首页红队揭示了超出预期的惊人发现
许多企业在错误的安全假设下运行,直到接受专业的对抗性测试。
在近三十年的进攻性安全评估过程中,我亲眼目睹了组织的信心是如何在现实的威胁角色战术挑战下烟消云散的。红队的参与并不只是简单地评估防御,而是展示技术娴熟的对手在广泛的交战规则下可以实现的全方位访问,其中包括数字、社交和物理攻击载体。我们的行动经常会发现管理层从未想象过的灾难性安全漏洞。
通过全面测试,我的团队获得了令人震惊的访问权限,其中包括
- 制造设备的工业控制系统
- 加密签名基础设施
- 财务和薪酬系统
- 专有知识产权库
- 核心银行平台
- 实体安全监控网络
- 行政通信
- 医疗诊断设备和受保护数据
- 敏感文件库
- 连接到企业 VPN 的辅助住宅
- 完整的活动目录凭证数据库
我们已经在内部部署和云环境之间轻松实现了攻击转换。矛盾的是,规模较大的组织往往更容易成为攻击目标--其广阔的攻击面带来了防御挑战,仅靠安全预算是无法应对的。这反映了进攻和防御之间的根本不对称。这些漏洞并不是假设的情况--它们代表着实实在在的风险,影响着更多的企业,而不是认识到它们的暴露程度。
建立初始访问
入侵源于立足点--提供第一个切入点的攻击载体。我们将其分为四大类:
1.社会工程学策略
虽然有效,但我们认为社交工程是技术含量最低的方法。虽然我们已经看到攻击者成功地
- 冒充高管授权欺诈交易
- 利用人工智能合成的声音来规避身份验证程序 这些方法更多的是利用人性,而不是技术技能。
2.凭证攻击技术
即使在今天,密码喷涂也显示出可怕的有效性。我们经常使用基本的凭据组合成功实施攻击,例如:"Summer2025!
- "Summer2025!(可能由 0.1% 的用户在没有适当控制的情况下选择)
- "Summertime2025!"(对于需要较长口令的组织而言)这些攻击利用获取的用户名来对抗薄弱但允许的密码策略。
3.多因素身份验证绕过
虽然多因素身份验证在安全方面取得了重大进展,但不完善的实施也会造成以下漏洞:
- 通知疲劳利用
- 条件访问规则弱点
- 休眠状态的注册流程 在一次合作中,我们使用从被泄露的电子邮件中发现的一个已有半年历史的注册链接注册了流氓设备。
4.技术漏洞利用
自定义应用程序特别容易受到以下攻击
- 注入攻击(SQL、命令等)
- 目录遍历漏洞
- 逻辑错误导致权限升级
- 反序列化漏洞 遗留的第三方组件在未打补丁时经常会带来远程代码执行风险。
合规性现实差距
传统的安全审计往往提供虚假的信心。红队行动揭示了以下两者之间的明显差异:
- 复选框合规性
- 真正的防御效果
许多客户提交了全面的渗透测试报告,展示了理论上的漏洞--直到我们实现了从未经验证的外部位置开始的实质性入侵。对于建立安全成熟度的组织而言,全面的漏洞评估比有针对性的红队演习更有价值。
利用人工智能提高攻击能力
虽然人类的专业知识在攻击性安全领域仍然不可替代,但人工智能通过以下方式增强了我们的能力:
- 快速漏洞利用原型开发
- 攻击面分析自动化
- 社交工程中令人信服的语音合成
- 高级网络钓鱼内容生成 在漏洞悬赏平台上排名靠前的自主攻击型人工智能的出现标志着一种变革性的转变。
协作缓解威胁
尽管我们在参与过程中扮演着敌对角色,但我们仍然非常尊重防御团队。这种不平衡仍然十分明显--防御者必须保持高度警惕,而攻击者只需一次成功的尝试。我们的报告有意强调
- 观察到的安全优势
- 全面的漏洞链
- 潜在的业务影响 我们的使命是以教育和改进为中心,而不是曝光。
结束语
专业的对抗性评估迫使企业面对令人不安的安全真相。合规认证的背后往往隐藏着
- 脆弱的系统
- 配置错误
- 未认识到的风险
当我们揭示关键漏洞时,我们的目的不是批评,而是在真正的攻击者来袭之前加强防御。在网络安全领域,客观的现实检查是理论安全与操作弹性之间的重要桥梁。
相关文章
英国各政府部门就人工智能数据中心的能源需求问题发生争执
英国政府正面临一项重大挑战:在推动清洁能源发展的同时,力争成为人工智能领域的全球领导者。然而,负责实现这些目标的各部门之间却存在严重分歧。 科学、创新与技术部(DSIT)与能源安全与净零部(DESNZ)对人工智能数据中心的未来电力需求做出了截然不同的预测。DSIT预测,到2030年,人工智能数据中心将需要6吉瓦的电力,而DESNZ的估计则不到这一数字的十分之一。 这一差距引起了非营利组织Foxgl
