第10章 赛后——分析报告

1000

在之前的“黑客秘笈”系列图书中,我们介绍了如何编写渗透测试报告,并提供了大量示例模板。这些模板非常适合作为标准的渗透测试行动周总结报告,但不适用于红队行动。正如本书所述,红队的主要任务不在于识别漏洞本身(尽管通常是行动的一部分),而是测试员工安全意识、工具、流程和员工技能。如果您的公司受到演练人员或坏人的攻击并被突破,您会给自己什么样的成绩?我一直反对使用差距评估分数、ISO分数、成熟度模型分数、标准风险分析、热图和类似报告来展示公司安全流程的真实样子。

就个人而言,在红队行动前,我希望看到公司安全防护取得真正的进展。例如,对于使用类似doppelganger的网络钓鱼行动,我们看到公司启用了以下某些功能。

这只是公司可以实施的一些简单的措施,可以有效阻止攻击。

请记住,红队只需要找到一个可能危及环境的安全漏洞。但是,与此同时,蓝队只需要识别攻击者的战术、技术和程序中的一个环节,就可以防止网络被突破。因此,现在的问题是,如果从您的工具中发现攻击者的一个环节,并发出警报,您的应急响应团队多长时间可以发现并做出响应?

那么红队报告中的内容包括什么?红队仍然是新的领域,目前还没有标准的报告模板,我们可以根据客户的需求进行定制。从我的角度来看,由于我们可能会在整个行动中尝试多次进入某个环境(并且被“抓住”了几次),因此我们希望展示好的与坏的两个方面。

至于行动中记录的内容,许多工具(如Empire和Cobalt Strike)在行动期间都有详细的事件日志,但这些还是远远不够的。在行动中非常有用的方式是,搭建一个简单的网络服务器,记录红队成员执行的每项行动。在行动期间仅收集基本的信息,包括特定事件、服务器、描述、影响、任何警报和屏幕截图。大多数红队/渗透测试人员都不愿做记录,网络服务器提供了一种跟踪行动的简单方法,如图10.1所示。

行动结束后,我们搜集所有记录,并将内容组合在一起,形成红队报告,用于讲述故事。红队报告的主要部分可能包括以下几点。

1001

图10.1

1002

图10.2