在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全能力體系建設(shè)中,,有一個不可或缺的環(huán)節(jié)就是通過實(shí)戰(zhàn)化的攻防演練活動對實(shí)際建設(shè)成果進(jìn)行驗(yàn)證,。通過攻防演練能夠檢驗(yàn)網(wǎng)絡(luò)安全體系建設(shè)的科學(xué)性和有效性,,發(fā)現(xiàn)工作中存在的問題,并針對演練中發(fā)現(xiàn)的問題和不足之處進(jìn)行持續(xù)優(yōu)化,,不斷提高安全保障能力,。
在實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演練活動中,紅隊(duì)是不可或缺的進(jìn)攻性要素,,它主要是從攻擊者視角,,模擬出未來可能出現(xiàn)的各種攻擊方式。紅隊(duì)既可以由企業(yè)內(nèi)部的網(wǎng)絡(luò)安全技術(shù)人員組成,,也可以邀請外部安全服務(wù)團(tuán)隊(duì)參與,。為了更好實(shí)現(xiàn)攻防演練活動的目標(biāo)與預(yù)期效果,,組織需要不斷對紅隊(duì)的能力和演練策略進(jìn)行優(yōu)化。
紅隊(duì)測試 ≠ 滲透測試
大多數(shù)組織的安全檢查會從漏洞掃描開始,,然后進(jìn)入到滲透測試,,也就是從猜測漏洞可以被利用到證明它是如何被利用的。因此,,很多人會錯誤地將“紅隊(duì)測試”與“滲透測試”混為一談,,但實(shí)際上,它具有不同的目標(biāo)和定位,。
滲透測試主要為了在沒有明確目標(biāo)的情況下盡可能多地發(fā)現(xiàn),、測試各種可能的攻擊,以確認(rèn)安全漏洞的危害性如何,。滲透測試通常不涉及初始訪問向量,而是要將檢測到的漏洞信息和危害完整地呈現(xiàn)出來,,并主動地去緩解它們,,以達(dá)到增強(qiáng)并驗(yàn)證組織網(wǎng)絡(luò)彈性的目標(biāo)。
盡管紅隊(duì)在測試中使用的攻擊技術(shù)和手段方面有很多類似滲透測試,,但是不同于滲透測試“盡可能多地”發(fā)現(xiàn)漏洞的行動目標(biāo),,紅隊(duì)測試的核心訴求是通過使用完整的黑客攻擊全生命周期技術(shù),從初始訪問到數(shù)據(jù)滲漏,,再到以類似APT的隱秘方式攻擊組織的人員,、流程和技術(shù),執(zhí)行高度有針對性的攻擊操作,,從而進(jìn)一步完善企業(yè)安全能力成熟度模型,。
在某種程度上,我們可以將紅隊(duì)理解成合法的APT組織,,因?yàn)榧t隊(duì)要模擬出真實(shí)世界中各種攻擊團(tuán)伙,。通過真正的對抗性模擬行動,紅隊(duì)攻擊能夠測試出企業(yè)安全防護(hù)體系的真實(shí)能力如何,。
Aquia公司首席信息安全官(CISO)Chris Hughes表示,,“從CISO的角度來看,將紅隊(duì)能力建設(shè)納入企業(yè)整體網(wǎng)絡(luò)安全計劃的意義和價值將明顯超過設(shè)置安全檢查清單和日常安全評估,,它將促進(jìn)復(fù)雜安全能力建設(shè)中的針對性,,并能夠突出真正的漏洞風(fēng)險優(yōu)先級。簡單地滲透測試已經(jīng)不足以應(yīng)對當(dāng)今的威脅環(huán)境,,企業(yè)必須像攻擊者一樣思考和訓(xùn)練,,才有能力在黑客行動之前做好準(zhǔn)備?!?/p>
提升紅隊(duì)測試能力的11條建議
鑒于開展紅隊(duì)測試工作的重要性,,企業(yè)IT領(lǐng)導(dǎo)者可以遵循下述11項(xiàng)策略來發(fā)揮紅隊(duì)測試的最大效益:
01 不要對紅隊(duì)測試進(jìn)行過多限制
真正的黑客在攻擊時是不會有范圍限制的,因此,所有敵人可能涉獵的領(lǐng)域,,都應(yīng)該涵蓋在紅隊(duì)攻擊的范圍內(nèi),,否則組織將無法全面獲取對可能風(fēng)險的真實(shí)認(rèn)知。很多組織擔(dān)心無限制的攻擊測試會造成不可控的后果,,其實(shí)這可以通過完善的預(yù)案來解決,。企業(yè)應(yīng)該盡量減少對紅隊(duì)的策略和工作范圍進(jìn)行限制,這樣才能發(fā)現(xiàn)最具影響力和破壞性的漏洞,,從而獲得實(shí)效驅(qū)動的補(bǔ)救措施,。
02 讓紅隊(duì)工作保持獨(dú)立性
模擬對手攻擊手段是紅隊(duì)最重要的工作,他們沒有過多精力去了解安全部門正在發(fā)生的其他事情,。紅隊(duì)人員應(yīng)該被視為“幕后”操作員,,而管理者和領(lǐng)導(dǎo)者則是第一線聯(lián)絡(luò)人。
