很多企业以为红队的目标是拿到域控,但真正的价值在于检验蓝队的检测与响应。我们分享一次评估中暴露的典型盲区。
“你们能打进来吗?”——这是红队评估中最常被问到的问题,但它其实问偏了。能否拿到域控,往往只取决于时间和投入。真正决定企业安全水位的,是攻击发生时蓝队能否发现、能多快响应、能否阻断。
在一次面向金融客户的评估中,我们用了不到两天就完成了从外部钓鱼到内网横向的初始链路。但更有价值的发现是:在长达 36 小时的活动中,安全团队仅触发了一条低优先级告警,且未被跟进。这才是报告里真正需要被重视的部分。
因此我们越来越多地采用紫队(Purple Team)协同模式:红队执行攻击的同时,与蓝队实时对照检测覆盖情况,逐条标注“哪些动作产生了日志、哪些触发了告警、哪些完全静默”。
评估结束后交付的不只是一份攻击路径图,更是一张检测盲区清单和一份可落地的能力提升路线。打进去只是手段,让防御真正变强才是目的。
想了解这类风险在你的系统中是否存在?