在本章節(jié)中,作者進(jìn)行了情景假設(shè),,與上一章節(jié)中結(jié)尾部分的情景做了對(duì)比,,以便凸顯CAPTR 安全評(píng)估模型的優(yōu)勢(shì),最后,,作者也客觀的分析了該模型存在的固有缺點(diǎn)以及不可適用的場(chǎng)景,。
接下來,考慮如圖所示情景,,它顯示了簡(jiǎn)化的CAPTR 演練,。
在這種情況下,,CAPTR 開始對(duì)SCADA設(shè)備進(jìn)行評(píng)估。它發(fā)現(xiàn)SCADA設(shè)備上的本地權(quán)限提升漏洞,。它還通過操作系統(tǒng)識(shí)別SCADA控制器的連接信息,。接下來,CAPTR識(shí)別并利用Windows XP SCADA控制器,;但是,,由于Windows 2012網(wǎng)關(guān)沒有遠(yuǎn)程代碼執(zhí)行漏洞的問題,它無法進(jìn)一步向外轉(zhuǎn)移,。然后,,在MS17-010公開可用且APT攻擊者突破它的情況下,也會(huì)發(fā)生相同的情況,。然而,,這一次,APT攻擊者受到挑戰(zhàn),,可能無法訪問SCADA控制器或升級(jí)致命威脅的權(quán)限,,因?yàn)樗麄兊穆┒匆呀?jīng)被修補(bǔ)。這使防御團(tuán)隊(duì)在防止和檢測(cè)APT攻擊者針對(duì)致命受損目標(biāo)及其相關(guān)軸心點(diǎn)所做的努力方面獲得了支持,,即使發(fā)布了新的零日漏洞版本也不會(huì)讓W(xué)indows 2012網(wǎng)關(guān)容易受到攻擊,。
零日漏洞沒有完美的解決方案。0day一旦被公開,,設(shè)備將變得脆弱,。CAPTR 不會(huì)以任何方式保護(hù)整個(gè)組織免受其影響。然而,,它確實(shí)確保首先評(píng)估致命的攻擊和內(nèi)部支點(diǎn),。這為零日漏洞攻擊提供了盡可能多的緩解措施,打開了APT攻擊者可以輕松通過的高度易受攻擊和未評(píng)估的網(wǎng)絡(luò)部分,。圖9-1和圖9-2具體說明了零日漏洞對(duì)紅隊(duì)和 CAPTR 的影響方式,但應(yīng)注意的是,,對(duì)于其他約束條件,,如評(píng)估窗口,也可以這樣說,。例如,,在紅隊(duì)評(píng)估期間,評(píng)估人員可能只會(huì)在計(jì)劃結(jié)束評(píng)估之前深入網(wǎng)關(guān)服務(wù)器,。事實(shí)上,,這一努力很可能被視為一次成功的接觸。在這種情況下,,紅隊(duì)可能沒有對(duì)網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)進(jìn)行深入評(píng)估,。另一方面,,CAPTR 的優(yōu)先范圍和反紅隊(duì)方法提供了對(duì)易受攻擊的SCADA控制器和致命攻擊的評(píng)估,確保其在時(shí)間窗口內(nèi)完成,。
內(nèi)部威脅
在模擬攻擊時(shí),,紅隊(duì)可能會(huì)忽視網(wǎng)絡(luò)泄露和數(shù)據(jù)丟失的最大來源之一:內(nèi)部威脅。這些威脅可能因事故,、蓄意而為的惡意的內(nèi)部人員或獲得內(nèi)部訪問權(quán)的外部攻擊者而表現(xiàn)出來,。
