第1章 红队和红队概述

贡献者：Tony Kelly @infosectdk # 翻译者 BugMan

什么是红队？它来自哪里？

那么，蓝队和红队有什么区别？

红队

    然后，他们将对威胁采取行动，以一种本质上反应灵敏的方式，他们正在等待事情发生。红队积极进取，将模拟真正的攻击者，并尝试突破防御  未被发现。它们的作用是突出防御方面的漏洞并提高对

蓝队

    例如，Blue Team可能会使用漏洞扫描和测试来查找和查看补丁管理层，根据相关组织的不同，可能会将漏洞标记为假设漏洞 “嘿，如果我们不打补丁，可能会发生这种不好的事情”，并且不会受到重视。红队然而，他们也会在评估中使用这种方法，但是更进一步，他们将演示如何利用发现的漏洞，并将利用这些漏洞，并提供成功的证据。结合一份详细说明该漏洞，其风险评分可能性以及剥削的证据，这会带来更大的负担，并有助于获取东西

红队有两种使用方式

    首先让我们看看外部红队如何运作外部独立的笔测试团队可以根据不同的能力从事  客户要求，这些要求包括但不限于：

    测试对建筑物的物理访问，包括对员工区域，基础设施的访问。 暖气/公用事业，数据中心

社会工程/模拟 破解 安全控制规避 社会工程学 网络钓鱼攻击 假冒 网络基础设施 防火墙绕过 路由器测试/配置 DNS足迹 代理服务器 漏洞利用 Web应用程序的入侵和利用–物理和云 无线 未经授权的访问点 默认密码 加密协议 应用程序测试–数据库–物理和云 操作系统构建标准 Iot安全 服务器 移动

外部笔测试人员可能在工作中或在完全模拟的攻击中使用“白盒”和“灰盒”， 在黑匣子模式下操作这意味着他们必须利用自己的技能和知识来 在这些情况下，他们以最少的信息作为外部攻击者渗

    将利用上述所有方法以及更多方法来实现其目标。对于合规性练习，他们可能需要遵循参与测试特定内容的范围。  例如，他们可能会尝试提升权限以获取域管理员权限，测试工作站/服务器版本，

    检查[补丁](https://www.peerlyst.com/tags/patching)，密码破解和防火墙规则检查.内部团队可以与蓝色团队坐在一起，并且可以与他们紧密合作，或者 可以在自己的部门（例如审计）中运作，并以独立的名义运营 提供诚实的行为。他们可以以此身份测试现有的防御措施，审核/检查日志，

评估已发布的漏洞并测试和评估其风险和对其威胁 基础设施。内部内部团队将拥有额外的优势，因为他们将知道组织的基础架构已经存在，而独立测试人员可能会也可能不会 取决于参与范围。在某些情况下，也可能会有战争游戏。红色与蓝色。这些可以有不同的形式 取决于练习的范围和所追求的目标。