红队是模拟对手攻击系统。仅使用某些计算机就无法(或至少很难)执行许多操作,而红队通常不得不到现场闯入(合法)。到目前为止,我所看到的是人们成功地没有被抓住。但是,我还没有看到有人谈论到被捕后该怎么办。可能只是出于怀疑,甚至被安全人员(可能是武装人员)追赶。
如果在订婚期间遇到红队成员,他/她应该怎么做?
说“我是安全测试员。抓到了我,所以我就走了。”
像罪犯一样逃走了,他们的数据被窃取了(听起来很有趣但很危险),更像是真正的犯罪分子。
联系雇主举报并得到“只是继续”通行证
安静地进行一些可能的审讯(我认为这是最安全的)
更新:我在这里提出了另一个问题,该问题涉及第三方在这个问题中进行了讨论。
#1 楼
始终随身携带!这是Red Teaming的黄金法则!如果您没有随身攻击的权限,那就像没有驾驶执照的情况下驾驶一样。也就是说,如果您在订婚期间被抓到,我建议您采取以下措施:
呈现伪造的攻击许可。这样,您可以看到犯罪分子是否可以欺骗安全防护人员,让他们使用伪造的“攻击许可”来做他们的事情。
呈现真实的攻击许可。如果保安人员没有购买您的假单,那么现在该交出真实的单据了。如果守卫相信您,该是该起身离开外围的时候了。真正的攻击者此时已被阻止。如果警卫不相信您,请请他们与他们的主管交谈。如果他们坚持不相信您并报警,那就去吧。您不是罪犯,所以不用担心。
遵循警察的命令。他们将带您一起去派出所,在那里您可以向警察解释您是红队参与的一部分,并且您有权进入公司。他们将仔细检查,并呼叫列出您的“允许攻击”的人。在幸福的情况下,他们会接电话,并解释说您真的受聘于此,您可以自由出行。
在不太幸福的情况下,他们不会接电话起床,因为是凌晨四点,他们的手机没有电池。如果发生这种情况,您可能会在派出所过夜。更糟的事情发生了。早上致电您的雇主,他们会为您联系客户公司的联系人。
其他选项呢?
说“我”一位安全研究员。您抓到了我,所以我就走了。“
不会很有帮助。在保安人员看来,您是罪犯,被卷入犯罪中间。您将无法选择“只走”。
像罪犯一样逃跑。
一个非常糟糕的主意。可能是您能做的最坏的情况。如果警卫(可能会)报警,那么费用可能会增加很多,客户也不会高兴地知道他们现在也必须为不必要的人为追捕而向警察付款。但是,如果在被抓到之后要脱离外围,这绝对是一件微不足道的事,那么您绝对应该在报告中包括。
与雇主联系以获得“只要继续通过”即可。
这会错过红队参与的意义。一旦具有“仅继续”过程,就不会模拟真正的攻击者将如何行动。只要得到他们的许可,您就可以浏览公司的内容。
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
19年11月16日在14:29
#2 楼
有一个反面:如果发现身体上的五分之一怎么办。当我在银行工作时,我偶然发现标志性的metasploit cli欢迎横幅在一个立方体农场中间的桌面上闪烁了一秒钟。物理渗透测试员是银行生活中不可或缺的一部分,接触的规则事先很明确。如果有人注意到了一个月期,则双方都有规则和程序。这样可以确保所有人的安全。
因为想像这种情况:如果metasploit正在运行,那么攻击者将运行一个预制的脚本,而这可能是银行的“游戏结束”。如果您看到横幅,则可能已经为时已晚。这意味着该人的手指需要从键盘上移开,并且网络线拔/ wifi尽快关闭。就像,立即。这意味着粗暴的身体互动。不等待安全性到达。这是一个安全问题。
事实证明,在这种情况下,五分之一的债务人因为这样暴露自己而陷入混乱,而订婚本来会提前结束,但按照协议,订婚在确定范围,每个人都很安全。测试不是关于能够进入,而是模拟恶意内部人员。
评论
@ MechMK1或至少使您的身体介于设备和其他人之间。
– schroeder♦
19年11月11日14:56
@ MechMK1可能根本没有力量,因为该公司只能授权自己可以进行的活动-例如该公司可以授权一个pentester访问其服务器;该公司可以委派一个pentester尽可能多的权限来对第三方云系统和从第三方租用的建筑物进行安全测试(这可能会有一些限制),并且它不能授权pentester对员工使用武力或入侵他们的家用计算机或Gmail帐户,因为该公司本身无权这样做。
– Peteris
19年11月11日在20:17
在大多数公司中,@ schroeder标准程序不会期望(甚至不允许)办公室员工对可疑入侵者进行人身攻击,即使他们意味着攻击者将完成某些活动或逃脱,他们也只会要求安全。我的意思是,银行出纳员通常处于严格的命令之下,不能抵制声称拥有武装的抢劫犯,因为抢劫损失被认为低于遭受高额伤害的风险。从责任者的角度来看,如果员工在某人的屏幕上看到自己认为是元骨的东西,则进行粗烈的身体互动,这是非常危险的。
– Peteris
19年11月11日在20:21
@schroeder可以肯定的是,我的观点可能是,如果我是批准政策的人事经理,那么我将不相信未经培训的随机办公室员工不会越过攻击与不攻击之间的界限,而发生某些物理纠纷的责任风险“根据违反公司政策”,因为某些误解(可能与渗透测试无关),对于任何签署该政策的人来说,很容易成为限制职业发展的举动,因此默认的CYA措施是禁止这样做。
– Peteris
19年11月11日在20:54
你们中的有些人一定非常喜欢您的雇主。我没有工作过的办公室,我认为将我的身体物理地放置在假定的攻击者和目标之间是值得的。如果他们雇用我担任保安员,那么我会做保安。如果他们聘请我为程序员,我会称其为安全性,*时期*。
–GrandOpener
19年11月12日在19:08
评论
您应该有证明您的行为得到授权的证据。这应该在参与范围中定义...
我只是一个在真实的Pentesting中没有实际经验的学生,也没有看到实际参与的例子,所以我不知道有关此范围的内容
Tinkersec喜欢讲一些与此有关的好故事。这是一个还有其他,但我会让读者自己去研究。
值得一提的是最近发生的Coalfire安全事件,该事件使笔测试人员面临轻罪。 asset.documentcloud.org/documents/6540700/…因此,请确保招聘的人员首先解决管辖权问题。