在某些情況下,某些紅隊(duì)評(píng)估可能會(huì)解決意外的內(nèi)部攻擊問題,,例如當(dāng)團(tuán)隊(duì)從模擬網(wǎng)絡(luò)釣魚獲得的肉雞上攻擊網(wǎng)絡(luò)時(shí),。在滲透測(cè)試期間運(yùn)行網(wǎng)絡(luò)釣魚活動(dòng)也是如此,但如果在測(cè)試期間沒有用戶打開惡意電子郵件,,這可能會(huì)限制防御系統(tǒng)的成功測(cè)試,。有意圖的內(nèi)部威脅是一種攻擊點(diǎn),傳統(tǒng)的紅隊(duì)評(píng)估并不總是能涵蓋這種威脅,,因?yàn)樗麄兊娜蝿?wù)通常是模擬攻擊者,,而不是內(nèi)鬼或既定的惡意員工。這意味著,,在滲透測(cè)試報(bào)告中,,可能存在一個(gè)完全未評(píng)估的攻擊面,該攻擊面占所有數(shù)據(jù)泄露源的20%以上,。這些類型的攻擊也是影響組織的一些更具影響力的威脅,。
組織內(nèi)部的攻擊者可能能夠利用某些漏洞來訪問那些被視為關(guān)鍵或致命的受損目標(biāo)。因?yàn)镃APTR評(píng)估從最后一道防線開始,,并從那里向外推進(jìn),,所以即使是內(nèi)部攻擊者與這些目標(biāo)之間的一組有限的防線也將被 CAPTR 評(píng)估涵蓋。內(nèi)部攻擊者可能并不總是典型的內(nèi)部威脅的例子,,例如現(xiàn)任或前任員工,、承包商或在某一點(diǎn)上擁有授權(quán)訪問權(quán)限的其他人員。內(nèi)部威脅可能包括已經(jīng)在組織中建立據(jù)點(diǎn)的APT黑客,。這種關(guān)注非組織成員的內(nèi)部威脅的方法有一個(gè)好處,,即CAPTR評(píng)估通過識(shí)別和減少組織內(nèi)可能的關(guān)鍵點(diǎn),幫助組織防止攻擊者訪問有價(jià)值的目標(biāo),,為黑客創(chuàng)造了更大的挑戰(zhàn),,即使在發(fā)布零日之后也是如此。當(dāng)然,,在某些情況下,,外部攻擊者甚至內(nèi)部心存不滿的員工會(huì)使用合法授權(quán)的帳戶來破壞組織的某些部分。在這些情況下,,CAPTR評(píng)估和緩解措施也會(huì)使惡意攻擊者更難對(duì)組織造成無法彌補(bǔ)的損害,。
效率
在攻擊性安全評(píng)估中,,識(shí)別和利用易受攻擊的設(shè)備是在測(cè)試結(jié)束時(shí)生成可報(bào)告項(xiàng)的原因。這并不意味著測(cè)試期間利用的每一個(gè)設(shè)備都是最重要的,,也不意味著一個(gè)組織會(huì)關(guān)心或費(fèi)心解決針對(duì)所有設(shè)備發(fā)現(xiàn)的問題,。在測(cè)試過程中,可能會(huì)花費(fèi)數(shù)小時(shí)利用設(shè)備上已識(shí)別的漏洞,,但卻發(fā)現(xiàn)該設(shè)備是一臺(tái)已停用的服務(wù)器,,沒有相關(guān)數(shù)據(jù),并且托管在與公司其他設(shè)備沒有連接的云環(huán)境中,。忽略紅隊(duì)行動(dòng)期間的潛在時(shí)間損失,,這不是效率方面的唯一問題。紅隊(duì)試圖找出一個(gè)組織防御系統(tǒng)中的所有漏洞,;聰明的攻擊者試圖找到一個(gè),。這意味著紅隊(duì)花更多的精力尋找比特定漏洞更多的漏洞,這些漏洞可能導(dǎo)致APT黑客深入組織,。這是評(píng)估安全性的正確且必要的方法,,因?yàn)槿魏斡谢ヂ?lián)網(wǎng)存在的組織都面臨著廣泛的惡意活動(dòng)。需要注意的是,,在紅隊(duì)滲透測(cè)試期間可能會(huì)發(fā)現(xiàn)許多漏洞,,其中沒有一個(gè)能夠訪問關(guān)鍵目標(biāo)。因此,,這些測(cè)試不適合評(píng)估APT黑客可能利用的特定攻擊手法,,也不適合傳統(tǒng)黑客、腳本小子和自動(dòng)攻擊使用的攻擊手法,。紅隊(duì)的首要任務(wù)是識(shí)別組織攻擊面中最有可能暴露給攻擊者的漏洞,。網(wǎng)絡(luò)中受攻擊最多的部分是那些可以從外網(wǎng)訪問的部分。由于采用云計(jì)算的速度令人眼花繚亂,,面對(duì)互聯(lián)網(wǎng)的組織層面的攻擊面不斷增加,,這增加了攻擊性的安全挑戰(zhàn)。
