在本章節(jié)中,,作者提出了一種獨(dú)特的安全評(píng)估模型——CAPTR,。這一評(píng)估模型的主要思路就是分層思維,先圈定出組織中最為重要的資產(chǎn)然后從這些資產(chǎn)出發(fā)反向推理到外網(wǎng),,從而找到 APT 攻擊的路徑,。
反紅隊(duì)(CAPTR teaming)是我在就讀博士期間的研究和論文中提出、設(shè)計(jì)和評(píng)價(jià)的一種逆向紅隊(duì)方法,。如前幾章所述,,紅隊(duì)在適當(dāng)?shù)啬7虏⑦m當(dāng)?shù)鼐徑飧呒?jí)持續(xù)威脅方面處于極大的劣勢(shì)。當(dāng)我們談到紅隊(duì)演練時(shí),,模擬 APT 攻擊尤其成為一種特殊的挑戰(zhàn),,即使是最有天賦的進(jìn)攻性安全專(zhuān)業(yè)人員也會(huì)面臨這種挑戰(zhàn)。另外,,即使一個(gè)道德黑客和一個(gè)惡意黑客的技能處于一個(gè)公平的競(jìng)爭(zhēng)環(huán)境中,,現(xiàn)代的攻擊性安全狀態(tài)幾乎在各個(gè)方面都傾向于實(shí)際的攻擊者而不是模擬的攻擊者。為了試圖解決這個(gè)問(wèn)題,,我最終提出了一種進(jìn)攻性的安全評(píng)估方法,,盡管受到APT挑戰(zhàn)的推動(dòng),但與傳統(tǒng)的紅隊(duì)相比,,這種方法在許多方面都是有益的,。
在安全行業(yè)中,紅隊(duì)或滲透測(cè)試被廣泛接受,,甚至在組織的更大的安全機(jī)構(gòu)中被有所期待,。許多人甚至要求進(jìn)行某種形式的攻擊性安全活動(dòng),以驗(yàn)證和核實(shí)其他信息安全技術(shù)和活動(dòng),。紅藍(lán)演練作為整個(gè)信息安全的必要機(jī)制,,也很不幸的產(chǎn)生了副產(chǎn)品,許多人尋求紅隊(duì)或滲透測(cè)試,,并需要對(duì)時(shí)間和資源的影響盡可能??;客戶(hù)組織要求用很少的資源進(jìn)行短時(shí)間的演練,以嘗試滿(mǎn)足任何要求攻擊性安全實(shí)踐的需求,。
我的目標(biāo)是通過(guò)對(duì)典型的紅隊(duì)流程進(jìn)行完善來(lái)解決這些問(wèn)題,。真正聰明的攻擊者不遵守任何規(guī)則,除了那些推動(dòng)他們達(dá)成攻擊目標(biāo)的人,。攻擊者欺騙,、利用漏洞并不惜一切代價(jià)破壞其目標(biāo)。為什么道德黑客不應(yīng)該欺騙正常程序來(lái)緩解APT呢,?顯然,在追求演練范圍時(shí),,我們?nèi)匀槐仨氉裱璕OE,,并且在此過(guò)程中不違反任何法律。然而,,如果我們能夠以一種有利于我們的方式來(lái)欺騙典型的演練過(guò)程,,并且仍然提供攻擊性安全評(píng)估的所有好處,那么欺騙當(dāng)然值得考慮,。如果組織打算在極短的評(píng)估窗口內(nèi)節(jié)省時(shí)間和資源,,我們應(yīng)致力于為他們提供一種評(píng)估方法,以便在這種受限的評(píng)估環(huán)境中進(jìn)行高效和有效的評(píng)估,。這一需求促使我開(kāi)發(fā)了一個(gè)紅隊(duì)流程,,通過(guò)逆向和改變紅隊(duì)活動(dòng),在極度受限的評(píng)估中應(yīng)對(duì)高級(jí)威脅,。在這一章中,,我將闡述 CAPTR,和我的創(chuàng)造這一思路的動(dòng)機(jī)和靈感,,并對(duì)比了它與紅隊(duì)的優(yōu)勢(shì)和一般劣勢(shì),。
反紅隊(duì)(CAPTR)
