醒来,做早餐,让孩子们上学,开车去上班,闯入首席财政官的邮箱,并盗取整个公司的职工税收记载。或许今后,您会从街对面的百吉饼中抢来。

关于“赤色团队”(或进攻性安全研讨人员)而言,这仅仅作业的另一天。

这些进攻性安全团队由娴熟的黑客组成,他们被授权在公司的体系,络以及他们的职工中发现缝隙。通过从内部对公司进行黑客进犯,公司能够更好地了解在哪里需求加强防护,以协助防止真实的未来黑客。可是,黑客操作方针的社会工程学或许会对方针形成严重后果。虽然红队的参加是通过授权的并且是合法的,可是某些进犯和尽力的品德原则或许会被疏忽。

最新发布的研讨着眼于参加进攻性安全活动的品德规范。在品德上可接受的做法是,发送垂钓电子邮件,贿赂接待员或在个人计算机上植入破坏性文档,假如这意味着防止违反常规的行为?

查询成果表明,安全专家,例如赤色团队和事情呼应者,在品德上更容易接受对别人进行某些类型的黑客活动,而不是让这些活动与自己敌对。

这项研讨是本周在华盛顿特区的Shmoocon 2020上初次对500名从事安全和非安全职位作业的人员进行的查询,成果发现非安全专业人员,例如从事法令,人力资源作业的职工,或在接待处,与红队或事情呼应之类的安全专业人员比较,对立将垂钓邮件作为赤色团队参加的一部分的或许性要高出9倍。

期望这些发现有助于在内部浸透测验期间开端评论红队的参加对公司士气的影响,并协助公司协助了解红队的参加规矩的局限性。

“当赤色团队成员被逼面临自己的方针与自己相同的现实时,他们对能够对别人进行安全测验以对别人进行安全测验的情绪在他们面临或许发生在他们身上的现实后就会发生巨大变化,”这项研讨的合著者,新美洲络安全方针研讨员塔拉·惠勒(Tarah Wheeler)说。

该查询询问了进攻性安全测验中的一系列潜在战略,例如络垂钓,贿赂,要挟和假充。受访者被随机分配到两个包含一切相同问题的查询中,其间一个被问及是否能够展开这项活动,而另一个被问及是否对他们发生了问是可接受的。

查询成果显现,假如对络垂钓运用某些战略(例如,络垂钓电子邮件和植入破坏性文档),安全专业人员将最多对立四次。

惠勒说:“人类不善于客观。”

研究称,红色团队可以推动道德极限,但不能强加博易创为于自己

这些发现是在赤色团队越来越多地将其活动列为头条新闻的时分发布的。就在本周,Coalfire的两名进攻性安全研讨人员因闯入爱荷华州法院大楼而被指控落案,这是红队参加的一部分。这些研讨人员受爱荷华州司法部门的使命和授权,以发现其建筑物和计算机络中的缝隙,以进步其安全性。可是,当地警长抓住了这对配偶并对立他们的活动,虽然出示了一封“越狱”信,具体说明晰授权的订亲活动。即便安全社区遍及拘捕了该人,此案也使人们可贵了解安全浸透测验和赤色团队。

查询还发现,国际不同区域的安全专业人员比其别人更厌烦某些活动。例如,中美洲和南美洲的安全专家更多地对立植入破坏性文件,而中东和非洲的安全专家则更多地对立贿赂和要挟。

该研讨的作者说,关键不是说赤色团队应该防止某些进攻性安全实践,而是要意识到他们或许对方针(包含其企业搭档)发生的影响。

Fortalice Solutions的安全工程和运营总监Roy Iversen说:“当您组成一支赤色团队并确认方针时,请考虑对您的搭档和客户的影响。”艾弗森说,查询成果还能够协助公司决议他们是否期望外部赤色团队展开业务,以最大程度地削减公司内部赤色团队与更广泛的职工之间的内部抵触。

研讨人员计划在下一年扩展他们的作业,以进步整体查询数量,并更好地了解其受访者的人口统计特征,以协助完善查询成果。

惠勒说:“这是一个正在进行的项目。”