AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
動態專區
九維團隊-紫隊(優化)| 紫隊劇本: 安全測試的威脅建模(四)
寫在前邊
1. 本文原文為Felisha Mouchous于2020年發表的《Purple Team Playbook: Threat Modeling for Security Testing》,本文為譯者對相關內容的翻譯及實踐記錄,僅供各位學術交流使用。另出于易讀性考慮,對部分字句有所刪改。
2. 如各位需要引用,請做原文應用,格式如下所示:
[序號]Felisha Mouchous,‘Purple Team Playbook: Threat Modeling for Security Testing’, 2020.
在前文中,我們介紹了不同類型的威脅模型以及當前可用于威脅建模的工具,本節將會繼續介紹安全測試中涉及的相關內容,并將重點介紹選擇組織可以使用的安全測試主題和工具。
2.4.1
紅隊
來源于冷戰、軍方中的“紅隊”一詞經常被用來描述一種跳出框線思考并能夠預測和模擬對抗行為的方式。標準滲透測試旨在發現和利用范圍內目標的漏洞,并遵循PTES等方法,而“紅隊”則更注重目標,將組織作為一個整體。北約合作網絡防御卓越中心的一份報告將網絡紅隊定義為四個主要階段(圖9)。
圖 9: 北約紅隊的四個主要階段
要進行紅隊測試,測試人員需要簽署一份參與規則合同,以在出現問題時保護他們。作為這項測試的一部分,內部安全運營團隊(也稱為“藍隊”)即一個組織的捍衛者,將事先不知道紅隊的測試。目標是觀察藍隊對紅隊攻擊的反應,這對組織是有益的,因為它既測試了組織防守方的反應,也確定了他們需要改進的領域。
紅隊將會使用全面的攻擊方法,因為紅隊成員可以使用任何必要的手段,如利用流程、人員或系統來獲得訪問權限。例如,紅隊測試人員可以使用社會工程學讓員工點擊鏈接,以便測試人員在組織網絡上具有立足點。在正常的滲透測試中不允許進行此類活動,因為范圍會更為嚴格,并會限制這些活動。紅隊測試可能需要很長時間來進行,而且成本高昂,因為一個組織很可能需要雇傭具有相關經驗的第三方來確保紅隊測試成功。
2.4.2
紫隊
紫隊通過讓紅隊和藍隊在測試中緊密合作,分別攻擊和防守特定目標,從而提高了紅隊和藍隊的技能和流程。紅隊像往常一樣進行測試,而藍隊將和紅隊共同努力提高測試結果。紫隊可以被視為更具成本效益,因為它可以識別進入組織的許多途徑,并允許藍隊根據紅隊模擬的攻擊創建防御。這也有助于建立兩個團隊之間的合作關系,以便他們相互推動,為組織的利益發展自己的能力。
為了使紫隊測試取得成功,組織需要了解他們想要從測試中得到什么,并充分了解組織的安全態勢。他們還需要具有相關紅藍團隊經驗的員工,以便能夠模擬和檢測攻擊。
2.4.3
攻擊者
在滲透測試的威脅建模階段,測試人員需要了解什么類型的攻擊者可能針對某個組織,以及他們的能力是什么。不同攻擊者有興趣攻擊某個組織的動機會有很大差異。攻擊者可分為“腳本小子”、“黑客行動主義者”、“民族國家”、“有組織犯罪”、“內部人士”和高級持久威脅(APT)等群體。
“腳本小子”通常是低級別的攻擊者,他們攻擊組織的動機是為了名聲和認可。TalkTalk公司是“腳本小子”造成的數據泄露的一個很好的例子,因為他們被SQL注入攻擊了,這是一種眾所周知的web應用程序攻擊,已經存在多年。此攻擊是OWASP Top 10 web應用程序攻擊的一部分。該故事強調了一點,即組織應該首先正確掌握安全基礎知識,否則他們可能輕易成為低技能攻擊者的目標。
另一個攻擊者團體是“有組織犯罪”,他們的動機主要是金融方向,就像銀行劫匪對傳統銀行采取行動一樣。金融機構尤其有興趣保護自己免受這一行為的影響,因為資金損失可能會對其業務和聲譽產生影響。
“民族國家”攻擊者可能是所有行為者中最復雜的,因為他們由外國政府資助,有政治動機。
“內部人士”攻擊者則可能是最難防范的行為人之一,因為內部人士的定義是在一個組織中處于受信任的位置。他們也是一個難對付的威脅體,因為他們的動機可能不同,可能是出于經濟動機,可能是被勒索,也可能只是粗心大意。一個組織可以通過背景調查來保護自己,例如查看其財務歷史或利益沖突。
“高級持久威脅(APT)”攻擊者被認為是擁有大量資源和專業知識的復雜參與者。這個攻擊者的其他特點包括有一個特殊的目標,需要他們保持堅持不懈,因此他們會使用隱身和躲避技術來實現這個目標。這一攻擊者通常是民族國家或有組織犯罪,因為他們通常具有必要的成熟度和資金,有能力在目標系統上保持持久化。
2.4.4
網絡殺傷鏈
LockheedMartin公司建立的網絡殺傷鏈(Cyber Kill Chain)提供了一種建模敵方行為的方法,以便組織能夠檢測和防止攻擊者的活動,該鏈顯示了攻擊者為實現其目標必須完成的活動。殺傷鏈由圖10所示的七個階段組成。殺傷鏈是顯示APT攻擊階段的流行方式,因為它提供了每個階段的技術信息以及如何防御攻擊的指導。
