知公司在哪里可以找到最明显的安全漏洞，而后者也会暴露出低于表面的问题，并展示威胁行为者可以通过利用某些缺陷造成的实际损害。

例如，上述关于渗透测试的研究发现，每两个系统中就有一个系统的安全性非常低，以至于测试人员只能利用一种类型的漏洞来破坏网络边界并访问内部网络。换句话说，有一半公司没有遵循最佳做法通过确保需要多个步骤来打入有价值的系统，可以阻止或至少减缓攻击者的网络分段和其他解决方案。

这一发现强调了与漏洞评估相比，渗透测试的附加价值，因为漏洞扫描只能识别表面漏洞，而不是影响（即，这使得测试人员如何立即访问内部网络）。此外，渗透测试将揭示攻击者在获得访问权限后可以在网络上实际执行的操作，例如他们将能够查看哪些敏感数据。这是组织只能通过渗透测试获得的非常有价值的信息。

以下这些项目都是漏洞评估无法识别的结果，如果发生安全漏洞，这可能会对您的组织产生重大影响。使用渗透测试的结果，您的组织可以通过减少攻击媒介的数量和敏感资源和系统的可访问路径，来确定保护其最有价值数据的方法。

• 工作站和服务器之间的共享本地管理员凭据
• 中间人攻击，在传输过程中暴露敏感数据
• 基于密码的攻击导致的弱活动目录域用户帐户凭据
• 在设备（例如打印机）上披露员工用户名和/或电子邮件地址
• 配置错误的一体式打印机包含特权域帐户凭据
• Web服务中的密码较弱，包括打印机，服务器，远程管理控制台等。
• 欺骗攻击，欺骗最终用户系统进行身份验证，泄露敏感凭据
• 与文件共享和服务关联的配置错误，暴露敏感数据

谈谈渗透测试和红队的区别

最近在各种安全相关的资讯或者技术文章中，越来越多的提到渗透测试（Penetration Testing）和红队（Red Team）这个两个词，而且很多地方是把这两个词的意思混为一体，认为是相同的东西。虽然这两者在方法和实施过程中存在一定相似甚至重合的部分，但是渗透测试和红队还是存在一些本质的差异。本文将分别对两者进行定义和描述，方便企业根据自身安全需求选择合适的安全服务，也能以此识别那些打着红队幌子实际干着渗透测试活的安全公司。

渗透测试

渗透测试是对给定的目标系统进行安全测试，找出漏洞或风险的过程。渗透测试工程师会从不同的层面（包括应用层、网络层、系统层甚至物理层）对目标系统进行脆弱性分析，尝试找出尽可能多的漏洞、配置错误或其他安全风险，并尝试对这些找到的漏洞进行组合利用，最终获取到访问关键隐私数据的权限（隐私数据包括用户信息或者商业秘密等）。渗透测试过程中对漏洞的利用一方面能证明漏洞真实存在，另一方面这些漏洞的利用结果也能揭示出目标系统所面临的风险等级。

渗透测试专注于对给定的系统进行测试，存在明确的测试目标和测试边界。企业会指定测试起始时间和结束时间，测试时长一般为1到2周。测试目标可能是web系统、工业控制网络、内部办公网络等等。各类众测平台上的测试任务本质上就是渗透测试任务，这些任务都会明确测试范围，比如指定web系统域名、指定测试的APP等。

一般安全企业提供的渗透测试服务通常可以分解成一组针对不同系统的测试任务，如针对web系统的测试任务、针对内部办公网的测试任务、社会工程学测试任务等等。

渗透测试在评估系统或网络的安全性时，通常会忽略企业里其他运行环境的安全限制。例如，内网渗透测试将从内网中恶意用户（例如恶意员工或被入侵的员工机器）的角度评估企业的网络安全性。测试工程师到达现场后，将会直接将笔记本电脑接入内部办公网络开始进行测试。内网渗透测试会忽略黑客在内网中获得初始落脚点这个步骤(通常是通过钓鱼邮件或其他方式欺骗员工运行恶意程序)，直接从已有内网接入权限开始进行测试。内网测试报告会包含内网中暴露的有漏洞的服务、未打补丁的系统、错误的系统配置、敏感文件共享等等安全问题，但是不会包含黑客最初如何获取内网接入权限这个步骤。

