在本章節(jié)中,作者提出了一種獨(dú)特的安全評估模型——CAPTR。這一評估模型的主要思路就是分層思維,先圈定出組織中最為重要的資產(chǎn)然后從這些資產(chǎn)出發(fā)反向推理到外網(wǎng),從而找到 APT 攻擊的路徑。
反紅隊(duì)(CAPTR teaming)是我在就讀博士期間的研究和論文中提出、設(shè)計(jì)和評價(jià)的一種逆向紅隊(duì)方法。如前幾章所述,紅隊(duì)在適當(dāng)?shù)啬7虏⑦m當(dāng)?shù)鼐徑飧呒壋掷m(xù)威脅方面處于極大的劣勢。當(dāng)我們談到紅隊(duì)演練時(shí),模擬 APT 攻擊尤其成為一種特殊的挑戰(zhàn),即使是最有天賦的進(jìn)攻性安全專業(yè)人員也會面臨這種挑戰(zhàn)。另外,即使一個(gè)道德黑客和一個(gè)惡意黑客的技能處于一個(gè)公平的競爭環(huán)境中,現(xiàn)代的攻擊性安全狀態(tài)幾乎在各個(gè)方面都傾向于實(shí)際的攻擊者而不是模擬的攻擊者。為了試圖解決這個(gè)問題,我最終提出了一種進(jìn)攻性的安全評估方法,盡管受到APT挑戰(zhàn)的推動,但與傳統(tǒng)的紅隊(duì)相比,這種方法在許多方面都是有益的。
在安全行業(yè)中,紅隊(duì)或滲透測試被廣泛接受,甚至在組織的更大的安全機(jī)構(gòu)中被有所期待。許多人甚至要求進(jìn)行某種形式的攻擊性安全活動,以驗(yàn)證和核實(shí)其他信息安全技術(shù)和活動。紅藍(lán)演練作為整個(gè)信息安全的必要機(jī)制,也很不幸的產(chǎn)生了副產(chǎn)品,許多人尋求紅隊(duì)或滲透測試,并需要對時(shí)間和資源的影響盡可能小;客戶組織要求用很少的資源進(jìn)行短時(shí)間的演練,以嘗試滿足任何要求攻擊性安全實(shí)踐的需求。
我的目標(biāo)是通過對典型的紅隊(duì)流程進(jìn)行完善來解決這些問題。真正聰明的攻擊者不遵守任何規(guī)則,除了那些推動他們達(dá)成攻擊目標(biāo)的人。攻擊者欺騙、利用漏洞并不惜一切代價(jià)破壞其目標(biāo)。為什么道德黑客不應(yīng)該欺騙正常程序來緩解APT呢?顯然,在追求演練范圍時(shí),我們?nèi)匀槐仨氉裱璕OE,并且在此過程中不違反任何法律。然而,如果我們能夠以一種有利于我們的方式來欺騙典型的演練過程,并且仍然提供攻擊性安全評估的所有好處,那么欺騙當(dāng)然值得考慮。如果組織打算在極短的評估窗口內(nèi)節(jié)省時(shí)間和資源,我們應(yīng)致力于為他們提供一種評估方法,以便在這種受限的評估環(huán)境中進(jìn)行高效和有效的評估。這一需求促使我開發(fā)了一個(gè)紅隊(duì)流程,通過逆向和改變紅隊(duì)活動,在極度受限的評估中應(yīng)對高級威脅。在這一章中,我將闡述 CAPTR,和我的創(chuàng)造這一思路的動機(jī)和靈感,并對比了它與紅隊(duì)的優(yōu)勢和一般劣勢。
反紅隊(duì)(CAPTR)