這并不是說紅隊(duì)是對(duì)資源的拙劣使用,。紅隊(duì)是保護(hù)組織免受網(wǎng)絡(luò)威脅的一個(gè)組成部分,。如前所述,APT還有改進(jìn)的余地,。使用CAPTR可以提高效率。它是通過檢查一個(gè)組織的方式實(shí)現(xiàn)的,,這樣一個(gè)團(tuán)隊(duì)就可以識(shí)別出一個(gè)APT黑客將用來破壞組織最關(guān)鍵的資產(chǎn)的攻擊向量,。效率問題受到攻擊面的影響。紅隊(duì)必須解釋每一層防御的整個(gè)表面的漏洞,。這迫使紅隊(duì)以代表所有和任何攻擊的方式耗費(fèi)時(shí)間,,而不是將時(shí)間用于發(fā)現(xiàn)APT黑客為實(shí)現(xiàn)數(shù)據(jù)盜竊的最終目標(biāo)而可能實(shí)施的非常具體的攻擊,。CAPTR 不關(guān)注每一層的整個(gè)攻擊面,而只關(guān)注每一層中能夠使攻擊者可以轉(zhuǎn)向能夠?qū)崿F(xiàn)關(guān)鍵或致命攻擊的位置,。
引入的風(fēng)險(xiǎn)
開展進(jìn)攻性安全評(píng)估也存在風(fēng)險(xiǎn),。利用漏洞需要使用潛在的不穩(wěn)定的漏洞,如系統(tǒng)進(jìn)程(如MS08-067)中的緩沖區(qū)溢出或內(nèi)核競(jìng)爭(zhēng)條件(如臟牛),,這可能導(dǎo)致目標(biāo)系統(tǒng)崩潰,。當(dāng)一個(gè)紅隊(duì)接近那些對(duì)可能成為APT黑客目標(biāo)的組織具有關(guān)鍵或致命重要性的目標(biāo)時(shí),風(fēng)險(xiǎn)就會(huì)上升,。當(dāng)需要進(jìn)行攻擊性安全評(píng)估時(shí),,這些就是業(yè)務(wù)成本。在演練過程中,,有一些緩解因素有助于預(yù)防風(fēng)險(xiǎn),,如范圍界定和ROE(演練規(guī)則),這些都是在測(cè)試開始之前確定的,。在追蹤高風(fēng)險(xiǎn)目標(biāo)以模擬APT黑客的攻擊時(shí),,仍然存在演練范圍內(nèi)的目標(biāo)的風(fēng)險(xiǎn)以及遠(yuǎn)程攻擊和權(quán)限提升等攻擊技術(shù)帶來的不可預(yù)見的后果。
CAPTR 評(píng)估流程減少了客戶組織高風(fēng)險(xiǎn)環(huán)境的風(fēng)險(xiǎn),。評(píng)估從被確定為致命風(fēng)險(xiǎn)的目標(biāo)作為開始,,這一事實(shí)意味著在攻擊性評(píng)估期間,遠(yuǎn)程代碼執(zhí)行漏洞崩潰或破壞這些目標(biāo)不會(huì)造成威脅,。傳統(tǒng)的紅隊(duì)需要主動(dòng)掃描工具(如NMAP)來識(shí)別感興趣的目標(biāo),。CAPTR依靠被動(dòng)獲取的致命攻擊目標(biāo)信息來指導(dǎo)評(píng)估關(guān)鍵點(diǎn),并重復(fù)被動(dòng)信息收集和瞄準(zhǔn)過程,。大大減少了對(duì)遠(yuǎn)程掃描工具的依賴和對(duì)致命關(guān)鍵系統(tǒng)的遠(yuǎn)程攻擊,,使得CAPTR能夠針對(duì)APT攻擊者可能攻擊的高風(fēng)險(xiǎn)環(huán)境提供攻擊性安全評(píng)估,同時(shí)盡可能降低這些系統(tǒng)的風(fēng)險(xiǎn),。
缺點(diǎn)
