红队进攻的解剖

这是2点．在一处主要的工业设施里，离后院大约20码的地方，两个穿着全套迷彩服的人影正沿着植物围栏外的林木线悄悄溜过去。他们背着双肩包，带着各种各样的装备，偶尔会停下来，用夜视单目镜扫视植物周边。

突然，一辆植物保护巡逻车从一栋大楼的拐角处驶过，车头灯正照着他们俩的方向。两人很快就掉了下去，倒在了前一晚雨水留下的泥浆和积水里。警卫车经过了，他们俩没有被发现。

几分钟后，这两个人影到达了一个地方，那里有树和高高的草提供了一些掩护;他们拿出一台笔记本电脑，装上天线，对准工厂园区。他们在该地区还停留了两个小时，部署他们的设备扫描从工厂发出的无线电频率，同时观察警卫巡逻时间表，寻找栅栏上的洞或其他周边的突破点。凌晨4点左右，这对搭档结束了监视，偷偷溜走了。

仅仅几天后，这两个人——一个四人秘密小组的成员——在夜间监视中收集到的情报，连同其他白天和夜间侦察访问的信息，将被投入使用。光天化日之下，小组将利用他们学到的知识派一名队员穿过外围围栏的薄弱点进入工厂园区。

一旦进入，这个伪装成承包商的人，将厚颜无耻地直接走进核电站的控制室，在那里他将自己的笔记本电脑插入核电站的控制网络。与此同时，另一名队员将试图通过工厂前门的警卫。与此同时，小组的另外两名成员将潜入附近的工厂办公楼。这些秘密活动都不会被工厂保安发现，尽管第二个冒名顶替者会被可疑的前门警卫拦住。

秘密行动

这些人可能是坏人，想要伤害别人。然而值得庆幸的是，他们只是伪装成坏人——工厂老板雇佣的工业“红队”的成员。该团队的任务是:在不造成任何伤害的前提下，使用任何必要手段，秘密进入核电站的关键控制系统。

“红队测试基本上是全力尝试访问客户的系统，无论是完全通过从远程位置的网络，还是通过在他们的一个联网的站点上获得物理访问，”Jonathan Pollet解释说，他是红队四名成员之一，也是PlantData技术公司的创始人，该公司是一家总部位于休斯顿的工业安全咨询公司，去年被马萨诸塞州曼斯菲尔德的Verano公司收购。Verano最近更改了公司名称，现在被称为工业捍卫者公司。

该公司专注于关键基础设施行业的实时控制和SCADA环境的网络安全(用于监督控制和数据采集)。客户包括石油和天然气，化工，电力，水和运输公司。Pollet担任工业专业服务副总裁防守者，并继续朝前者前进
PlantData咨询业务，现在被称为工业卫士咨询服务公司。在过去的6年里，该组织为客户进行了60多次控制系统网络安全评估。这些测试包括从标准的网络脆弱性评估到更广泛的网络渗透测试和红队全力攻击。

在大多数情况下，只有工厂的高级人员知道红队测试的委托。信息技术(IT)和安全人员不知情。工业防御红队(Industrial Defender Red Team)成员、安全顾问克林特•博登根(Clint Bodungen)表示:“我们携带来自(客户)公司高层的信件，上面有24小时24小时的电话号码，这样，即使我们被抓，当晚也不会进监狱。”

红队测试有时主要是基于网络的。“如果我们能穿透互联网，进入企业网络，找到我们正在寻找的特定工厂网络，那么几乎所有的一切都是网络的，”红队的另一名成员泰·博德尔(Ty Bodell)说。但他补充说，这种情况很罕见;在大多数情况下，一个隐蔽的物理进入工厂
是必需的。

物理入口的一个主要目标是将无线接入设备连接到工厂网络。一旦完成这项工作，研究小组就可以从工厂外部无线接入工厂网络——例如，停在附近街道上或工厂停车场上——这就占用了探测网络所需的所有时间。

当然，这个想法一个隐蔽的系统渗透尝试——即使是友好的网络安全承包商——经常使过程控制公司感到紧张。许多首次使用该测试的客户担心该测试可能会对他们的系统造成不利影响。工业捍卫者团队试图通过指出其许多员工的控制系统专业知识来减轻这些担忧，波利特说，他自己曾经是雪佛龙美国公司的自动化工程师。“我们确实有一些与客户签署的约定规则，这使我们的过程非常安全。”

为了让读者更好地了解一群有决心、有动机的黑客、网络恐怖分子或其他犯罪分子可能试图进入他们公司的关键控制系统的方式，自动化的世界采访了波利特和其他红队成员。我们请他们从头到尾描述一个红队测试，并让我们了解一些用来破解公司安全防御的技巧和技术。以下是我们了解到的情况。

他们是谁?

