火眼主动出击 推出渗透测试服务

xman

要保护企业免受网络威胁，最好的防御有时就是进攻。如今，一向以事件响应和检测技术闻名的火眼公司也上线了一项名为“红队行动”(Red Team Operation)的服务，开始进军这一领域。

2014年，火眼收购 Mandiant，在原本的安全技术组合之外又获得了事件响应能力。火眼拥有深厚的漏洞事件调查经验，特别是通过处理近年来一些最知名的漏洞，火眼已经洞悉了攻击者的方法和策略。火眼推出“红方行动”，利用了公司在处理世界上一些最严重的安全泄露事件中获取的经验，帮助机构了解当前真实的安全风险。

火眼公司副总裁、 Red Team Operations 部门主任马肖·海尔曼（Marshall Heilman）对媒体表示：“在我们说到渗透测试时，我们实际上在讨论攻破应用。”

海尔曼称，内部人员威胁评估、移动和系统风险测试是渗透测试的典型组成部分，当然也是这项新服务的重要内容。此外，Red Team 服务比传统测试更为深入，它从攻击者的角度出发，试图用各种可能的手段破坏机构。火眼 Red Team 将会首先和消费者一起商谈，确定五种最糟糕的情景。

我们对企业最担心的问题建立模型，采取各种方法来达到这些目标。

相比之下，在典型的渗透测试中，机构会参与到渗透测试的过程中，为其增添约束。这导致某些系统仅在特定的时间和条件下才会成为目标。海尔曼表示，常规渗透测试有其优点，但 Red Team 采取的方法更接近真实世界的情况：攻击者没有受到限制，可以采取任意方向进行攻击。

渗透测试服务市场竞争日益激烈。Rapid7 公司是该市场的领军者，也是广为使用的 Metasploit 渗透测试框架的主要商业赞助者。海尔曼称，火眼与这个行业的所有参与者一样，在 Red Team 渗透测试中使用 Metasploit 框架。他还表示，公司也使用 Cobalt Strike 应用，获取对手仿真和威胁模拟能力。

在商用和开源工具之外，火眼 Red Team Operations 也使用了定制工具，包括后门和恶意软件。火眼目前已经开源了一项自家开发的工具 Egress Assess ，它可以模拟攻击流量。

Red Team 服务只是刚刚公布，但火眼和一些客户进行的接洽已经得到了有趣的结果。

海尔曼说：“Red Team 从来没有在完成目标方面失手。你对这句话的第一感觉可能是机构都没有配备优秀的安全措施，但实际上并非如此。”

大多数机构都以防守的心态来看待安全问题：它们关注那些需要保护的东西。举例而言，如果有数据库，他们就会部署防火墙。

数据库配备了防火墙，但这不会赶走攻击者。相反，他们会寻找能够通过防火墙认证的人，改变过滤规则。海尔曼认为，目前的挑战在于，大多数机构都不去了解攻击的整个生命周期。

海尔曼提到的另一个例子是：攻击者看待安全的视角不同，对双因素认证产生了影响。双因素认证不仅仅用一条密码来保护账户，而是为安全性提供额外的一层。双因素认证通常被推荐为实现安全的最佳措施，但海尔曼强调，火眼公司 Red Team 有可能绕过它。

“你部署了双因素认证，但最顶尖的攻击者仍旧可以绕过。”

这也说明，双因素认证仍旧是大多数组织和 IT 用户应当部署的措施。没有双因素认证，攻击者可以更容易地进行未授权访问。绕过双因素认证并不容易，而且容易制造很多“噪音”，有可能让企业意识到受到攻击。

火眼公司 Red Team Oeprtaions 服务包括一项评估服务：在全力进行攻击的时候，他们也会让机构的事件响应人员运用火眼的安全行动服务进行防御，帮助机构找到、检测 Red Team 的攻击。

如果企业能抓到我们，也就可以抓到大多数攻击者。