在渗透测试过程中，企业中负责防护的安全团队一般不会直接参与，为了配合渗透测试，企业有时会关闭某些安全防护软件或禁用安全策略，方便测试工程师找出更多的安全漏洞。

当整个渗透测试活动结束后，工程师会出具一份渗透测试报告，里面包含所有发现的漏洞列表以及每个漏洞具体的利用步骤和过程，同时会依据漏洞危害给出相应的威胁等级评分。

红队

尽管红队测试在有些攻击技术方面类似渗透测试，但不同于渗透测试尽量多找漏洞的目标，红队测试的任务往往是拿下某个特定的业务目标(比如公司某个项目的源代码，公司竞标标书和底价等商业机密，某个高层管理人员的邮箱或个人机等) 。红队要模拟真实世界中的极具目的性且不希望被检测到的恶意攻击者（受竞争对手雇佣的恶意黑客，收集政治、经济和科技情报的境外国家资助的黑客团伙等），红队测试某种程度上可以说是合法的高级持续性威胁(APT)。在这种完全贴近真实攻击的测试活动中，能够测试企业安全防护体系的阻断（prevention）、检测（detection）和响应（response）能力。

渗透测试中只关注给定目标系统的漏洞，红队测试则完全不一样。红队在测试过程中关注的是如何规划一条攻击路径来达到目的。在整个红队测试过程中不一定要也不一定会发现目标组织的漏洞，只要能达到目的，任何形式的攻击手段都可以使用，包括但不限于web或者操作系统漏洞、社会工程学、物理渗透、攻击上下游合作供应商等。

在红队测试开始前，除了任务目标外，不会给到红队关于目标企业的任何其他信息。红队需要通过各种渠道去搜集目标的物理位置、公开的网络系统和服务、组织架构以及雇员等信息，然后根据收集的信息制定攻击计划并实施。被测企业并不清楚（或仅有少数人清楚）攻击将于何时发起，将以何种方式进行。红队测试的持续时间一般比渗透测试更长，可以达到4到6周甚至更长（想想看真实APT攻击中长达数月的潜伏和持续渗透）。

红队在实施攻击时，会尽量隐藏自己的踪迹，另外还会详细记录每个攻击行为的具体实施时间，在整个行动结束后需要与组织中的防御检测部门(即蓝队)的检测响应时间表进行核对，以此来评估防御检测机制的有效性和响应速度，同时检查蓝队在哪些方面存在漏报和响应不及时，帮助蓝队更好的发现防御检测层面的弱点。这一点CS做的很好，可以导出红队的详细操作日志和时间。

结语

两者并没有哪个更好之说，对于企业来讲，先要搞清楚具体的场景和安全需求，才能确定需要的是渗透测试还是红队测试。对于新上线的业务系统，需要搞清楚存在那些漏洞以及漏洞可能造成的危害时，需要的是渗透测试；如果企业各个子系统都已经进行过渗透测试，并且存在成熟的漏洞管理、防御检测以及应急响应机制，另外还想要对企业整体安全环境进行评估，了解企业在面临真正的安全攻击事件时，是否有能力防御或者检测并及时响应，那么需要的便是红队评估。

最后说一点，在很多人的认知里面，一个企业被攻破一定是因为存在安全漏洞或者配置错误之类的安全问题，这是不正确的。如果真这么简单，那只要按时打补丁，就能防住所有没有0day的恶意黑客甚至防住APT攻击了。上文已经说过，红队测试过程中不一定会发现安全漏洞，很多时候不需要安全漏洞就能打穿一个企业。而现今的安全市场，很多企业还是以漏洞数量来评定安全服务团队的能力，就导出现了很多安全服务报告硬凑漏洞数量的怪象。在这种大环境下，企业可能反而认为没有发现安全漏洞但打穿了他们的红队安全能力不行，或者认为纯粹是偶然侥幸才能得手。这是一个认知升级的过程，什么时候能不以漏洞数量来评定安全服务能力，才能说真正理解了安全和攻击。