在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全能力體系建設(shè)中,有一個(gè)不可或缺的環(huán)節(jié)就是通過(guò)實(shí)戰(zhàn)化的攻防演練活動(dòng)對(duì)實(shí)際建設(shè)成果進(jìn)行驗(yàn)證。通過(guò)攻防演練能夠檢驗(yàn)網(wǎng)絡(luò)安全體系建設(shè)的科學(xué)性和有效性,發(fā)現(xiàn)工作中存在的問(wèn)題,并針對(duì)演練中發(fā)現(xiàn)的問(wèn)題和不足之處進(jìn)行持續(xù)優(yōu)化,不斷提高安全保障能力。
在實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演練活動(dòng)中,紅隊(duì)是不可或缺的進(jìn)攻性要素,它主要是從攻擊者視角,模擬出未來(lái)可能出現(xiàn)的各種攻擊方式。紅隊(duì)既可以由企業(yè)內(nèi)部的網(wǎng)絡(luò)安全技術(shù)人員組成,也可以邀請(qǐng)外部安全服務(wù)團(tuán)隊(duì)參與。為了更好實(shí)現(xiàn)攻防演練活動(dòng)的目標(biāo)與預(yù)期效果,組織需要不斷對(duì)紅隊(duì)的能力和演練策略進(jìn)行優(yōu)化。
紅隊(duì)測(cè)試 ≠ 滲透測(cè)試
大多數(shù)組織的安全檢查會(huì)從漏洞掃描開(kāi)始,然后進(jìn)入到滲透測(cè)試,也就是從猜測(cè)漏洞可以被利用到證明它是如何被利用的。因此,很多人會(huì)錯(cuò)誤地將“紅隊(duì)測(cè)試”與“滲透測(cè)試”混為一談,但實(shí)際上,它具有不同的目標(biāo)和定位。
滲透測(cè)試主要為了在沒(méi)有明確目標(biāo)的情況下盡可能多地發(fā)現(xiàn)、測(cè)試各種可能的攻擊,以確認(rèn)安全漏洞的危害性如何。滲透測(cè)試通常不涉及初始訪問(wèn)向量,而是要將檢測(cè)到的漏洞信息和危害完整地呈現(xiàn)出來(lái),并主動(dòng)地去緩解它們,以達(dá)到增強(qiáng)并驗(yàn)證組織網(wǎng)絡(luò)彈性的目標(biāo)。
盡管紅隊(duì)在測(cè)試中使用的攻擊技術(shù)和手段方面有很多類似滲透測(cè)試,但是不同于滲透測(cè)試“盡可能多地”發(fā)現(xiàn)漏洞的行動(dòng)目標(biāo),紅隊(duì)測(cè)試的核心訴求是通過(guò)使用完整的黑客攻擊全生命周期技術(shù),從初始訪問(wèn)到數(shù)據(jù)滲漏,再到以類似APT的隱秘方式攻擊組織的人員、流程和技術(shù),執(zhí)行高度有針對(duì)性的攻擊操作,從而進(jìn)一步完善企業(yè)安全能力成熟度模型。
在某種程度上,我們可以將紅隊(duì)理解成合法的APT組織,因?yàn)榧t隊(duì)要模擬出真實(shí)世界中各種攻擊團(tuán)伙。通過(guò)真正的對(duì)抗性模擬行動(dòng),紅隊(duì)攻擊能夠測(cè)試出企業(yè)安全防護(hù)體系的真實(shí)能力如何。
Aquia公司首席信息安全官(CISO)Chris Hughes表示,“從CISO的角度來(lái)看,將紅隊(duì)能力建設(shè)納入企業(yè)整體網(wǎng)絡(luò)安全計(jì)劃的意義和價(jià)值將明顯超過(guò)設(shè)置安全檢查清單和日常安全評(píng)估,它將促進(jìn)復(fù)雜安全能力建設(shè)中的針對(duì)性,并能夠突出真正的漏洞風(fēng)險(xiǎn)優(yōu)先級(jí)。簡(jiǎn)單地滲透測(cè)試已經(jīng)不足以應(yīng)對(duì)當(dāng)今的威脅環(huán)境,企業(yè)必須像攻擊者一樣思考和訓(xùn)練,才有能力在黑客行動(dòng)之前做好準(zhǔn)備。”
提升紅隊(duì)測(cè)試能力的11條建議