最初,我的目標(biāo)是為 APT 在特定組織中出現(xiàn)攻擊可能導(dǎo)致的致命受損情況提供保護(hù),。致命的受損情況是指導(dǎo)致人類(lèi)死亡或?qū)е陆M織停止運(yùn)轉(zhuǎn)或無(wú)法按預(yù)期運(yùn)行的攻擊,。我認(rèn)為,保護(hù)這些目標(biāo)不受APT攻擊是一種值得組織自身不斷強(qiáng)化評(píng)估過(guò)程的能力,。致命的受損情況可能是失去對(duì)SCADA設(shè)備的控制,,從而導(dǎo)致裝配線(xiàn)工人的死亡、核電廠(chǎng)熔毀,,或?qū)е卤还艉蟪霈F(xiàn)數(shù)據(jù)丟失或泄露,,從而造成不可估量的影響,以至于組織基本上走向死亡,。在設(shè)計(jì)一個(gè)能夠有效地解決此類(lèi)攻擊以緩解APT威脅的流程時(shí),,我提出了CAPTR(反紅隊(duì))的概念,。我還發(fā)現(xiàn),盡管專(zhuān)門(mén)針對(duì)關(guān)鍵攻擊的緩解進(jìn)行了調(diào)整,,但它在許多其他方面都是有益的,,值得納入總體進(jìn)攻性安全實(shí)踐。事實(shí)上,,CAPTR 本質(zhì)上是以極其高效和有效的方式對(duì)組織的一個(gè)子集進(jìn)行優(yōu)先評(píng)估,,這意味著它有助于應(yīng)對(duì)APT威脅,并有助于為不太可能成為APT目標(biāo)但希望對(duì)目標(biāo)資產(chǎn)進(jìn)行重點(diǎn)評(píng)估的組織成功開(kāi)展工作,。這可能是一個(gè)新的應(yīng)用程序,、數(shù)據(jù)中心、業(yè)務(wù)部門(mén),、收購(gòu)或其他需要快速有效的攻擊性安全評(píng)估的特定范圍,。
攻擊性安全評(píng)估人員應(yīng)盡最大努力超越競(jìng)爭(zhēng)對(duì)手。惡意攻擊者和傳統(tǒng)威脅模擬器都會(huì)花費(fèi)大量時(shí)間和精力攻擊整個(gè)組織,,以搜索有價(jià)值的機(jī)器和數(shù)據(jù),。安全評(píng)估人員應(yīng)利用許多技術(shù)和運(yùn)營(yíng)資源,確定并優(yōu)先評(píng)估這些關(guān)鍵項(xiàng),。攻擊性安全評(píng)估人員應(yīng)該從相對(duì)較高的位置開(kāi)始活動(dòng),,并從高風(fēng)險(xiǎn)項(xiàng)開(kāi)始評(píng)估,而不是在前往這些項(xiàng)目的路上浪費(fèi)時(shí)間,。正是本著這種精神,,CAPTR 將作戰(zhàn)優(yōu)勢(shì)從APT轉(zhuǎn)移到檢測(cè)和預(yù)防上。CAPTR 是一種攻擊性安全評(píng)估模型,,它實(shí)現(xiàn)了三種新的評(píng)估屬性:
1,、最壞情況風(fēng)險(xiǎn)分析,以確定范圍
2,、關(guān)鍵攻擊初始化視角
3,、使用反向跳板鏈進(jìn)行漏洞分析和攻擊
最壞情況風(fēng)險(xiǎn)分析和范圍界定
CAPTR 與組織中的運(yùn)營(yíng)和安全人員合作,以確定評(píng)估的適當(dāng)范圍,。CAPTR 范圍是對(duì)關(guān)鍵項(xiàng)進(jìn)行優(yōu)先排序,,這些關(guān)鍵項(xiàng)在受到攻擊時(shí)會(huì)產(chǎn)生重大影響,而不管這種攻擊的可能性如何,。這種策略允許以高效和有效的方式將評(píng)估資源用于整個(gè)組織的最壞情況子集,。成功識(shí)別高風(fēng)險(xiǎn)項(xiàng)需要目標(biāo)組織職能和安全領(lǐng)域的利益相關(guān)者的共同參與。運(yùn)營(yíng)人員可能知道哪些對(duì)象一旦被攻擊后可能會(huì)給組織帶來(lái)毀滅性的破壞,。但是,,這些安全人員可能不知道網(wǎng)絡(luò)中的設(shè)備和數(shù)據(jù)在多大程度上代表了高風(fēng)險(xiǎn)項(xiàng),這對(duì)于確定盡可能完整的初始范圍來(lái)說(shuō),IT基礎(chǔ)設(shè)施和安全人員的知識(shí)同樣重要,。將CAPTR評(píng)估的初始范圍限制在高風(fēng)險(xiǎn)對(duì)象上,,允許評(píng)估人員將注意力集中在完全由重要資產(chǎn)組成的小型攻擊面上,并防止浪費(fèi)資源用于除最重要的攻擊面以外的任何方面,。在范圍界定階段,,充分識(shí)別優(yōu)先資產(chǎn)可以成功評(píng)估關(guān)鍵的受損項(xiàng),從而通過(guò)緩解最壞情況下的威脅,,改善總體安全態(tài)勢(shì),。
