当红队揭露难以想象的东西

许多组织认为自己是安全的——直到红队证明了相反的观点。

在我28年的攻击性安全工作中，我亲眼见证了当现实世界的对抗性战术应用于企业防御时，信心如何迅速崩溃。红队行动不仅仅是测试系统；它们从一个坚定的、复杂的对手的角度推动了可达到的访问权限的极限。通常，参与规则更广泛，允许不仅仅是服务器端攻击，还包括社会工程、无线和甚至物理技术。我们在行动中经常发现，灾难性的访问级别是可能的

我的团队和我已经获得了网络立足点，并升级了特权以访问甚至控制商业高炉、驱动程序代码签名基础设施、工资单系统、敏感的知识产权、银行主机系统、闭路电视系统、首席财务官的收件箱、MRI/X光机结果、文件共享的个人健康信息、可数的有趣文件、首席执行官的第二套房子，这些房子通过VPN连接到企业网络，以及许多Active Directory森林的完整哈希转储。

我们已经将云资源转移到现场网络，并且已经从现场网络转移到基于云的立足点。有时，目标越大，越容易，无论信息安全预算的规模如何。这是由于攻击者和防御者之间的自然不对称性。规模越大，意外暴露的弱点就越多。这些不是理论风险。它们是真实的，更多的组织容易受到这种程度的损害。

立足点

外部违规行为从一个立足点开始——一个最初的访问点，它打开了更深入的损害的大门。在我们的工作中，我们将立足点分为四种主要类型：

1. 社会工程

虽然很常见，但我们认为这是最不令人满意的。欺骗用户点击链接或泄露凭据是有效的，但这并不反映出复杂对手的技能。尽管如此，我们已经看到攻击者模拟CFO电子邮件来启动“紧急”电汇或使用AI生成的语音克隆来绕过帮助台协议。

2. 密码喷洒

这种低调和缓慢的技术仍然是最有效的。通过猜测常见密码在大量用户列表中，攻击者避免锁定并经常成功。我们使用“Summer2025！”对数千个从公共来源抓取的用户名进行了网络入侵。我猜测超过1/1000的企业用户会选择它，除非实施禁止使用某些单词的强制执行，例如“summer”和“2025”和“25”。对于更长的密码策略，我猜测“Summertime2025！”是一个例子。

3. MFA弱点

多因素身份验证是必不可少的，但不是万无一失的。与所有安全控制一样，彻底的一致部署是关键。我们通过推送疲劳、条件访问漏洞和过时的注册链接绕过了MFA。在一个案例中，我们使用六个月前的链接注册了自己的设备，该链接在一个被泄露的收件箱中发现。

4. 可利用的漏洞

自定义Web应用程序尤其容易受到攻击。我们已经利用了从SQL注入到路径遍历、对象反序列化漏洞到逻辑缺陷，这些缺陷允许基本用户在结账时设置自己的价格或升级到管理员访问权限。过时的商业软件组件甚至可能导致远程代码执行，如果不修补的话。

现实检查：合规性与暴露

安全审计通常描绘出一幅美好的景象。但红队在脚本之外运作。红队行动的参与规则通常比标准的渗透测试更广泛——我们模拟具有精确目标的对手。

在许多参与中，客户将拥有来自不同公司的许多过去的渗透测试报告，但几乎没有“渗透”的证明。我们纠正了这种看法，通过基本的外部未经身份验证的渗透测试实现了显著的访问级别。感知到的和实际的风险之间的差距可能是巨大的。质量、覆盖面、渗透测试对于安全态势不够成熟的组织来说比基于目标的红队行动更有价值。

人工智能在攻击性安全中的作用

虽然人工智能尚未在红队中取代人类的聪明才智，但它正在加速我们的工作流程。我们使用生成式人工智能来更快地构建概念验证漏洞，分析攻击面，在语音钓鱼行动中模拟语音，甚至制作真实的钓鱼活动。代理攻击性人工智能在公共漏洞赏金名单中获得最高排名是即将到来的标志。

对防御者的同情

尽管我们扮演着攻击者的角色，但我们深深地尊重防御者。这种不对称性是真实的：防御者必须24/7完美无缺；攻击者只需要一次错误。因此，我们的报告不仅仅突出了漏洞、杀伤链、屏幕截图和现实世界的影响；在我们的执行摘要的顶部，我们遇到了在测试期间遇到的积极的做法。我们喜欢写这些比发现更好。我们是您的团队，目的是为了教育和修复，而不是揭露。

结论：难以想象的东西通常就在眼前

红队不仅仅是发现缺陷——它们迫使组织面对令人不舒服的真相。安全的外表往往隐藏着脆弱的系统、错误的配置和被忽视的风险。当我们揭露难以想象的东西时，这不是为了批评——这是为了加强。

因为在网络安全中，现实检查不是可选的。它们是唯一站在“纸面上安全”和头版新闻报道的泄露事件之间的东西。