鑒于開(kāi)展紅隊(duì)測(cè)試工作的重要性,企業(yè)IT領(lǐng)導(dǎo)者可以遵循下述11項(xiàng)策略來(lái)發(fā)揮紅隊(duì)測(cè)試的最大效益:
01 不要對(duì)紅隊(duì)測(cè)試進(jìn)行過(guò)多限制
真正的黑客在攻擊時(shí)是不會(huì)有范圍限制的,因此,所有敵人可能涉獵的領(lǐng)域,都應(yīng)該涵蓋在紅隊(duì)攻擊的范圍內(nèi),否則組織將無(wú)法全面獲取對(duì)可能風(fēng)險(xiǎn)的真實(shí)認(rèn)知。很多組織擔(dān)心無(wú)限制的攻擊測(cè)試會(huì)造成不可控的后果,其實(shí)這可以通過(guò)完善的預(yù)案來(lái)解決。企業(yè)應(yīng)該盡量減少對(duì)紅隊(duì)的策略和工作范圍進(jìn)行限制,這樣才能發(fā)現(xiàn)最具影響力和破壞性的漏洞,從而獲得實(shí)效驅(qū)動(dòng)的補(bǔ)救措施。
02 讓紅隊(duì)工作保持獨(dú)立性
模擬對(duì)手攻擊手段是紅隊(duì)最重要的工作,他們沒(méi)有過(guò)多精力去了解安全部門正在發(fā)生的其他事情。紅隊(duì)人員應(yīng)該被視為“幕后”操作員,而管理者和領(lǐng)導(dǎo)者則是第一線聯(lián)絡(luò)人。
事實(shí)上,在許多情況下,與安全團(tuán)隊(duì)和組織中的藍(lán)隊(duì)成員建立融洽關(guān)系會(huì)“軟化”他們的工作。實(shí)踐表明,紅隊(duì)越是獨(dú)立于安全團(tuán)隊(duì)工作之外,他們?cè)跍y(cè)試過(guò)程中遇到的阻力就越小。因此,以策略改進(jìn)、安全治理、風(fēng)險(xiǎn)控制(GRC)、部署優(yōu)化以及能力協(xié)同等為核心的安全會(huì)議不應(yīng)該讓紅隊(duì)成員參與和了解。
03 將風(fēng)險(xiǎn)簡(jiǎn)報(bào)與技術(shù)簡(jiǎn)報(bào)分開(kāi)
信息龐綜復(fù)雜的技術(shù)研究并不適用于管理層應(yīng)該了解的范圍。管理者更關(guān)注攻擊描述、隨著時(shí)間推移的安全指標(biāo)、持續(xù)的問(wèn)題發(fā)現(xiàn)以及由此產(chǎn)生的風(fēng)險(xiǎn)緩解措施。技術(shù)團(tuán)隊(duì)則關(guān)心端口、服務(wù)、攻擊方法和目的。讓他們共同參與問(wèn)題討論,看似在節(jié)省時(shí)間實(shí)際上是在浪費(fèi)時(shí)間。紅隊(duì)?wèi)?yīng)該分別提供和交付兩個(gè)版本的分析報(bào)告,會(huì)更加有效:一份給管理人員和業(yè)務(wù)部門;另一份給以修復(fù)和技術(shù)為導(dǎo)向的安全技術(shù)團(tuán)隊(duì)。
04 對(duì)風(fēng)險(xiǎn)評(píng)級(jí)并跟進(jìn)
紅隊(duì)成員可以分配風(fēng)險(xiǎn)評(píng)級(jí)并猜測(cè)事后將如何處理該發(fā)現(xiàn)。如果沒(méi)有深入了解誰(shuí)負(fù)責(zé)這些風(fēng)險(xiǎn)并跟進(jìn)風(fēng)險(xiǎn)負(fù)責(zé)人的補(bǔ)救措施,他們的專業(yè)知識(shí)將止步于此。當(dāng)被問(wèn)及“這一發(fā)現(xiàn)的處理結(jié)果是什么?我們?cè)谀睦镄迯?fù)了這個(gè)問(wèn)題?”,紅隊(duì)通常無(wú)法應(yīng)答。他們只是將風(fēng)險(xiǎn)移交,而沒(méi)有跟進(jìn)這些風(fēng)險(xiǎn)是否得到合理修復(fù)或?qū)彶椤榱藢?shí)現(xiàn)紅隊(duì)效益最大化,跟進(jìn)風(fēng)險(xiǎn)負(fù)責(zé)人的行動(dòng)將是必不可少的步驟。
05 調(diào)查結(jié)果和風(fēng)險(xiǎn)評(píng)級(jí)標(biāo)準(zhǔn)化