關(guān)鍵初始化視角
初始化視角是攻擊性安全評(píng)估開(kāi)始掃描和枚舉漏洞的起點(diǎn)。常見(jiàn)初始化視角的示例來(lái)自Internet(組織外部)或組織內(nèi)的不同位置,。初始化視角的位置會(huì)影響安全評(píng)估的許多屬性,,例如首先評(píng)估的攻擊面類(lèi)型、模擬的威脅類(lèi)型以及已識(shí)別的漏洞等,。
從基于互聯(lián)網(wǎng)的威脅,、受損的DMZ服務(wù)器,甚至是成功的網(wǎng)絡(luò)釣魚(yú)攻擊內(nèi)部用戶(hù)機(jī)器的初始化角度出發(fā),,對(duì)一系列高風(fēng)險(xiǎn)項(xiàng)進(jìn)行評(píng)估可能會(huì)阻礙評(píng)估的進(jìn)展和成功。為了最有效地解決APT針對(duì)關(guān)鍵項(xiàng)可能利用的漏洞,,必須做出讓步,,使這些威脅已經(jīng)或?qū)⒛軌虼┩附M織的外圍和后續(xù)防御層。確定影響較大的受損對(duì)象并創(chuàng)建范圍后,,CAPTR評(píng)估模型開(kāi)始對(duì)優(yōu)先風(fēng)險(xiǎn)項(xiàng)本身進(jìn)行評(píng)估,。這被稱(chēng)為“利用關(guān)鍵初始化視角”,允許CAPTR評(píng)估對(duì)高風(fēng)險(xiǎn)受損對(duì)象執(zhí)行即時(shí)評(píng)估,,而不是首先花時(shí)間預(yù)先確定它們的路徑,。
反向軸心鏈
反向軸心鏈?zhǔn)且粋€(gè)由兩部分組成的過(guò)程,用于識(shí)別對(duì)最初確定范圍的受損對(duì)象影響最大的發(fā)現(xiàn),。對(duì)每個(gè)范圍內(nèi)的受損項(xiàng)進(jìn)行局部評(píng)估,。然后,利用這些受損對(duì)象作為對(duì)宿主組織進(jìn)行外部評(píng)估的關(guān)鍵初始化視角,。這種外部評(píng)估是以一種非典型的,、有針對(duì)性的、不引人注目的方式進(jìn)行的,,它確定了通信者的分層級(jí)別及其與初始范圍的關(guān)系,。這些關(guān)系最終代表了一個(gè)風(fēng)險(xiǎn)鏈網(wǎng)絡(luò),它從優(yōu)先的高風(fēng)險(xiǎn)項(xiàng)向外傳播,。
反向軸心鏈描述了風(fēng)險(xiǎn)鏈接網(wǎng)絡(luò)中的威脅關(guān)系,,該網(wǎng)絡(luò)將關(guān)鍵受損項(xiàng)置于中心位置。即使無(wú)法遠(yuǎn)程利用第一層或更多外部通信,通信鏈路仍會(huì)被識(shí)別為具有與其潛在風(fēng)險(xiǎn)相關(guān)的適當(dāng)風(fēng)險(xiǎn)等級(jí),,從而使攻擊者能夠訪(fǎng)問(wèn)關(guān)鍵的受損對(duì)象,。這些信息對(duì)于授權(quán)組織緩解和監(jiān)控CAPTR 發(fā)現(xiàn)的威脅至關(guān)重要。這一風(fēng)險(xiǎn)鏈網(wǎng)絡(luò)是進(jìn)攻性和防御性安全團(tuán)隊(duì)之間以評(píng)估結(jié)果為基礎(chǔ)開(kāi)展合作以改善安全態(tài)勢(shì)邁出的獨(dú)特一步,。
對(duì)比
