「紅隊測試」一書,隨著時間流轉以及新資訊技術應用,例如:AI人工智慧、風險數據分析、結合AI分析網路爬蟲、IoT資安議題、CII…等,更加彰顯企業或是組織紅藍對抗演練的必要性。企業在心態上必須調整,被攻破就積極改正,沒被攻破必須加以維持,深化紅藍對抗的不是競爭而是互助的出發點,才能建立正向企業資安文化。
資安稽核與IT部門關係不應該是緊張或攻防的,應大家齊心降低企業面臨未來內外部威脅。透過多維度的攻擊手法,在災害可控的驗證範疇下,檢驗企業與組織資安防護水平,及早發現資訊安全防護缺陷。
不同企業規模應建立適型性的驗證攻防機制,有些側重在Insider threat,有些側重在Hacker Attack,有些關注在「設備安全」,再逐步擴大到普遍性驗證。大家都會談紅隊驗證與滲透測試,其實兩者還是有所區別的。以系統整合安全建置經驗來貢獻一些看法,以下分析,可能略嫌粗略,但是仍可以提供一種釐清的前置分析。
紅隊驗證v.s.滲透測試
傳統滲透聚焦在特定系統的漏洞風險驗證,就像華山論劍點到為止,確定可重現危害性;紅隊驗證不具針對性,會用常態廣度找到入侵弱點,舉凡內部穿透到外部,外部穿透到內部,甚至內對內穿透。所謂內對內穿透,例如:財務ERP系統可被研發員工以不正當方式穿透存取。紅隊測試為找可利用風險,進而繞過防護體系穿透達到目的,都是紅隊驗證一環,是一種全面性檢驗組織各面向維度的防護能力和回應對策。
換個角度看,紅隊驗證可以從實體安全門鎖破壞到密碼取得,員工安全意識欺騙,社交攻擊,甚至驗證到廠區裝置或供應鏈安全強度,以致資料庫取出,攜出資料…全觀性應用手法來驗證企業組織安全。當然使用exploit 或0Day手法也是常見手段,可見紅隊驗證對IT部門壓力更大。
反觀滲透測試攻擊十分針對性,如:RD SVN伺服器攻擊竊取,或是Web Based系統的web攻擊手段(SQL-Injection,XSS…),所以紅隊測試相對複雜,參與人員較多、範圍較廣,最後需要稽核獨立方進行最後評定。
滲透比較像「兵王」戰技攻擊,目標明確。但組建紅隊並不容易,需企業IT整合環境,涉及IoT、雲端環境、外部供應鏈、製程設備,甚至AI智能,那紅隊驗證強度才將會更好。
結語
引用春秋戰國兩位哲人,來看企業紅隊驗證價值,一是老子,在第64章:「合抱之木,生於毫末;九層之台,起於累土;千里之行,始於足下。」資安防禦建構需要層層疊疊的建立,不是單一設備單一人力可以完成,資安防護高臺,是需要從微觀資安做起,經過逐步的積累,才能達成企業資安防禦之「道」。而另一位是孫武的「孫子兵法」中虛實篇提到:善攻者,敵不知其所守;善守者,敵不知其所攻…透過紅隊全面性驗證,不論內到外,外到內,或是內對內,都可以建立起更強度安全防護機制。