CVSS評(píng)級(jí)有助于了解在野利用漏洞的難度和可能性,但它們通常缺乏組織背景,因此很多評(píng)級(jí)的劃分是主觀的,需要加入盡可能多的客觀性。
企業(yè)在進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)時(shí),既要考慮“固有風(fēng)險(xiǎn)”也要考慮“潛在風(fēng)險(xiǎn)”。固有風(fēng)險(xiǎn)是管理層沒(méi)有采取任何措施來(lái)改變風(fēng)險(xiǎn)的可能性或影響的情況下,一個(gè)企業(yè)所面臨的風(fēng)險(xiǎn)。在評(píng)估固有風(fēng)險(xiǎn)后,接著就需要評(píng)估控制措施的有效性。影響控制措施有效性的因素有兩個(gè):一個(gè)是控制措施設(shè)計(jì)有效性,另一個(gè)是控制措施執(zhí)行有效性。
固有風(fēng)險(xiǎn)是天然存在的風(fēng)險(xiǎn),經(jīng)過(guò)人為實(shí)施的控制措施后,固有風(fēng)險(xiǎn)會(huì)得到控制,沒(méi)有被控制的部分,就是剩余風(fēng)險(xiǎn),可以形象地理解為:“潛在風(fēng)險(xiǎn)=固有風(fēng)險(xiǎn)-有效控制措施。”這能夠比CVSS評(píng)級(jí)提供更具價(jià)值的情報(bào)。
06 優(yōu)化測(cè)試節(jié)奏
紅隊(duì)隊(duì)員不是滲透測(cè)試員。紅隊(duì)的測(cè)試節(jié)奏也與滲透測(cè)試團(tuán)隊(duì)完全不同。滲透測(cè)試員有一套標(biāo)準(zhǔn)的漏洞和錯(cuò)誤配置測(cè)試范圍,以嘗試“盡可能多地”找到其中的缺陷,讓防御者有機(jī)會(huì)盡可能地保護(hù)組織系統(tǒng)。滲透測(cè)試團(tuán)隊(duì)還會(huì)尋求主動(dòng)發(fā)出警報(bào),并能夠報(bào)告EDR和SIEM解決方案獲得的積極發(fā)現(xiàn)。
相比之下,紅隊(duì)不會(huì)只執(zhí)行實(shí)現(xiàn)目標(biāo)所需的行動(dòng),而是要以秘密方式運(yùn)作,并且需要更多時(shí)間來(lái)研究、準(zhǔn)備和測(cè)試真實(shí)代表APT行為的殺傷鏈。因此,隨著測(cè)試范圍擴(kuò)大,紅隊(duì)行動(dòng)的節(jié)奏和生命周期會(huì)越來(lái)越慢。在確定紅隊(duì)今年的目標(biāo)和關(guān)鍵成果(OKR)時(shí),請(qǐng)記住這一點(diǎn)。更不用說(shuō),許多發(fā)現(xiàn)通常來(lái)自紅隊(duì)操作,且并非所有發(fā)現(xiàn)都具有相關(guān)的戰(zhàn)術(shù)、技術(shù)和程序(TTP)或直接緩解策略。補(bǔ)救團(tuán)隊(duì)需要時(shí)間來(lái)處理調(diào)查結(jié)果并盡可能地減輕影響。同時(shí),這也是為了避免藍(lán)隊(duì)(blue team)陷入疲勞,他們實(shí)際上可能會(huì)要求紅隊(duì)取消或推遲四分之一的額外操作,具體取決于藍(lán)隊(duì)落后的程度。
07 跟蹤所有指標(biāo)
并非所有證明進(jìn)攻性計(jì)劃成功的指標(biāo)都來(lái)自紅隊(duì)。用于跟蹤測(cè)試成功和補(bǔ)救活動(dòng)的紅隊(duì)指標(biāo)包括平均停留時(shí)間:他們能夠在環(huán)境中堅(jiān)持多長(zhǎng)時(shí)間進(jìn)行發(fā)現(xiàn)和調(diào)整而不觸發(fā)警報(bào)。
其他因素將來(lái)自網(wǎng)絡(luò)威脅情報(bào)(CTI)和風(fēng)險(xiǎn)團(tuán)隊(duì),形式為降低發(fā)現(xiàn)的剩余風(fēng)險(xiǎn)評(píng)分、提高對(duì)模擬威脅參與者的彈性認(rèn)知,以及在野發(fā)現(xiàn)攻擊成功的可能性。CTI團(tuán)隊(duì)將能夠通過(guò)明確了解哪些策略可以進(jìn)行防御來(lái)鎖定相關(guān)威脅參與者。
