背景
Randori公司发表了一篇产品概念宣传科普文,是关于如何组建招聘红队人员的方法论。这些对于红队的见解和认知都非常棒,符合笔者的很多观点。
笔者翻译一下文章的关键内容,强烈推荐给所有的读者!文字内容均属于Randori公司创作。
参考:https://www.randori.com/blog/hiring-a-red-team-heres-what-to-look-for/
前言
在当今大环境下,招聘网络安全人才可能极具挑战性。但是建立一支红队可能更棘手,因为找到合适的人才,可能是区分一个非常成功或能力低下红队的关键。过去的几十年来,我们为商业和政府组织了数十个红队,作为其中的一员或与他们一起工作。
红队要有效工作,需要三个要素:
有才华的人才
正确的群体心态
正确的工具
如果这些要素中的任何一个缺失,您将难以获得安全投入的全部价值,您的员工将难以作为一个团队有效地合作。但是,当他们走到一起时~伟大的事情就会发生。
拥有合适的红队可以帮助您通过模拟真实世界的攻击,并为蓝队提供技术娴熟的对手来提高安全能力。
如果您想组建一支红队~以下是我们关于组建合适团队的一些建议。
心态很重要:您的团队必须像攻击者一样思考
中国古代将军孙子有句名言:
“知彼知己,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必殆。”
作为组织机构内的安全团队,您已经了解自己。任何建立红队的人的目标都应该是为您的团队添加一个敌人~帮助您更好地了解自己和敌人。为了实现任何有效的红队人员的能力,应该与对手的属性有很强的重叠。
如果您面对一个使用0day漏洞的APT威胁,您的红队也需要匹配相应的0day漏洞能力。
如果勒索软件是您最大的恐惧,请确保您团队中聘用的任何人都具备与勒索软件组织相同的技能和经验。
但是,无论您面临何种威胁,优秀的红队队员都有一些共同特征。
面试技巧1:寻找好奇心
优秀的红队队员天生好奇。他们对系统如何工作以及为什么工作感兴趣,并渴望在不被注意的情况下突破界限。
他们的动力不仅来自潜在的回报,还来自解决难题所带来的满足感。
边缘案例和晦涩难懂的问题让他们兴奋不已。优秀的红队队员对学习、探索和坚持解决问题有着永不满足的欲望,因为他们知道的越多,成功的可能性就越大。
雇佣红队时:
奖励那些寻找你问题的人。
观察他们是否提出问题
避免过度使用证书或培训的人
让他们解决问题具体一点~真正好奇的人会更深入解决问题
面试技巧2:创造力测试
伟大的红队队员也很有创意。绝大多数现代网络攻击使用 10、20 甚至30年前存在的工具和技术。但它们并非都以相同的方式使用。
今天的攻击不是开箱即用的~黑客不断地重新组合和改造现有的攻击方法,以绕过防御并提升他们的技术。
例如,使用GoLang语言编写的木马ChaChi是在2020年初开发的,但从那时起它一直在不断发展。2021年,其创建者更改了代码以包含混淆功能,随后将进行更多更新。
随着防御者采用XDR等更先进的安全解决方案,攻击者必须不断跳出条条框框思考,寻找全新的和新颖的攻击方法。
对于恶意攻击者来说,创新可能意味着成功攻击和入狱时间之间的差异。对于您的红队队员来说~这可能是真实评估和千篇一律的渗透测试之间的区别。
雇佣红队时:
给他们一个需要解决的问题或挑战
在他们处理答案的方式中寻找创造力的迹象
向他们询问过去的例子,跳出条条框框思考,让他们感到惊讶
面试技巧 3:过滤砂砾
最后,伟大的红队队员是顽强的。他们不会轻易放弃。每个组织都有漏洞;决心闯入您系统的黑客,找到他们只是时间问题。找到这些漏洞是漏洞扫描程序之类的安全产品的工作。如果您只是在寻找漏洞~不要雇佣红队。
雇佣红队人员使用“证明可能”的艺术~找到真正能够攻击成功的漏洞利用或寻找传统安全工具所疏漏的点。这样做需要耐心和坚持。任何值得雇佣的红队队员都必须表现出与您的敌人一样的毅力和动力。
雇佣红队时:
奖励那些发现问题的人
观察他们是否提出问题
避免过度使用拥有证书或培训的人
让他们发现的问题具体一点~真正好奇的人可以深入问题本身
面试技巧 4:为信任而聘用
归根结底,有一个词可以区分网络犯罪分子和红队~信任。您需要能够信任帮助您的组织机构改进防御的攻击者,无论是内部员工还是第三方团队。
Simon Sinek 解释了在高压力情况下信任的重要性。根据美国海豹突击队的规定,在招聘过程中,您应该始终将信任置于绩效之上。
像网络安全这样的领域也是如此。您需要能够信任您旁边战壕中的人;您还需要知道您的流程已经为成功做好了准备;凭借这些品质,如果红队候选人值得信赖并且可以在战场上行动,他们就不会出现低效率的表现。
总结
寻找和雇用红队人员可能是一项艰巨的工作。
但是一旦您的红队就位,就可以使用一个值得信赖的真实对手来武装扩展您的安全能力。
如有侵权请联系:admin#unsafe.sh