executing-red-team-engagement-planning

执行红队演练规划

概述

红队演练规划是在任何攻击测试开始之前，确定范围、目标、交战规则（ROE）、威胁模型选择和操作时间表的基础阶段。结构良好的演练计划确保红队模拟真实的对手行为，同时维持防止意外业务中断的安全护栏。

目标

• 明确演练范围，包括在测试范围内和范围外的资产、网络和人员
• 建立交战规则（ROE），包括紧急停止程序、通信渠道和法律边界
• 从 MITRE ATT&CK 框架中选择与组织威胁环境相匹配的适当威胁配置文件
• 创建将对手 TTP 映射到演练目标的详细攻击计划
• 制定与组织 SOC/蓝队的去冲突程序
• 为获得利益相关方批准而制作综合演练简报

核心概念

演练类型

类型	描述	范围
全范围	包含物理、社会和网络向量的完整对手模拟	整个组织
假设已入侵	从初始立足点开始，专注于后渗透	内部网络
基于目标	针对特定关键资产（如域管理员、PII 外泄）	指定目标
紫队（Purple Team）	与蓝队协作改进检测能力	特定控制措施

交战规则组成要素

1. 范围定义：IP 范围、域名、物理位置、人员
2. 限制：不得触碰的系统/网络（如生产数据库、医疗设备）
3. 通信计划：主要和备用联系渠道、升级程序
4. 紧急程序：立即停止的暗语、事件响应协调
5. 法律授权：已签署的授权书、物理测试的"免于被捕"证明
6. 数据处理：测试过程中发现的敏感数据的处理和销毁方式
7. 时间表：开始/结束日期、停止窗口期、报告截止日期

威胁配置文件选择

使用 MITRE ATT&CK Navigator 映射组织威胁，选择相关对手配置文件：

• APT29（Cozy Bear）：针对政府/国防行业，通过鱼叉式钓鱼、供应链攻击
• APT28（Fancy Bear）：针对政府组织，凭据收割、零日漏洞利用
• FIN7：针对金融行业，POS 恶意软件、社会工程学
• Lazarus Group：针对金融机构、加密货币交易所，破坏性恶意软件
• Conti/Royal：勒索软件运营者，双重勒索，RaaS 模式

实施步骤

阶段一：演练前准备

1. 与利益相关方召开初步范围会议
2. 识别关键资产和重要业务资产
3. 审查之前的安全评估和审计发现
4. 定义成功标准和演练目标
5. 起草交战规则文件

阶段二：威胁建模

1. 使用 MITRE ATT&CK 识别相关威胁行为者
2. 将威胁行为者 TTP 映射到组织攻击面
3. 选择主要和次要攻击场景
4. 制定包含特定技术 ID 的对手模拟计划
5. 为紫队机会建立检测检查点

阶段三：操作规划

1. 建立安全通信渠道（加密邮件、Signal 等）
2. 为红队制定操作安全（OPSEC）指南
3. 建立基础设施需求（C2 服务器、重定向器、钓鱼域名）
4. 制定分阶段攻击时间表，设置执行/不执行决策点
5. 与 SOC/IR 团队创建去冲突矩阵

阶段四：文档与批准

1. 汇编演练计划文件
2. 与法律顾问审查
3. 获得高管赞助人签字
4. 向红队操作员简报 ROE 和限制
5. 分发紧急联系卡

工具与资源

• MITRE ATT&CK Navigator：威胁行为者 TTP 映射和可视化
• VECTR：红队演练跟踪和指标平台
• Cobalt Strike / Nighthawk：C2 框架规划和基础设施设计
• PlexTrac：红队报告和演练管理平台
• SCYTHE：用于创建攻击计划的对手模拟平台

验证标准

• 已签署交战规则文件
• 已定义具有明确内/外边界的范围
• 已选择具有映射的 MITRE ATT&CK 技术的威胁配置文件
• 已测试并验证紧急停止程序
• 已向所有利益相关方分发通信计划
• 已获取并存档法律授权
• 红队操作员已简报并确认 ROE

常见陷阱

1. 范围蠕变：执行过程中将测试扩展到批准边界之外
2. 去冲突不足：SOC 将红队活动作为真实事件进行调查
3. 缺少法律授权：未获得适当的书面授权就进行测试
4. 不现实的威胁模型：模拟与组织无关的威胁
5. 沟通不畅：演练期间未能与利益相关方保持联系

相关技能

• performing-open-source-intelligence-gathering
• conducting-adversary-simulation-with-atomic-red-team
• performing-assumed-breach-red-team-exercise
• building-red-team-infrastructure-with-redirectors