从 OffSec 过渡到 Red Teams

多年来，我发现有四个常见的挑战可能会阻碍想要进入红队的进攻性安全专业人员：

• 掌握红队哲学
• 采取对抗心态
• 了解红队行动
• 获得实践经验

当我从其他与攻击安全相关的职位转职到红队时，我必须自己解决这些问题，而且我指导别人时也经常会涉及这些主题。今天，将略过基本的黑客技能，重点介绍上述每个领域，并提供一些关于如何克服这些问题的基本指导和建议。

红队哲学

红队成员需要了解红队的历史，因为这能帮助他们更好地理解自身的角色和目标。这些知识可以帮助红队在多个领域开展工作，例如项目范围界定、运营决策、报告、红队宣传以及思想领导力。

我听过几十本关于红队各个方面的书籍，在我看来，这些书籍最能帮助我们理解我们为什么使用红队，以及从概念或知识层面如何进行红队！

了解红队的起源及其历史用途有助于我们更好地理解我们使用它的原因以及如何作为内部红队在我们的行业内更好地利用它。

对手心态

对于许多习惯于庆祝漏洞发现的安全人员来说，采用对手心态是一个巨大的障碍。虽然漏洞通常属于红队行动或活动的范畴，但它们通常并非重点——渗透测试和漏洞赏金计划正是为此而生的。而红队则模拟或效仿真正的威胁行为者可能采取的行为，并报告该威胁的真实易感性。我们有点像演员——我们扮演一个真正的坏人的角色和心态，并进行表演。让这种感觉深入人心。

如果你想模拟或效仿真实的对手行动，那么你必须研究他们，并像他们一样思考。在报告红队结果时，真实性是我们叙事中最有力的方面之一。正因为如此，我们必须精通对手，并在所有行动中都保持意图和深思熟虑。

红队行动

渗透测试与红队行动或活动类似，因为它们通常都从范围界定开始，以确定目标、目的和资源投入（持续时间、参与者等）。但红队的目标通常截然不同。渗透测试通常侧重于在严格的时间范围内和非生产环境中发现尽可能多的漏洞。然而，红队行动通常在生产环境中进行，无需提前通知，并且通常以特定的最终目标为指导，例如“能否获得 X”或“对手 Y 组能否做到 Z”。这通常意味着允许的批准范围比渗透测试的范围要大得多，因为对手通常不会限制范围，因此为了获得准确的衡量标准，红队通常也会扩大范围。

这也是红队的运营能力与渗透测试或漏洞赏金猎人截然不同的地方。红队的行动规划、运行和报告需要大量的支持工作，例如：

• 对手情报：当前趋势和可能的威胁指导行动的目的和意图
• 与业务目标保持一致，并根据公司现状进行建设：不要压制蓝队。衡量他们目前所处的位置，然后帮助他们拓展
• 技术能力：对手基础设施、技术 TTP 和工具、研究
• 作战能力：被动/主动侦察、武器化、投放、执行、横向、持久、渗透等
• 报告：撰写报告或演示文稿、确定关键利益相关者、协调和召开会议、制定和提供建议
• 建筑蓝色：测量关键方面，如检测率、检测时间、响应时间等
• 后续建议和培训：除了告知和建议之外，它还有助于帮助进行一些根本原因分析和改进举措（对失误进行培训、与技术团队进行事后分析、影响领导层了解哪些变化会阻碍红队成功等）

获得红队经验

能够在面试中谈到所有这些事情固然很好，但经验往往胜过千言万语。以下是一些在红队之外也能积累红队经验的好方法：

• 参与紫色团队练习
• 分享/讨论对手情报
• 提供漏洞报告和检测建议
• 帮助红队进行研究和开发（漏洞开发、工具、基础设施等）
• 扩大并证明漏洞的影响（在一定程度上——不要超出授权范围，不要造成业务影响等）
• 解释漏洞与当今威胁形势的关系
• 审查红队工作（提供审查并对演示、研究、策略等提供反馈）
• 构建开源红队工具，例如 C2 或攻击实验室

总结

从我个人转入红队的经历，以及多年来指导有志于成为红队成员的经验来看，以上四个方面是我所见所闻的最大挑战。我提供的参考和建议，通常都是我用来帮助其他人克服这些挑战，并从非安全角色过渡到红队的。

如果你正计划在红队路上进阶，或准备加入红队，欢迎了解这些热门资质！