08 明確紅隊(duì)角色和職責(zé)
優(yōu)化的紅隊(duì)運(yùn)營(yíng)來(lái)自一個(gè)可持續(xù)的反饋循環(huán),涉及CTI、紅隊(duì)、檢測(cè)工程師和風(fēng)險(xiǎn)分析師,所有這些都在協(xié)同為組織環(huán)境減少攻擊面。這些角色在每個(gè)組織結(jié)構(gòu)圖中看起來(lái)都不一樣,但無(wú)論如何,最好要將職責(zé)明確并分開(kāi)。
許多組織的安全團(tuán)隊(duì)會(huì)很小,而且會(huì)有同一人身兼多職的情況,但至少需要有一名全職員工致力于這些職能中的每一項(xiàng)工作,以顯著提高運(yùn)營(yíng)質(zhì)量。在這一點(diǎn)上,安全團(tuán)隊(duì)需要被分離在首席運(yùn)營(yíng)官(COO)、首席風(fēng)險(xiǎn)官(CRO)或首席信息安全官(CISO)之下,而漏洞管理、補(bǔ)救管理和IT運(yùn)營(yíng)則應(yīng)該由首席信息官(CIO)或首席技術(shù)官(CTO)負(fù)責(zé)。這種角色和職責(zé)劃分有助于減少摩擦。
09 設(shè)定可實(shí)現(xiàn)的工作預(yù)期
當(dāng)紅隊(duì)制定測(cè)試計(jì)劃時(shí),需要根據(jù)具體的目標(biāo)來(lái)計(jì)劃希望采取的方法。管理層的主要擔(dān)憂是生產(chǎn)力損失或拒絕服務(wù)(DoS),但紅隊(duì)并不會(huì)列出他們計(jì)劃使用的每一個(gè)步驟和方法。
事實(shí)上,在漏洞利用開(kāi)發(fā)過(guò)程中,為了調(diào)試有效負(fù)載并確保順利執(zhí)行TTP(技術(shù)、工具和程序),紅隊(duì)必須根據(jù)實(shí)際情況調(diào)整具體方法。在演練活動(dòng)開(kāi)始之前、期間和之后對(duì)紅隊(duì)計(jì)劃設(shè)置現(xiàn)實(shí)的期望,將減少挫敗感以及業(yè)務(wù)部門對(duì)紅隊(duì)的抵觸情緒。
10 合理使用離網(wǎng)(off-network)攻擊設(shè)備
攻擊基礎(chǔ)設(shè)施是紅隊(duì)測(cè)試的組成部門。這包括了域、重定向器、SMTP服務(wù)器、有效載荷托管服務(wù)器以及命令和控制(C2)服務(wù)器。就管理層而言,為他們提供與企業(yè)EDR、AV和SIEM代理隔離的設(shè)備,將使他們能夠測(cè)試網(wǎng)絡(luò)釣魚(yú)活動(dòng)、登錄頁(yè)面和有效負(fù)載,并解決發(fā)現(xiàn)的問(wèn)題,以免在漏洞檢測(cè)期間浪費(fèi)寶貴的操作時(shí)間。
紅隊(duì)不會(huì)在這些設(shè)備上存儲(chǔ)敏感的公司數(shù)據(jù),他們會(huì)在安全的云環(huán)境中存儲(chǔ)在操作中獲得和泄露的信息。因此,這些設(shè)備實(shí)際上是作為回調(diào)的終端,其命令也應(yīng)該記錄在遠(yuǎn)程服務(wù)器中。這不僅對(duì)紅隊(duì)操作來(lái)說(shuō)非常有利,也能最終節(jié)省公司時(shí)間和資源。
11 嚴(yán)格按照測(cè)試計(jì)劃開(kāi)展工作
在實(shí)際工作中,我們經(jīng)常會(huì)發(fā)現(xiàn),隨著紅隊(duì)測(cè)試工作推進(jìn),就會(huì)出現(xiàn)更多可利用的資源,以及更多可攻擊的目標(biāo),這時(shí)候就需要嚴(yán)格按照測(cè)試計(jì)劃來(lái)推進(jìn)預(yù)定工作。操作期間的范圍擴(kuò)展意味著他們不再遵循初始操作計(jì)劃,并遵守CTI驅(qū)動(dòng)的行為限制。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