当客户报名参加Red Team测试时，团队通常只得到客户公司的名称。因此，团队的第一个任务是尽可能地发现关于客户的一切信息。在网络方面，这始于使用公开的互联网资源进行研究，鲍德尔说，他通常与红队第四名成员帕特里克·特纳(Patrick Turner)合作，负责团队的大部分网络活动。

“我们将研究客户拥有的域名类型和IP(互联网协议)地址范围，”Bodell说。“通常，我们将谷歌公司相关职位人员的电子邮件地址，如IT和过程控制组。”这些信息将被随后的物理渗透团队传递到“社会工程”活动中使用，当他们试图通过谈话进入工厂时，他们可能会从“点名”中受益。博德尔观察到，公司新闻稿、邮件列表和互联网论坛等在线信息来源通常是有用的。

作为他们研究的一部分，Bodell和Turner通常还使用谷歌Earth软件获取目标工厂的卫星图片，作为确定物理监视和最终偷偷进入的最佳位置的辅助。

此外，在侦察阶段，两人开始对在目标公司或工厂发现的计算机端口进行基于互联网的扫描，以获得有关系统和服务的信息，并评估漏洞。采用Turner所说的“慢而低”的方法，他们一次只扫描几个端口，以避免被目标公司的IT安全小组发现。

监测

在进行网络发现工作的同时，该小组还对目标工厂进行了夜间和白天的物理监视。Bodell经常与Bodungen合作进行这项活动;故事开头的段落描述了这对搭档的一次夜间侦察任务。

Bodungen说，该团队通常能够在前往目标工厂的四次行程中收集到所需的信息——夜间两次，白天两次。在夜间视察期间，该小组通常会在工厂周边巡视，寻找进入工厂的潜在路径，并扫描可能从工厂泄漏的工厂内无线频率，以及工厂警卫使用的频率。

博登根说:“我们还在寻找那些光线充足或交通繁忙、有很多电线连接的关键建筑，或者后面可能有很多风扇，表明是数据中心。”“我们将把这些信息传递给渗透小组，因为他们可能是网络访问地点，这是我们的目标。”

在夜间探访时，这对夫妇通常都尽量不被发现。但白天的监视技术涉及博登根所说的“隐藏在眼皮底下”。例如，“我们可以在工厂附近开一辆普通的白色卡车，在我们周围放上橙色的锥，就像我们在做测量工作一样，”Bodungen说。通常情况下，博德尔和博登根也会花时间坐在工厂停车场的一辆车里，“就像我们应该在那里一样，”他补充道。这对搭档经常更换地点，每次回来都使用不同的车辆。

在白天的监视中，两人拍摄了大量照片，包括员工和承包商徽章的特写，作为日后制作他们自己的假徽章的辅助。“当人们在停车场经过我们的车时，我们会毫不显眼地拍下照片，”博登根说。他们还特别注意承包商制服的颜色和其他细节。“通常情况下，员工彼此认识。承包商进进出出，所以我们通常可以以承包商的身份更容易地溜进溜出工厂，”Bodungen解释道。

当进入工厂的时候，团队根据收集到的情报评估其选择。在大多数情况下，白天进入的风险较小。博登根说:“通常在晚上，人们知道我们不应该出现在那里，所以如果他们看到我们，我们就会被抓住。”“但在白天，他们是否看到我们并不重要，只要我们看起来合适就行。”

该团队通常会在不同的地方，由不同的团队成员同时尝试两个入口，每个人都携带无线接入点，并在内部植入。这增加了成功的机会。博德尔解释说:“如果我们中有人被抓住，警卫就会警觉起来，我们就没有第二次机会了。”“所以我们要同时出击。”

Pollet通常会尝试其中一项，通常伪装成承包商。Pollet说:“有时候，我们会拿着一张(伪造的)工作单通过前门，告诉人们我们应该在那里。”但在片头描述的情况下，团队决定让波莱从工厂后部的一个区域进入，那里的监控显示有一个容易通过外围进入的入口。我们将在这里进一步了解这个故事:

渗透

戴着安全帽和安全眼镜，戴着假的承包商徽章和制服，波莱特背着一个行李袋，里面装着无线接入点、集线器、开关、笔记本电脑和各种连接计算机到工厂网络的设备。一旦进入植物环境，他可以自由走动，向其他人点头，其他人通常也会微笑并点头。他猜测:“今天是周五，所以大多数人心里都有一件事——周末外出。”

为了寻找控制室，他试了几扇看起来像是建筑物的门。“如果他们是开着的，我就直接走进去，”Pollet说。他最终找到了宝藏;当他进入一幢大楼时，他看到两个人站在门外，那里显然是一个控制室，里面有SCADA终端和其他设备。他走到两人跟前，开始闲聊:“伙计，我真高兴今天是星期五……”