最初,我的目標(biāo)是為 APT 在特定組織中出現(xiàn)攻擊可能導(dǎo)致的致命受損情況提供保護(hù)。致命的受損情況是指導(dǎo)致人類死亡或?qū)е陆M織停止運(yùn)轉(zhuǎn)或無法按預(yù)期運(yùn)行的攻擊。我認(rèn)為,保護(hù)這些目標(biāo)不受APT攻擊是一種值得組織自身不斷強(qiáng)化評估過程的能力。致命的受損情況可能是失去對SCADA設(shè)備的控制,從而導(dǎo)致裝配線工人的死亡、核電廠熔毀,或?qū)е卤还艉蟪霈F(xiàn)數(shù)據(jù)丟失或泄露,從而造成不可估量的影響,以至于組織基本上走向死亡。在設(shè)計(jì)一個(gè)能夠有效地解決此類攻擊以緩解APT威脅的流程時(shí),我提出了CAPTR(反紅隊(duì))的概念。我還發(fā)現(xiàn),盡管專門針對關(guān)鍵攻擊的緩解進(jìn)行了調(diào)整,但它在許多其他方面都是有益的,值得納入總體進(jìn)攻性安全實(shí)踐。事實(shí)上,CAPTR 本質(zhì)上是以極其高效和有效的方式對組織的一個(gè)子集進(jìn)行優(yōu)先評估,這意味著它有助于應(yīng)對APT威脅,并有助于為不太可能成為APT目標(biāo)但希望對目標(biāo)資產(chǎn)進(jìn)行重點(diǎn)評估的組織成功開展工作。這可能是一個(gè)新的應(yīng)用程序、數(shù)據(jù)中心、業(yè)務(wù)部門、收購或其他需要快速有效的攻擊性安全評估的特定范圍。
攻擊性安全評估人員應(yīng)盡最大努力超越競爭對手。惡意攻擊者和傳統(tǒng)威脅模擬器都會花費(fèi)大量時(shí)間和精力攻擊整個(gè)組織,以搜索有價(jià)值的機(jī)器和數(shù)據(jù)。安全評估人員應(yīng)利用許多技術(shù)和運(yùn)營資源,確定并優(yōu)先評估這些關(guān)鍵項(xiàng)。攻擊性安全評估人員應(yīng)該從相對較高的位置開始活動,并從高風(fēng)險(xiǎn)項(xiàng)開始評估,而不是在前往這些項(xiàng)目的路上浪費(fèi)時(shí)間。正是本著這種精神,CAPTR 將作戰(zhàn)優(yōu)勢從APT轉(zhuǎn)移到檢測和預(yù)防上。CAPTR 是一種攻擊性安全評估模型,它實(shí)現(xiàn)了三種新的評估屬性:
1、最壞情況風(fēng)險(xiǎn)分析,以確定范圍
2、關(guān)鍵攻擊初始化視角
3、使用反向跳板鏈進(jìn)行漏洞分析和攻擊
最壞情況風(fēng)險(xiǎn)分析和范圍界定
CAPTR 與組織中的運(yùn)營和安全人員合作,以確定評估的適當(dāng)范圍。CAPTR 范圍是對關(guān)鍵項(xiàng)進(jìn)行優(yōu)先排序,這些關(guān)鍵項(xiàng)在受到攻擊時(shí)會產(chǎn)生重大影響,而不管這種攻擊的可能性如何。這種策略允許以高效和有效的方式將評估資源用于整個(gè)組織的最壞情況子集。成功識別高風(fēng)險(xiǎn)項(xiàng)需要目標(biāo)組織職能和安全領(lǐng)域的利益相關(guān)者的共同參與。運(yùn)營人員可能知道哪些對象一旦被攻擊后可能會給組織帶來毀滅性的破壞。但是,這些安全人員可能不知道網(wǎng)絡(luò)中的設(shè)備和數(shù)據(jù)在多大程度上代表了高風(fēng)險(xiǎn)項(xiàng),這對于確定盡可能完整的初始范圍來說,IT基礎(chǔ)設(shè)施和安全人員的知識同樣重要。將CAPTR評估的初始范圍限制在高風(fēng)險(xiǎn)對象上,允許評估人員將注意力集中在完全由重要資產(chǎn)組成的小型攻擊面上,并防止浪費(fèi)資源用于除最重要的攻擊面以外的任何方面。在范圍界定階段,充分識別優(yōu)先資產(chǎn)可以成功評估關(guān)鍵的受損項(xiàng),從而通過緩解最壞情況下的威脅,改善總體安全態(tài)勢。