中国网络空间管理局要求对人工智能生成和虚构的短视频进行标注
中国国家互联网信息办公室出台了一项全面计划,旨在规范短视频内容标注,要求各平台提供六项必备标签——包括“AI生成内容”——这标志着短视频治理进入了一个强制透明化的新时代。为解决内容来源不明、难以区分真伪等问题,监管部门在此前与抖音、快手、腾讯、百度等主要平台开展试点的基础上,现已将内容标注作为短视频发布流程中的强制性环节。 发布者必须从六种选项中选择其一:“虚构演绎”、“AI生成”、“含营销信息”
以文本翻译著称的DeepL,如今将目光投向了语音翻译
以文本翻译工具闻名的翻译公司DeepL今日推出了一套语音到语音翻译解决方案,通过定制应用程序,为一线工作人员在会议、移动端和网页对话以及小组讨论等场景中提供支持。 该公司还推出了一款API,允许外部开发者和企业基于DeepL的技术构建定制化解决方案,例如呼叫中心应用。“在专注于文本翻译多年后,语音翻译对我们来说是水到渠成的下一步,”DeepL首席执行官Jarek Kutylowski在接受Tech
相关专题推荐
写作
顶尖 AI 角色设定生成器:生成一致的角色动机与致命缺陷
探索2026年最优秀的AI人物设定生成工具,助您塑造鲜活立体的角色。XIX.AI精心筛选的这份清单汇集了广受好评、颠覆传统的工具,能够生成具有内在逻辑的动机和致命缺陷。通过实际测试对比免费与付费选项。立即释放您的叙事潜能。
10 个工具
xix.ai
商业
顶级 AI 定价优化软件:追踪竞争对手并自动调整店铺价格
在 XIX.AI 上探索 2026 年最佳 AI 定价优化软件。我们精心挑选的清单汇集了备受好评、具有颠覆性意义的工具,这些工具不仅能追踪竞争对手,还能自动调整您的店铺价格,从而实现利润最大化。通过实际测试对比免费与付费选项。立即掌握您的定价优势。
10 个工具
xix.ai
代码
最佳 AI 代码审查工具:自动确保代码符合规范,并重构遗留代码库文件
在 XIX.AI 上探索 2026 年最佳 AI 代码审查工具。我们的精选列表汇集了备受好评、具有颠覆性的工具,可自动确保代码规范并重构遗留代码库文件。通过实际测试和每周更新的排行榜,对比免费与付费选项。立即开启您的 AI 优势。
10 个工具
xix.ai
文字转语音
专为阅读障碍设计的顶级AI语音合成应用:助力学生提升学习与阅读效率
探索2026年最新精选的高评分AI语音合成(TTS)应用,专为阅读障碍者提供支持。我们的专家评级对比了免费与付费工具,重点介绍了能够提升阅读效率和学习效果的强大功能。探索这些必试的、具有革命性意义的解决方案,释放学生的潜能。立即访问XIX.AI,开启您的探索之旅。
10 个工具
xix.ai
漫画创作
少年漫画顶级AI生成器:打造高能动作场面与特效
在 XIX.AI 探索 2026 年最优秀的少年漫画 AI 生成工具。我们精心筛选的这份高评分清单汇集了强大的工具,助您创作充满张力的动作场面和动态能量特效。通过实际测试对比免费与付费选项。释放您的创作潜能,立即开始创作史诗级漫画吧!
15 个工具
xix.ai
商业
最佳 AI 费用追踪工具:扫描收据并自动分类企业开支
2026年最新最佳AI报销管理工具:广受好评的解决方案,可自动扫描收据并分类企业支出。探索这些功能强大、颠覆传统的解决方案,助您轻松管理报销、精准追踪财务并简化合规流程。我们精心整理并每周更新的免费与付费选项对比指南,助您找到最适合的工具。通过XIX.AI的专家精选,释放您的AI优势。
10 个工具
xix.ai
评论 (1)
0/500
![PaulYoung]()
Les entreprises sous-estiment vraiment leurs vulnérabilités ! Cette analyse montre à quel point les tests intrusifs sont cruciaux. Dommage que tant d'entreprises préfèrent se voiler la face plutôt que d'affronter la réalité 😅 Ça me fait penser à ma boîte qui refuse de mettre à jour ses systèmes...
