Gartner最新指南：如何通过开展红队演习提高网络弹性

由于事件和监管要求不断增加，安全和风险管理领导者努力建立网络弹性并有效管理网络威胁。本研究指导这些领导者制定红队计划以支持弹性及其关键组件。

主要发现

根据 2024 年 Gartner 设计和构建现代安全运营调查，73% 的组织认为红队角色对安全运营目标的贡献很大或非常重要。然而，只有 28% 的组织至少有一名全职红队成员。
然而，组织通常认为红队不过是一次高级渗透测试，或者它过于昂贵、耗费资源和时间，这使得组织无法做好应对入侵的准备。
许多组织越来越重视构建弹性。这应该会触发红队计划的启动，该计划会复制可能攻击组织的真实威胁行为者的策略、技术和程序 ( TTP ) 。
建立有效管理潜在网络攻击的能力和信心将减少平均恢复时间，从而降低违规成本、对资源的影响及其潜在的品牌损害。

建议

负责运营的安全和风险管理领导应与其他安全和风险管理利益相关者合作：

通过开展红队演习来发现安全运营在检测和响应能力方面的功能差距，从而提高弹性。使用紫队方法促进协作学习并指导具有可操作结果的活动，例如改进检测或加快响应流程。
通过持续威胁暴露管理 (CTEM) 程序模拟预期真实威胁行为者的 TTP，为不断变化的法规做好准备。
首先重点验证针对关键业务资产和流程的攻击的可行性。引入自动化来持续、一致地模拟攻击，并测试组织及时检测、响应和恢复攻击的能力。

介绍

网络攻击不仅影响直接受害者，有时还会影响组织的客户和合作伙伴以及普通公众（例如 Colonial Pipeline 勒索软件攻击）。尽管拥有大量预算、资源和网络防御策略，受害组织通常仍会受到攻击。因此，需要采用红队等整体方法，从整体上审视组织的准备工作（人员、流程和技术）。

例如：如果检测失败，您无法及时做出响应，您该如何恢复？是否有足够的备份程序来恢复？将红队能力作为安全策略的一部分进行构建，不仅有助于回答这些问题，而且还能在攻击者发现漏洞之前弥补漏洞。

红队方法涉及以模拟潜在攻击者的意图、决心、动机和老练程度的方式“突破”组织。它与渗透测试的区别在于，它模拟真实的攻击场景来测试组织的安全态势和准备情况。红队方法不受有限范围的限制，而是受目标的约束。它将避开防御控制，保持隐蔽，不被发现，从而实现其目标。它为组织提供最接近真实攻击的体验，以便他们能够练习防御和响应能力并识别漏洞和盲点，从而提供机会来提高涉及技术、流程和人员的能力。

红队方法通过提供对哪些攻击有效以及哪些防御控制失败或缺失的洞察，展示了改善网络安全投资的精确方法。

分析

开展红队演习以提高组织弹性

我们认为，弹性是每个组织的重要目标，也是当今复杂动荡的世界的战略要务。弹性强的组织比弹性较弱的组织表现更好。

我们对网络弹性的定义如下：

网络弹性是指组织在不断变化且日益复杂的环境和威胁形势下抵抗、吸收、恢复和适应业务中断的能力，使其能够实现目标并反弹和繁荣。

确保组织的弹性策略具备通过漏洞评估和渗透测试识别、检测和保护的基础能力。该策略还应包括红队方法，该方法还扩展了测试响应和恢复过程的能力。虽然定期渗透测试可以提供有关安全状态和与漏洞利用相关的风险的良好信息，但渗透测试在行为和方法上仍然不同于真正的威胁。

红队将采取整体方法来测试人员、流程和技术，为组织提供机会测试蓝队在实际入侵时使用的技术和方法，了解团队如何反应，并找出改进点。红队演习为组织提供了最接近真实攻击的体验，有助于提高其弹性。

组织必须对蓝队/红队能力的成熟度以及后续步骤进行差距分析。这将确保他们最大限度地利用可用的时间、资源和预算。负责安全运营的安全和风险管理领导者必须了解红队的目标、工具和技术，以提高网络安全弹性并有效运营红队计划。

使用威胁情报来了解对组织或其所在行业构成重大风险的顶级威胁，无论其能力如何。使用该输出来制定方案并一次测试一个方案以深入了解并逐步提高成熟度。将收集到的信息与确定合适的起始位置和演习类型的目标相结合，如图 1 所示。

图 1：红队参与的目标和起始位置

红队演习的目标和起始位置的示例：

场景 1（原始/起步）—测试组织检测和响应特定于组织的顶级威胁载体的能力。为了有效利用时间和资源，采取假设的违规立场可以深入了解攻击的影响。
场景 2（日趋成熟）——测试组织检测和应对特定威胁或威胁行为者群体的能力，从外部开始执行对手模拟。验证针对完整攻击链的控制能力或证明投资的合理性。

作为该计划的一部分，首先考虑紫色团队，即蓝队和红队在测试的不同阶段进行协作。开展紫色团队演习的主要好处包括：

蓝队可以练习检测和应对模拟攻击的能力，并找出覆盖范围和技能方面的差距。
它有助于避免蓝队和红队之间的摩擦，通过促进一种协作文化，双方都可以从学习中受益，并通过相互挑战来突破彼此技能和能力的界限，提高他们的成熟度。

紫队演习的好处超越了蓝队和红队。从整个组织的角度来看，一些关键的好处包括：

他们可以帮助与包括高级管理人员、业务和 IT 领导者在内的各利益相关者建立关系。
在规划阶段透明地纳入关键利益相关者有助于消除恐惧，并帮助利益相关者了解深入探索风险的好处。对未知的恐惧可能会造成不必要的损害，尤其是当生产系统成为目标时。
这些演习确保关键系统纳入范围，设计出切合实际的场景，最大限度地降低红队活动直接或间接造成的任何风险。

建议

加入红队来提高组织的网络弹性。
使用威胁情报来指导进行红队演习的决策。
首先采用紫色来促进协作和学习。这可以是一个根据参与目标和范围聚集在一起的虚拟团队。

通过复制 TTP 为不断变化的监管环境做好准备

敦促各组织考虑提高其恢复能力，以更深入地了解网络威胁形势，并更好地准备在攻击后迅速恢复并恢复正常状态。

例如，欧盟的《数字运营弹性法案》规定，各实体必须定期进行弹性测试，模拟各种场景，包括网络攻击和其他破坏，以评估系统和实施的策略在多大程度上能够承受并从此类事件中恢复。因此，这将是该组织的红队计划的一个宝贵贡献因素。

选择一个提供相关指导的框架，以制定一致且结构化的方法来执行红队演习，同时也有助于跟踪一段时间内的改进，以提高安全运营团队和流程的成熟度。根据组织所处的垂直行业，有各种框架可供选择，例如TIBER-EU、英国的 CBEST、香港的 iCAST、沙特阿拉伯的 FEER、澳大利亚的 CORIE 框架和新加坡的ASSE 。虽然这些都是为金融机构创建的，但其他行业也可以采用它们。图 2 显示了这些框架在执行红队演习方面的共同方面。

图 2：执行红队演习的框架影响因素