对手仿真
A curated list of awesome adversary simulation resources
对手仿真(Adversary Emulation)是红队对抗的一种类型,是通过引入威胁情报定义的红队动作和行为,来模拟组织机构的已知威胁。
与渗透测试和其他红队攻击类型不同之处在于,对手仿真是预先构造场景,来测试TTP的某个或者某些方面。然后,让红队在遵循场景同时,在目标网络上进行操作,来测试特定防御面的情况。目的是为了提高针对特定对手的对抗能力。比如银行企业,就可以选择针对金融行业攻击的APT组织,进行对手仿真,以提升面对特定对手时,战术、技术和过程.
| 红队攻击类型 | 是否预先定义场景 | 是否针使用特定TTP | 是否针对特定防御面 | CTI是否提前感知 |
|---|---|---|---|---|
| 渗透测试 | 否 | 否 | 否 | 否 |
| 对手仿真 | 是 | 是 | 是 | 是 |
资源
- MITRE's Adversary Emulation Plans
- Awesome Red Teaming - A list of awesome red teaming resources
- Red-Team Infrastructure Wiki - Wiki to collect Red Team infrastructure hardening resources.
- Payload Generation using SharpShooter
- SpecterOps Blog
- Advanced Threat Tactics - A free course on red team operations and adversary simulations.
- Signal the ATT&CK: Part 1 - Modelling APT32 in CALDERA
- Red Teaming/Adversary Simulation Toolkit - A collection of open source and commercial tools that aid in red team operations.
- C2 Matrix (Google Sheets)