關(guān)鍵初始化視角
初始化視角是攻擊性安全評估開始掃描和枚舉漏洞的起點(diǎn)。常見初始化視角的示例來自Internet(組織外部)或組織內(nèi)的不同位置。初始化視角的位置會影響安全評估的許多屬性,例如首先評估的攻擊面類型、模擬的威脅類型以及已識別的漏洞等。
從基于互聯(lián)網(wǎng)的威脅、受損的DMZ服務(wù)器,甚至是成功的網(wǎng)絡(luò)釣魚攻擊內(nèi)部用戶機(jī)器的初始化角度出發(fā),對一系列高風(fēng)險(xiǎn)項(xiàng)進(jìn)行評估可能會阻礙評估的進(jìn)展和成功。為了最有效地解決APT針對關(guān)鍵項(xiàng)可能利用的漏洞,必須做出讓步,使這些威脅已經(jīng)或?qū)⒛軌虼┩附M織的外圍和后續(xù)防御層。確定影響較大的受損對象并創(chuàng)建范圍后,CAPTR評估模型開始對優(yōu)先風(fēng)險(xiǎn)項(xiàng)本身進(jìn)行評估。這被稱為“利用關(guān)鍵初始化視角”,允許CAPTR評估對高風(fēng)險(xiǎn)受損對象執(zhí)行即時(shí)評估,而不是首先花時(shí)間預(yù)先確定它們的路徑。
反向軸心鏈
反向軸心鏈?zhǔn)且粋€(gè)由兩部分組成的過程,用于識別對最初確定范圍的受損對象影響最大的發(fā)現(xiàn)。對每個(gè)范圍內(nèi)的受損項(xiàng)進(jìn)行局部評估。然后,利用這些受損對象作為對宿主組織進(jìn)行外部評估的關(guān)鍵初始化視角。這種外部評估是以一種非典型的、有針對性的、不引人注目的方式進(jìn)行的,它確定了通信者的分層級別及其與初始范圍的關(guān)系。這些關(guān)系最終代表了一個(gè)風(fēng)險(xiǎn)鏈網(wǎng)絡(luò),它從優(yōu)先的高風(fēng)險(xiǎn)項(xiàng)向外傳播。
反向軸心鏈描述了風(fēng)險(xiǎn)鏈接網(wǎng)絡(luò)中的威脅關(guān)系,該網(wǎng)絡(luò)將關(guān)鍵受損項(xiàng)置于中心位置。即使無法遠(yuǎn)程利用第一層或更多外部通信,通信鏈路仍會被識別為具有與其潛在風(fēng)險(xiǎn)相關(guān)的適當(dāng)風(fēng)險(xiǎn)等級,從而使攻擊者能夠訪問關(guān)鍵的受損對象。這些信息對于授權(quán)組織緩解和監(jiān)控CAPTR 發(fā)現(xiàn)的威脅至關(guān)重要。這一風(fēng)險(xiǎn)鏈網(wǎng)絡(luò)是進(jìn)攻性和防御性安全團(tuán)隊(duì)之間以評估結(jié)果為基礎(chǔ)開展合作以改善安全態(tài)勢邁出的獨(dú)特一步。
對比