事實(shí)上,,在許多情況下,,與安全團(tuán)隊(duì)和組織中的藍(lán)隊(duì)成員建立融洽關(guān)系會“軟化”他們的工作。實(shí)踐表明,,紅隊(duì)越是獨(dú)立于安全團(tuán)隊(duì)工作之外,,他們在測試過程中遇到的阻力就越小。因此,,以策略改進(jìn),、安全治理、風(fēng)險控制(GRC),、部署優(yōu)化以及能力協(xié)同等為核心的安全會議不應(yīng)該讓紅隊(duì)成員參與和了解,。
03 將風(fēng)險簡報與技術(shù)簡報分開
信息龐綜復(fù)雜的技術(shù)研究并不適用于管理層應(yīng)該了解的范圍。管理者更關(guān)注攻擊描述,、隨著時間推移的安全指標(biāo),、持續(xù)的問題發(fā)現(xiàn)以及由此產(chǎn)生的風(fēng)險緩解措施。技術(shù)團(tuán)隊(duì)則關(guān)心端口,、服務(wù),、攻擊方法和目的。讓他們共同參與問題討論,,看似在節(jié)省時間實(shí)際上是在浪費(fèi)時間,。紅隊(duì)?wèi)?yīng)該分別提供和交付兩個版本的分析報告,會更加有效:一份給管理人員和業(yè)務(wù)部門,;另一份給以修復(fù)和技術(shù)為導(dǎo)向的安全技術(shù)團(tuán)隊(duì),。
04 對風(fēng)險評級并跟進(jìn)
紅隊(duì)成員可以分配風(fēng)險評級并猜測事后將如何處理該發(fā)現(xiàn)。如果沒有深入了解誰負(fù)責(zé)這些風(fēng)險并跟進(jìn)風(fēng)險負(fù)責(zé)人的補(bǔ)救措施,,他們的專業(yè)知識將止步于此,。當(dāng)被問及“這一發(fā)現(xiàn)的處理結(jié)果是什么,?我們在哪里修復(fù)了這個問題?”,,紅隊(duì)通常無法應(yīng)答,。他們只是將風(fēng)險移交,而沒有跟進(jìn)這些風(fēng)險是否得到合理修復(fù)或?qū)彶?。為了?shí)現(xiàn)紅隊(duì)效益最大化,,跟進(jìn)風(fēng)險負(fù)責(zé)人的行動將是必不可少的步驟。
05 調(diào)查結(jié)果和風(fēng)險評級標(biāo)準(zhǔn)化
CVSS評級有助于了解在野利用漏洞的難度和可能性,,但它們通常缺乏組織背景,,因此很多評級的劃分是主觀的,需要加入盡可能多的客觀性,。
企業(yè)在進(jìn)行風(fēng)險評級時,,既要考慮“固有風(fēng)險”也要考慮“潛在風(fēng)險”。固有風(fēng)險是管理層沒有采取任何措施來改變風(fēng)險的可能性或影響的情況下,,一個企業(yè)所面臨的風(fēng)險,。在評估固有風(fēng)險后,接著就需要評估控制措施的有效性,。影響控制措施有效性的因素有兩個:一個是控制措施設(shè)計有效性,另一個是控制措施執(zhí)行有效性,。
固有風(fēng)險是天然存在的風(fēng)險,,經(jīng)過人為實(shí)施的控制措施后,固有風(fēng)險會得到控制,,沒有被控制的部分,,就是剩余風(fēng)險,可以形象地理解為:“潛在風(fēng)險=固有風(fēng)險-有效控制措施,?!边@能夠比CVSS評級提供更具價值的情報。
06 優(yōu)化測試節(jié)奏
紅隊(duì)隊(duì)員不是滲透測試員,。紅隊(duì)的測試節(jié)奏也與滲透測試團(tuán)隊(duì)完全不同,。滲透測試員有一套標(biāo)準(zhǔn)的漏洞和錯誤配置測試范圍,以嘗試“盡可能多地”找到其中的缺陷,,讓防御者有機(jī)會盡可能地保護(hù)組織系統(tǒng),。滲透測試團(tuán)隊(duì)還會尋求主動發(fā)出警報,并能夠報告EDR和SIEM解決方案獲得的積極發(fā)現(xiàn),。
相比之下,,紅隊(duì)不會只執(zhí)行實(shí)現(xiàn)目標(biāo)所需的行動,而是要以秘密方式運(yùn)作,,并且需要更多時間來研究,、準(zhǔn)備和測試真實(shí)代表APT行為的殺傷鏈,。因此,隨著測試范圍擴(kuò)大,,紅隊(duì)行動的節(jié)奏和生命周期會越來越慢,。在確定紅隊(duì)今年的目標(biāo)和關(guān)鍵成果(OKR)時,請記住這一點(diǎn),。更不用說,,許多發(fā)現(xiàn)通常來自紅隊(duì)操作,且并非所有發(fā)現(xiàn)都具有相關(guān)的戰(zhàn)術(shù),、技術(shù)和程序(TTP)或直接緩解策略,。補(bǔ)救團(tuán)隊(duì)需要時間來處理調(diào)查結(jié)果并盡可能地減輕影響。同時,,這也是為了避免藍(lán)隊(duì)(blue team)陷入疲勞,,他們實(shí)際上可能會要求紅隊(duì)取消或推遲四分之一的額外操作,具體取決于藍(lán)隊(duì)落后的程度,。