當(dāng)一個(gè)人僅僅依靠傳統(tǒng)的紅隊(duì)評(píng)估來(lái)評(píng)估網(wǎng)絡(luò)安全和減輕APT的影響時(shí),,有幾個(gè)存在缺陷的原因。這些問(wèn)題是不斷演變的威脅形勢(shì)的結(jié)果,。評(píng)估期間暴露的漏洞列表可能在測(cè)試結(jié)束后的幾天內(nèi)過(guò)期,。另一個(gè)原因是,典型的紅隊(duì)活動(dòng)側(cè)重于模擬攻擊者,,而不是內(nèi)部威脅的所有方面,。鑒于傳統(tǒng)紅隊(duì)在這些和其他情況下與CAPTR的潛在優(yōu)勢(shì)形成鮮明對(duì)比的劣勢(shì),應(yīng)在很大程度上鞏固CAPTR方法在已規(guī)定實(shí)踐中的地位,。
零日漏洞
零日攻擊是利用零日漏洞的代碼,。零日漏洞是軟件制造商或安全供應(yīng)商未知的漏洞。在演練過(guò)程中,,紅隊(duì)掃描漏洞,,并試圖利用漏洞訪(fǎng)問(wèn)組織。這里的一個(gè)問(wèn)題是,,這個(gè)過(guò)程可能不會(huì)包含零日漏洞利用,,因?yàn)樗鼈兩形幢慌痘虬l(fā)現(xiàn)??梢员J氐丶僭O(shè),,在紅隊(duì)完成滲透測(cè)試后,有可能在幾天后,,一個(gè)武器化的漏洞作為對(duì)組織的新威脅就出現(xiàn)了,。
還必須有一個(gè)假定的概念,即紅隊(duì)無(wú)法訪(fǎng)問(wèn)的網(wǎng)絡(luò)部分可能存在無(wú)法評(píng)估的高危漏洞,,因?yàn)樵u(píng)估人員在這些設(shè)備與無(wú)法訪(fǎng)問(wèn)的網(wǎng)絡(luò)之間沒(méi)有發(fā)現(xiàn)漏洞,。在這種情況下,如果紅隊(duì)無(wú)法評(píng)估的設(shè)備易受新的零日攻擊,,那么攻擊者可以使用這些高危漏洞產(chǎn)生前所未有的影響,。這通常是紅隊(duì)的公認(rèn)部分,未評(píng)估的部分可能也包含了漏洞,。顯然,,零日漏洞轉(zhuǎn)化為零日漏洞 Exp 的可能性表明防御中存在漏洞,無(wú)法進(jìn)行分析,。CAPTR 方法允許在一定程度上緩解新零日漏洞對(duì)評(píng)估有效性的影響,。考慮圖9-1,這里給出了一個(gè)簡(jiǎn)化的紅隊(duì)演練的例子:
在這個(gè)圖中,,紅隊(duì)攻擊面向互聯(lián)網(wǎng)的web應(yīng)用程序服務(wù)器,,然后在web應(yīng)用程序管理器登錄到服務(wù)器進(jìn)行檢查時(shí),在捕獲憑據(jù)并識(shí)別IP地址后,,從那里轉(zhuǎn)到web應(yīng)用程序管理器的個(gè)人計(jì)算機(jī),。接下來(lái),紅隊(duì)試圖深入網(wǎng)絡(luò),,發(fā)起致命的攻擊,,在本例中,這是一個(gè)控制生物危險(xiǎn)廢物分配的SCADA設(shè)備,。不幸的是,,Windows 2012網(wǎng)關(guān)位于紅隊(duì)的軸心點(diǎn)和致命受損目標(biāo)之間,目前還沒(méi)有已知的遠(yuǎn)程代碼執(zhí)行漏洞,。在本例中,,紅隊(duì)從未列舉SCADA控制器以確定其是否易受常見(jiàn)遠(yuǎn)程代碼執(zhí)行漏洞(如MS08-067)的攻擊。評(píng)估后不久,,互聯(lián)網(wǎng)上披露了MS17-010零日漏洞和漏洞 Exp,,一名APT攻擊者通過(guò)網(wǎng)絡(luò)釣魚(yú)入侵了網(wǎng)絡(luò)中的另一個(gè)用戶(hù),并利用它訪(fǎng)問(wèn)Windows 2012網(wǎng)關(guān)?,F(xiàn)在,,APT攻擊者可以輕松利用易受攻擊的SCADA控制器,并最終利用SCADA設(shè)備本身進(jìn)行攻擊,,因?yàn)樵撛O(shè)備容易受到稱(chēng)為semtex的權(quán)限提升漏洞的攻擊,這使得隱形攻擊者能夠造成巨大的災(zāi)難,。