许多企业在错误的安全假设下运行,直到接受专业的对抗性测试。
在近三十年的进攻性安全评估过程中,我亲眼目睹了组织的信心是如何在现实的威胁角色战术挑战下烟消云散的。红队的参与并不只是简单地评估防御,而是展示技术娴熟的对手在广泛的交战规则下可以实现的全方位访问,其中包括数字、社交和物理攻击载体。我们的行动经常会发现管理层从未想象过的灾难性安全漏洞。
通过全面测试,我的团队获得了令人震惊的访问权限,其中包括
- 制造设备的工业控制系统
- 加密签名基础设施
- 财务和薪酬系统
- 专有知识产权库
- 核心银行平台
- 实体安全监控网络
- 行政通信
- 医疗诊断设备和受保护数据
- 敏感文件库
- 连接到企业 VPN 的辅助住宅
- 完整的活动目录凭证数据库
我们已经在内部部署和云环境之间轻松实现了攻击转换。矛盾的是,规模较大的组织往往更容易成为攻击目标--其广阔的攻击面带来了防御挑战,仅靠安全预算是无法应对的。这反映了进攻和防御之间的根本不对称。这些漏洞并不是假设的情况--它们代表着实实在在的风险,影响着更多的企业,而不是认识到它们的暴露程度。
建立初始访问
入侵源于立足点--提供第一个切入点的攻击载体。我们将其分为四大类:
1.社会工程学策略
虽然有效,但我们认为社交工程是技术含量最低的方法。虽然我们已经看到攻击者成功地
- 冒充高管授权欺诈交易
- 利用人工智能合成的声音来规避身份验证程序 这些方法更多的是利用人性,而不是技术技能。
2.凭证攻击技术
即使在今天,密码喷涂也显示出可怕的有效性。我们经常使用基本的凭据组合成功实施攻击,例如:"Summer2025!
- "Summer2025!(可能由 0.1% 的用户在没有适当控制的情况下选择)
- "Summertime2025!"(对于需要较长口令的组织而言)这些攻击利用获取的用户名来对抗薄弱但允许的密码策略。
3.多因素身份验证绕过
虽然多因素身份验证在安全方面取得了重大进展,但不完善的实施也会造成以下漏洞:
- 通知疲劳利用
- 条件访问规则弱点
- 休眠状态的注册流程 在一次合作中,我们使用从被泄露的电子邮件中发现的一个已有半年历史的注册链接注册了流氓设备。
4.技术漏洞利用
自定义应用程序特别容易受到以下攻击
- 注入攻击(SQL、命令等)
- 目录遍历漏洞
- 逻辑错误导致权限升级
- 反序列化漏洞 遗留的第三方组件在未打补丁时经常会带来远程代码执行风险。
合规性现实差距
传统的安全审计往往提供虚假的信心。红队行动揭示了以下两者之间的明显差异:
- 复选框合规性
- 真正的防御效果
许多客户提交了全面的渗透测试报告,展示了理论上的漏洞--直到我们实现了从未经验证的外部位置开始的实质性入侵。对于建立安全成熟度的组织而言,全面的漏洞评估比有针对性的红队演习更有价值。
利用人工智能提高攻击能力
虽然人类的专业知识在攻击性安全领域仍然不可替代,但人工智能通过以下方式增强了我们的能力:
- 快速漏洞利用原型开发
- 攻击面分析自动化
- 社交工程中令人信服的语音合成
- 高级网络钓鱼内容生成 在漏洞悬赏平台上排名靠前的自主攻击型人工智能的出现标志着一种变革性的转变。
协作缓解威胁
尽管我们在参与过程中扮演着敌对角色,但我们仍然非常尊重防御团队。这种不平衡仍然十分明显--防御者必须保持高度警惕,而攻击者只需一次成功的尝试。我们的报告有意强调
- 观察到的安全优势
- 全面的漏洞链
- 潜在的业务影响 我们的使命是以教育和改进为中心,而不是曝光。
结束语
专业的对抗性评估迫使企业面对令人不安的安全真相。合规认证的背后往往隐藏着
- 脆弱的系统
- 配置错误
- 未认识到的风险
当我们揭示关键漏洞时,我们的目的不是批评,而是在真正的攻击者来袭之前加强防御。在网络安全领域,客观的现实检查是理论安全与操作弹性之间的重要桥梁。
英国各政府部门就人工智能数据中心的能源需求问题发生争执