07 跟蹤所有指標(biāo)
并非所有證明進(jìn)攻性計劃成功的指標(biāo)都來自紅隊(duì),。用于跟蹤測試成功和補(bǔ)救活動的紅隊(duì)指標(biāo)包括平均停留時間:他們能夠在環(huán)境中堅持多長時間進(jìn)行發(fā)現(xiàn)和調(diào)整而不觸發(fā)警報。
其他因素將來自網(wǎng)絡(luò)威脅情報(CTI)和風(fēng)險團(tuán)隊(duì),,形式為降低發(fā)現(xiàn)的剩余風(fēng)險評分,、提高對模擬威脅參與者的彈性認(rèn)知,以及在野發(fā)現(xiàn)攻擊成功的可能性,。CTI團(tuán)隊(duì)將能夠通過明確了解哪些策略可以進(jìn)行防御來鎖定相關(guān)威脅參與者,。
08 明確紅隊(duì)角色和職責(zé)
優(yōu)化的紅隊(duì)運(yùn)營來自一個可持續(xù)的反饋循環(huán),涉及CTI,、紅隊(duì),、檢測工程師和風(fēng)險分析師,所有這些都在協(xié)同為組織環(huán)境減少攻擊面,。這些角色在每個組織結(jié)構(gòu)圖中看起來都不一樣,,但無論如何,最好要將職責(zé)明確并分開,。
許多組織的安全團(tuán)隊(duì)會很小,,而且會有同一人身兼多職的情況,但至少需要有一名全職員工致力于這些職能中的每一項(xiàng)工作,,以顯著提高運(yùn)營質(zhì)量,。在這一點(diǎn)上,安全團(tuán)隊(duì)需要被分離在首席運(yùn)營官(COO),、首席風(fēng)險官(CRO)或首席信息安全官(CISO)之下,,而漏洞管理、補(bǔ)救管理和IT運(yùn)營則應(yīng)該由首席信息官(CIO)或首席技術(shù)官(CTO)負(fù)責(zé),。這種角色和職責(zé)劃分有助于減少摩擦,。
09 設(shè)定可實(shí)現(xiàn)的工作預(yù)期
當(dāng)紅隊(duì)制定測試計劃時,,需要根據(jù)具體的目標(biāo)來計劃希望采取的方法。管理層的主要擔(dān)憂是生產(chǎn)力損失或拒絕服務(wù)(DoS),,但紅隊(duì)并不會列出他們計劃使用的每一個步驟和方法,。
事實(shí)上,在漏洞利用開發(fā)過程中,,為了調(diào)試有效負(fù)載并確保順利執(zhí)行TTP(技術(shù),、工具和程序),紅隊(duì)必須根據(jù)實(shí)際情況調(diào)整具體方法,。在演練活動開始之前,、期間和之后對紅隊(duì)計劃設(shè)置現(xiàn)實(shí)的期望,將減少挫敗感以及業(yè)務(wù)部門對紅隊(duì)的抵觸情緒,。
10 合理使用離網(wǎng)(off-network)攻擊設(shè)備
攻擊基礎(chǔ)設(shè)施是紅隊(duì)測試的組成部門,。這包括了域、重定向器,、SMTP服務(wù)器,、有效載荷托管服務(wù)器以及命令和控制(C2)服務(wù)器。就管理層而言,,為他們提供與企業(yè)EDR,、AV和SIEM代理隔離的設(shè)備,將使他們能夠測試網(wǎng)絡(luò)釣魚活動,、登錄頁面和有效負(fù)載,,并解決發(fā)現(xiàn)的問題,以免在漏洞檢測期間浪費(fèi)寶貴的操作時間,。
紅隊(duì)不會在這些設(shè)備上存儲敏感的公司數(shù)據(jù),他們會在安全的云環(huán)境中存儲在操作中獲得和泄露的信息,。因此,,這些設(shè)備實(shí)際上是作為回調(diào)的終端,其命令也應(yīng)該記錄在遠(yuǎn)程服務(wù)器中,。這不僅對紅隊(duì)操作來說非常有利,,也能最終節(jié)省公司時間和資源。
11 嚴(yán)格按照測試計劃開展工作
在實(shí)際工作中,,我們經(jīng)常會發(fā)現(xiàn),,隨著紅隊(duì)測試工作推進(jìn),就會出現(xiàn)更多可利用的資源,,以及更多可攻擊的目標(biāo),,這時候就需要嚴(yán)格按照測試計劃來推進(jìn)預(yù)定工作。操作期間的范圍擴(kuò)展意味著他們不再遵循初始操作計劃,,并遵守CTI驅(qū)動的行為限制,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