為了盡可能完整地分析CAPTR范式,,重要的是概述新方法不適用的情況。CAPTR模型的缺點(diǎn)也應(yīng)作為安全評(píng)估剖析的一部分予以說明,。成功啟動(dòng)CAPTR的障礙包括方法上的缺點(diǎn),,以及任何新想法在現(xiàn)有團(tuán)隊(duì)面前必須克服的問題。CAPTR流程的設(shè)計(jì)和基礎(chǔ)是感知APT攻擊者最有可能利用的漏洞來破壞致命的受損目標(biāo),。因此,,CAPTR方法在其他類型的威脅及其不同存在點(diǎn)的有效性方面受到限制。由于初始存在點(diǎn)和評(píng)估過程的影響,,CAPTR模型不太可能識(shí)別網(wǎng)絡(luò)中所有面向互聯(lián)網(wǎng)的漏洞,。這也留下了潛在的高危漏洞,可能會(huì)受到不太成熟的攻擊者的攻擊,,如自動(dòng)攻擊和腳本小子,。這些不太成熟的攻擊者可能受到技能和資源的限制,,無法攻擊組織在互聯(lián)網(wǎng)上的存在,并且沒有在網(wǎng)絡(luò)深處收集特定數(shù)據(jù)的傾向,、能力或動(dòng)機(jī),。關(guān)于這一新范式的最大挑戰(zhàn)是在評(píng)估過程的開始部分。這種新的安全評(píng)估方法的獨(dú)特之處在于既需要技術(shù)熟練的安全人員,,也需要熟悉風(fēng)險(xiǎn)管理的人員,。此外,在提取關(guān)鍵和致命的受損目標(biāo)時(shí),,未能準(zhǔn)確地將風(fēng)險(xiǎn)和安全性結(jié)合在一起會(huì)影響整個(gè)測(cè)試的結(jié)果,。安全評(píng)估新流程的引入以及對(duì)CAPTR評(píng)估范圍創(chuàng)建產(chǎn)生的數(shù)據(jù)的依賴為評(píng)估的成功創(chuàng)造了潛在的致命弱點(diǎn)。CAPTR評(píng)估必須從初始存在點(diǎn)開始,,這也帶來了困難和新的障礙,。在非桌面的評(píng)估中,CAPTR流程要求測(cè)試從訪問組織中一些最有價(jià)值的數(shù)據(jù)和設(shè)備開始,。這需要組織和使用CAPTR模型進(jìn)行測(cè)試的人員之間要有大量的信任,,同時(shí)這也引入了責(zé)任。在傳統(tǒng)的安全評(píng)估和測(cè)試協(xié)議中,,獲取組織的皇冠寶石是一個(gè)敏感和困難的主題,。這種風(fēng)險(xiǎn)可能更大,所需的信任也更完整,,這一事實(shí)可能會(huì)影響組織接受此類測(cè)試的意愿以及安全公司提供此類服務(wù)的努力,。此外,由于初始存在點(diǎn)在網(wǎng)絡(luò)中更深,,這意味著在測(cè)試期間需要與IT和安全人員進(jìn)行更多的協(xié)調(diào),。這種增加的壓力可能會(huì)影響組織使用這種方法的成本和收益,并決定是否繼續(xù)進(jìn)行這種類型的評(píng)估,。最后,,如前所述,鑒于對(duì)潛在客戶網(wǎng)絡(luò)中包含的信息和數(shù)據(jù)類型進(jìn)行風(fēng)險(xiǎn)評(píng)估,,這種類型的評(píng)估肯定不適合某些組織,。如果無法確定對(duì)組織構(gòu)成致命或關(guān)鍵受損的數(shù)據(jù)或機(jī)器,則他們不太可能希望接受CAPTR評(píng)估,。此外,,由于關(guān)注APT黑客和內(nèi)部持有的極有價(jià)值的數(shù)據(jù),CAPTR 不是任何組織安全評(píng)估需求的完整解決方案,。
總結(jié)
本章介紹了CAPTR 的概念,。描述了其創(chuàng)建和設(shè)計(jì)的靈感,并將該方法與傳統(tǒng)的紅隊(duì)流程進(jìn)行了比較,以突出CAPTR方法帶來的具體好處,。同時(shí)還指出了CAPTR 評(píng)估的固有缺點(diǎn)。