当红队揭露不可想象的东西

许多组织认为自己是安全的——直到红队证明了相反的结论。

在我28年的攻击性安全工作中，我亲眼见证了当现实世界的对抗性战术应用于企业防御时，信心如何迅速崩溃。红队行动不仅仅是测试系统；它们推动了从坚定的、复杂的对手的角度来看可达到的访问限制。通常，参与规则更广泛，允许不仅仅是服务器端攻击，还包括社会工程、无线和甚至物理技术。我们经常在行动中发现，灾难性的访问级别是可能的

我的团队和我已经获得了网络立足点并升级了权限，以访问和控制商业高炉、驱动程序代码签名基础设施、工资系统、敏感知识产权、银行主机系统、闭路电视系统、首席财务官的收件箱、MRI/X光机结果、文件共享、CEO的第二套房子等。我们还曾将云资源转移到本地网络，并从本地网络转移到基于云的立足点。有时，目标越大，攻击越容易，无论其信息安全预算的规模如何。这是由于攻击者和防御者之间的自然不对称性。规模越大，暴露的弱点就越多。这些风险不是理论上的；它们是真实的，并且比许多组织意识到的要多得多。

立足点

外部违规行为始于立足点——一个打开更深入的违规行为的大门的初始访问点。在我们的工作中，我们将立足点分为四种主要类型：

1. 社会工程

虽然常见，但我们认为这是最不有成就感的。欺骗用户点击链接或泄露凭证是有效的，但这并不反映出复杂对手的技能。尽管如此，我们已经看到攻击者伪造首席财务官的电子邮件以启动“紧急”电汇，或者使用人工智能生成的语音克隆来绕过帮助台协议。

2. 密码喷洒

这种低调和缓慢的技术仍然是最有效的。通过猜测大量用户列表中的常见密码，攻击者可以避免锁定并经常成功。我们曾使用仅“Summer2025！”的密码就侵入了网络，而这些密码是从公共来源中获取的用户名中获取的。我猜测超过1000个企业用户会选择它，除非有禁止使用某些单词的强制执行，例如“summer”和“2025”和“25”。对于更长的密码策略，我会猜测“Summertime2025！”作为一个例子。

3. MFA 弱点

多因素身份验证是必不可少的，但它并非万无一失。就像所有安全控制一样，彻底的一致部署是关键。我们曾使用疲劳推送、条件访问漏洞和过时的注册链接来绕过MFA。在一个案例中，我们使用六个月前在一个被泄露的收件箱中找到的链接注册了自己的设备。

4. 可利用的漏洞

自定义Web应用程序尤其容易受到攻击。我们曾利用了从SQL注入到路径遍历、对象反序列化漏洞到逻辑缺陷等一切漏洞，逻辑缺陷可以让基本用户在结账时设置自己的价格或升级到管理员访问权限。过时的商业软件组件甚至可能导致未修补的远程代码执行。

现实检查：合规性与暴露

安全审计通常描绘出一幅美好的图景。但红队的行动超出了脚本的范围。红队行动的参与规则通常比标准的渗透测试更广泛——我们模拟具有明确目标的对手。
在许多参与中，客户将拥有来自不同公司的许多过去的渗透测试报告，但几乎没有“渗透”的迹象。这并不罕见，我们通过从基本的未经身份验证的外部渗透测试中获得显著的访问级别来纠正这种看法。感知到的风险和实际风险之间的差距可能非常巨大。质量、覆盖面导向的渗透测试对于安全态势不够成熟的组织来说比目标导向的红队行动更有价值。

人工智能在攻击性安全中的作用

虽然人工智能还没有在红队中取代人类的聪明才智，但它正在加速我们的工作流程。我们使用生成式人工智能来更快地构建概念验证漏洞，分析攻击面，模拟语音在诈骗行动期间，并甚至制作真实的钓鱼活动。公开的漏洞赏金列表中出现的攻击性人工智能代理的崛起是即将到来的东西的标志。

对防御者的同情

尽管我们扮演着攻击者的角色，但我们深深地尊重防御者。这种不对称性是真实的：防御者必须24小时不间断地完美；攻击者只需要一次错误。因此，我们的报告不仅仅突出了漏洞、杀伤链、截图和现实世界的影响；在我们的执行摘要的顶部，我们还列出了我们在测试期间遇到的积极的做法。我们比突出发现更喜欢写这些内容。我们与你们的团队合作，教育和修复，而不是暴露。

结论：不可想象的东西通常就在眼前

红队不仅仅是发现漏洞——它们迫使组织面对令人不舒服的真相。安全的外表往往隐藏着脆弱的系统、配置错误和被忽视的风险。当我们揭露不可想象的东西时，这不是为了批评——而是为了加强。

因为在网络安全中，现实检查不是可选的。它们是唯一站在“纸面上安全”和头版新闻报道之间的东西。