當(dāng)一個(gè)人僅僅依靠傳統(tǒng)的紅隊(duì)評估來評估網(wǎng)絡(luò)安全和減輕APT的影響時(shí),有幾個(gè)存在缺陷的原因。這些問題是不斷演變的威脅形勢的結(jié)果。評估期間暴露的漏洞列表可能在測試結(jié)束后的幾天內(nèi)過期。另一個(gè)原因是,典型的紅隊(duì)活動側(cè)重于模擬攻擊者,而不是內(nèi)部威脅的所有方面。鑒于傳統(tǒng)紅隊(duì)在這些和其他情況下與CAPTR的潛在優(yōu)勢形成鮮明對比的劣勢,應(yīng)在很大程度上鞏固CAPTR方法在已規(guī)定實(shí)踐中的地位。
零日漏洞
零日攻擊是利用零日漏洞的代碼。零日漏洞是軟件制造商或安全供應(yīng)商未知的漏洞。在演練過程中,紅隊(duì)掃描漏洞,并試圖利用漏洞訪問組織。這里的一個(gè)問題是,這個(gè)過程可能不會包含零日漏洞利用,因?yàn)樗鼈兩形幢慌痘虬l(fā)現(xiàn)。可以保守地假設(shè),在紅隊(duì)完成滲透測試后,有可能在幾天后,一個(gè)武器化的漏洞作為對組織的新威脅就出現(xiàn)了。
還必須有一個(gè)假定的概念,即紅隊(duì)無法訪問的網(wǎng)絡(luò)部分可能存在無法評估的高危漏洞,因?yàn)樵u估人員在這些設(shè)備與無法訪問的網(wǎng)絡(luò)之間沒有發(fā)現(xiàn)漏洞。在這種情況下,如果紅隊(duì)無法評估的設(shè)備易受新的零日攻擊,那么攻擊者可以使用這些高危漏洞產(chǎn)生前所未有的影響。這通常是紅隊(duì)的公認(rèn)部分,未評估的部分可能也包含了漏洞。顯然,零日漏洞轉(zhuǎn)化為零日漏洞 Exp 的可能性表明防御中存在漏洞,無法進(jìn)行分析。CAPTR 方法允許在一定程度上緩解新零日漏洞對評估有效性的影響。考慮圖9-1,這里給出了一個(gè)簡化的紅隊(duì)演練的例子:
在這個(gè)圖中,紅隊(duì)攻擊面向互聯(lián)網(wǎng)的web應(yīng)用程序服務(wù)器,然后在web應(yīng)用程序管理器登錄到服務(wù)器進(jìn)行檢查時(shí),在捕獲憑據(jù)并識別IP地址后,從那里轉(zhuǎn)到web應(yīng)用程序管理器的個(gè)人計(jì)算機(jī)。接下來,紅隊(duì)試圖深入網(wǎng)絡(luò),發(fā)起致命的攻擊,在本例中,這是一個(gè)控制生物危險(xiǎn)廢物分配的SCADA設(shè)備。不幸的是,Windows 2012網(wǎng)關(guān)位于紅隊(duì)的軸心點(diǎn)和致命受損目標(biāo)之間,目前還沒有已知的遠(yuǎn)程代碼執(zhí)行漏洞。在本例中,紅隊(duì)從未列舉SCADA控制器以確定其是否易受常見遠(yuǎn)程代碼執(zhí)行漏洞(如MS08-067)的攻擊。評估后不久,互聯(lián)網(wǎng)上披露了MS17-010零日漏洞和漏洞 Exp,一名APT攻擊者通過網(wǎng)絡(luò)釣魚入侵了網(wǎng)絡(luò)中的另一個(gè)用戶,并利用它訪問Windows 2012網(wǎng)關(guān)。現(xiàn)在,APT攻擊者可以輕松利用易受攻擊的SCADA控制器,并最終利用SCADA設(shè)備本身進(jìn)行攻擊,因?yàn)樵撛O(shè)備容易受到稱為semtex的權(quán)限提升漏洞的攻擊,這使得隱形攻擊者能夠造成巨大的災(zāi)難。