英国政府正面临一项重大挑战:在推动清洁能源发展的同时,力争成为人工智能领域的全球领导者。然而,负责实现这些目标的各部门之间却存在严重分歧。 科学、创新与技术部(DSIT)与能源安全与净零部(DESNZ)对人工智能数据中心的未来电力需求做出了截然不同的预测。DSIT预测,到2030年,人工智能数据中心将需要6吉瓦的电力,而DESNZ的估计则不到这一数字的十分之一。 这一差距引起了非营利组织Foxgl
中国网络空间管理局要求对人工智能生成和虚构的短视频进行标注
中国国家互联网信息办公室出台了一项全面计划,旨在规范短视频内容标注,要求各平台提供六项必备标签——包括“AI生成内容”——这标志着短视频治理进入了一个强制透明化的新时代。为解决内容来源不明、难以区分真伪等问题,监管部门在此前与抖音、快手、腾讯、百度等主要平台开展试点的基础上,现已将内容标注作为短视频发布流程中的强制性环节。 发布者必须从六种选项中选择其一:“虚构演绎”、“AI生成”、“含营销信息”
以文本翻译著称的DeepL,如今将目光投向了语音翻译
以文本翻译工具闻名的翻译公司DeepL今日推出了一套语音到语音翻译解决方案,通过定制应用程序,为一线工作人员在会议、移动端和网页对话以及小组讨论等场景中提供支持。 该公司还推出了一款API,允许外部开发者和企业基于DeepL的技术构建定制化解决方案,例如呼叫中心应用。“在专注于文本翻译多年后,语音翻译对我们来说是水到渠成的下一步,”DeepL首席执行官Jarek Kutylowski在接受Tech
探索2026年最优秀的AI人物设定生成工具,助您塑造鲜活立体的角色。XIX.AI精心筛选的这份清单汇集了广受好评、颠覆传统的工具,能够生成具有内在逻辑的动机和致命缺陷。通过实际测试对比免费与付费选项。立即释放您的叙事潜能。
10 个工具
xix.ai
在 XIX.AI 上探索 2026 年最佳 AI 定价优化软件。我们精心挑选的清单汇集了备受好评、具有颠覆性意义的工具,这些工具不仅能追踪竞争对手,还能自动调整您的店铺价格,从而实现利润最大化。通过实际测试对比免费与付费选项。立即掌握您的定价优势。
10 个工具
xix.ai
在 XIX.AI 上探索 2026 年最佳 AI 代码审查工具。我们的精选列表汇集了备受好评、具有颠覆性的工具,可自动确保代码规范并重构遗留代码库文件。通过实际测试和每周更新的排行榜,对比免费与付费选项。立即开启您的 AI 优势。
10 个工具
xix.ai
探索2026年最新精选的高评分AI语音合成(TTS)应用,专为阅读障碍者提供支持。我们的专家评级对比了免费与付费工具,重点介绍了能够提升阅读效率和学习效果的强大功能。探索这些必试的、具有革命性意义的解决方案,释放学生的潜能。立即访问XIX.AI,开启您的探索之旅。
10 个工具
xix.ai
在 XIX.AI 探索 2026 年最优秀的少年漫画 AI 生成工具。我们精心筛选的这份高评分清单汇集了强大的工具,助您创作充满张力的动作场面和动态能量特效。通过实际测试对比免费与付费选项。释放您的创作潜能,立即开始创作史诗级漫画吧!
15 个工具
xix.ai
2026年最新最佳AI报销管理工具:广受好评的解决方案,可自动扫描收据并分类企业支出。探索这些功能强大、颠覆传统的解决方案,助您轻松管理报销、精准追踪财务并简化合规流程。我们精心整理并每周更新的免费与付费选项对比指南,助您找到最适合的工具。通过XIX.AI的专家精选,释放您的AI优势。
10 个工具
xix.ai
Les entreprises sous-estiment vraiment leurs vulnérabilités ! Cette analyse montre à quel point les tests intrusifs sont cruciaux. Dommage que tant d'entreprises préfèrent se voiler la face plutôt que d'affronter la réalité 😅 Ça me fait penser à ma boîte qui refuse de mettre à jour ses systèmes...
