레드 팀 vs 블루 팀
이번에 공격 팀인 레드 팀, 방어 팀인 블루 팀에 관해 깔끔하게 정리된 인포그래픽이 나왔습니다.
레드 팀을 보자면 정찰을 통해 취약한 버전, 페이로드 전송 가능 구간, 정보 수집 등 수행을 하고, 이를 바탕으로 내부 침투, 권한 상승, 내부 조사 등 진행하여 최종적으로 민감한 데이터나 원격 접속 가능하도록 구성하도록 설정합니다.
깔끔하게 외부 조사(External Reconnaissance) > 공격(Exploitation) > 내부 진입 및 조사(Internal Reconnaissance) > 후속 공격(Post-Exploitation) > 기반 강화(Strengthen foothold) > 유출(Exfiltrate Data) 단계로 구성이 되어 있음을 볼 수 있습니다.
레드 팀으로써 챙겨봐야할 추천 도서로는 RTFM(Red Team Field Manual) 입니다. 공격 명령과 간략한 설명만으로 구성된 매뉴얼로써 영어에 자신 없는 분들도 충분히 이해하며 보실 수 있는 책입니다.
다른 관점으로 중요한 부분은 레드 팀의 활동에 따른 블루 팀의 대응 전략인데, 어떤 부분을 모니터링하고 흔적 조사를 해야하는지 자세하게 잘 나와있습니다. 정보보안은 공격과 방어를 함께 해석할 수 있는 기술적 역량을 가져야하고, 공격자의 관점과 피해자의 관점을 이해할 수 인문학적 역량을 가질 필요가 있습니다.
추천하는 책으로는 Blue Team Handbook 입니다. 침해사고 대응을 하기 위한 다양한 도구와 치트시트를 제공하지만 장문의 내용들로 구성되어 있어 영어에 자신있어야 할 것 같습니다.
CYBRARY에서도 레드 팀과 블루 팀에 대한 정의를 하고 있으며 저와 똑같이 두 책을 추천하고 있습니다. 각 책의 장점과 단점 그리고 점수도 공개를 했는데, 다음과 같습니다.
Red Team Field Manual – 7/10
Pros:
- Excellent reference guide to keep in your pen-testing bag
- Covers a wide range of material
- Includes several tips new penetration testers may not be aware of
- Keeps you from constantly having to research every time you need a refresher
Cons:
- Not the best for beginners
- Jumps right into syntax without much description of individual flags or operators
Blue Team Handbook: Incident Response Guide – 8/10
Pros:
- xcellent reference as well as a learning tool.
- Explains the theories and usage in addition to simple cheat sheets
- Provides examples and analysis of traffic for practice
- Updated very recently to stay modern
- Charts and illustrations to assist with learning / finding material
Cons:
- Some sections may not flow well
- Syntax still unexplained in certain areas
그림 출처 : https://blog.netspi.com/wp-content/uploads/2016/10/NetSPI_Scott_Sutherland_RedvsBlue_v3.2.pdf