他们聊了几分钟后，波利特慢步走进控制室，直接走到一个插孔前，开始给他的笔记本电脑插上电源。几分钟后，两个人进了房间，把椅子拉起来，继续说话。他们没有问波莱在做什么。“当我和他们交谈时，我基本上是在扫描他们的网络，”Pollet说。“我让各种程序在后台运行，带回他们的电脑名称、IP地址、操作系统和他们正在运行的应用程序的种类。”

当他独自一人的时候，Pollet会拍下控制室设备的照片，也会拍下自己坐在控制站的照片，用于给客户的总结报告中。他还把他的无线接入设备，藏在SCADA控制台柜内的一束电线中。

哦哦

与此同时，同样打扮成承包商的Bodungen正试图从工厂前门进入Pollet。他有一张伪造的工作单。但他遇到了麻烦。前门保安在名单上找不到承包商的名字。博登根越是试图让警卫相信他是合法的，警卫就越怀疑他。

在这一点上，Bodungen开始了他的退出计划;他给鲍德尔和特纳打了个电话，他们在另一个地方。博登根假装在手机上通话，然后告诉警卫他被错误地放在了错误的工作地点。他说，很快就会有人来接他。这立即放松了警惕。“他的怀疑消失了，因为现在他有理由让我去那里了，”博登根说。“所以我想我可以利用这个机会进行更多的近距离侦察。”

在“等车”的时候，Bodungen和警卫聊天，现在警卫已经很舒服了，好几次把Bodungen单独留在警卫棚里。“我本可以抓一把徽章，因为它们就挂在那里，或者我本可以从后门溜进工厂，”博登根说。他确实没有。但他在那里待的时间足够长，足以遵守警卫实施的严格的退出程序;博登根打电话给波莱，建议他不要尝试从前门离开——这是最初的计划——而是从他进来的那条路出去，从后门出去。

与此同时，博德尔和特纳正在尝试一种不同的渗透方法。在监视期间，小组已经确定了一座不在植物围栏边界内的办公楼，但有电缆从它连接到植物环境。
他们怀疑这座建筑可能在核电站网络中。他们穿着办公室便装，从前门进入，经过一个无人值守的安检台，无视签到表，不受挑战地进入大楼。“我们把笔记本电脑拿出来，天线伸出来，环顾四周，就像在做无线信号调查，”博德尔说。“但我们从来不需要用自己的故事，因为没人跟我们说话。”

两人找到了一间打印机室，在那里连接并隐藏了一个无线接入点，然后迅速离开了大楼。回到停在附近停车场的车里，他们成功地连接到接入点，发现自己进入了工厂网络。他们打电话给仍在工厂控制室的Pollet，让他取回接入点并离开。Bodell解释说:“因为我们在外面有一个接入点，所以我们不需要冒险在之后进入工厂取回一个接入点。”

博德尔和特纳开车到工厂前门，接博登根，然后在指定地点接波莱特离开工厂，然后团队就回家了。

从现在开始，体力活就完成了，红队的其余攻击就是网络渗透测试。在接入点到位后，团队成员可以自由返回，将车停在附近的街道或工厂停车场，并花时间探测网络。“我们通常选择周末深夜，或者周五下午5点，这样车就还在那里，我们不会显得可疑，”博德尔说。

“在这一点上，由于我们可以访问生产工厂网络，我们的下一步必须非常谨慎，因为我们不想关闭工厂，”博德尔说。在探测网络时，团队可能会抓取屏幕截图或证据数据，以证明他们曾在那里。根据客户合同的约定规则，团队可能会在获得网络管理员访问权限后停止测试，例如，当它达到了被认为是“城市的钥匙”时，如Bodell所说。

总结

在契约结束时，工业卫士的红队顾问提供一份完整的报告，其中包括叙述、照片和屏幕截图，详细描述了发现的漏洞和缓解建议。

Bodell说，经常遇到的网络漏洞包括尚未在供应商批准的补丁列表上的未安装的控制系统软件补丁，以及涉及未安全的遗留网络硬件的弱点。该团队通常强调“分层”安全防御的重要性。在物理方面，修复通常包括明显的项目，如修复围栏上的洞和正确定位运动传感器。该团队还经常建议加强对工厂警卫、控制人员和其他员工的用户意识培训和测试。

总的来说，Industrial Defender的顾问一共执行了5次完整的红队测试，每一次都在没有被发现的情况下实现了他们的目标。根据他们迄今所看到的情况，该团队认为，大多数工业工厂都可以从传统上分开的网络安全和实体安全人员之间更好的协调中受益。

“重要的是，公司要明白，即使他们有强大的网络控制，他们的物理安全，或
缺乏这些，也会给他们的过程控制网络提供一个巨大的攻击载体，”Bodungen建议。

如需更多信息，请搜索关键词"网络安全”和“物理安全“在www.myenum.com．