圖 10: Lockheedmartin 網絡殺傷鏈
2.4.5
Mitre ATT&CK 框架
Mitre ATT&CK框架是基于真實世界觀察的全球都可訪問的對抗戰術和技術知識庫,可用于組織中的威脅建模,可歸類為攻擊庫。該框架廣泛應用于安全行業,組織可以根據該框架中的數據組建紅隊。
在圖11中,我們展示了框架中包含的ATT&CK戰術的示例。該框架包括對手細節、戰術、技術和緩解措施。Mitre已經創建了許多工具來補充其框架,例如,他們有一個攻擊導航器,允許用戶通過從其框架中提取數據來計劃安全測試。
圖 11: Mitre ATT&CK戰術類別
2.4.6
安全測試的挑戰
要成功地進行安全測試會面臨許多挑戰。例如,一種觀點認為,傳統的滲透測試并沒有考慮到整個組織的安全態勢以及它們如何應對攻擊。這導致需要進行紅隊測試,因為這類測試著眼于整個組織及其脆弱之處,并測試事件響應能力。此外,還發現組織中的防守隊員(藍隊)和攻擊隊員(紅隊)之間可能存在脫節。這是一個問題,因為如果威脅沒有得到適當的傳達,就無法適當地緩解。這支持了紫隊測試的需要,在紫隊測試中,兩個團隊共同保護一個組織。
一篇關于滲透測試是否應標準化的論文提出了滲透測試的質量問題。作者發現,測試公司并不總是提供足夠的測試結果信息。而準確地解釋這個問題是如何產生的,以及它是如何成為一個問題的,這才將更為有益。提供更多信息將有助于組織更好地理解和解決未來版本中的問題。
與此相關,作者還在他們的研究中發現,滲透測試公司不愿意提供問題的概念證明,這可能是因為他們希望我們需要為重新測試支付額外費用。然而,這會產生負面影響,因為組織不太可能真正解決問題,他們沒有完全理解這個問題,或者自己很難復現這個問題。
組織愿意支付多少費用和測試公司愿意提供多少數據之間似乎存在平衡。同樣重要的是,選擇合適的測試公司,其測試人員需要具有公認的資質,否則有可能無法獲得具有有價值發現的高質量測試。無法保證測試人員會發現所有問題,這就是為什么將來需要重新測試系統。從威脅建模的角度來看,如果一個組織過于依賴第三方測試人員,并且不完全了解他們的威脅,這可能會對組織造成損害。
2.4.7
現有安全測試工具分析
在上面的內容中,我們討論了不同類型的安全測試,并深入研究了滲透測試和紅隊和紫隊測試。在表3中,我們選擇了一系列開源和商業工具,用于對系統進行安全測試和威脅建模。
基于我們的研究,總結了該工具是什么以及該工具的潛在優勢和劣勢。當然,有許多工具可用于安全測試目的,我們選擇了一些適合本文主題的工具;威脅建模和安全測試。
表 3: 相關安全測試工具摘要
| 工具 | 描述 | 優點 | 缺點 |
| Attack-Tools | Attack-Tools 是一個 GitHub 開源項目,它使用 Mitre ATT&CK 框架來創建對手仿真規劃工具。它提供了一個我們可以計劃的工具以及我們可以從中查詢的數據模型。其目的是幫助人們使用他們創建的數據模型將自己的工具與 mitre 集成。 | 數據模型對于查詢數據很有用,因為它使用 mitre 攻擊框架。 | 規劃工具需要定制以用于組織。它也是一個開源工具,因此文檔有限且沒有相關的商業支持。 |
| Caldera | Caldera 在 Mitre 創建的自動紅隊對抗仿真系統中,他們使用他們的 ATT&CK 框架作為他們的對手模型,并提交了該工具的論文 。Mitre發布了關于如何設置和使用該工具的詳細文檔。 | 此工具對藍隊有好處,因為他們可以自動化攻擊者行為,這反過來又會向他們顯示測試其檢測能力以及回歸測試其功能所需的遙測數據。 | 設置和使用此工具有一個陡峭的學習曲線。它也是一個開源工具;因此,沒有可用的商業支持。因此,對于組織來說,將其部署在其網絡上可能是一個問題。 |
| Mitre Attack navigator/ Mitre Caret | Mitre有幾個開源工具,用戶可以使用這些工具來利用他們的ATT&CK框架。其中之一是ATT&CK導航器,它允許用戶選擇他們想要涵蓋的技術和策略,并將其導出為JSON或excel文件。另一個工具是Mitre Caret,它利用了來自其分析存儲庫(CAR)和ATT&CK框架的數據。CARET用于培養對防御能力的理解,并有助于其開發和使用。它目前是每個人都可以使用的概念驗證應用程序。 | 安全測試人員可以使用這些工具來計劃他們的測試,它們是開源工具,因此他們沒有任何與使用它們相關的成本。這些工具由業界知名的 Mitre 創建,因此數據可以被視為值得信賴的。 | 這些工具需要定制才能在組織中使用,它本身更像是一個參考工具。 |
| Palo Alto playbook | 這個開源工具由Palo Alto網絡創建,它是一個對手行為的劇本查看器,映射到Mitre ATT&CK框架。它使用Cyber Kill Chain組織每個APT的技術和戰術,并允許用戶選擇和查找有關查看器的更多信息。 | 其主要目的是創建一個對手劇本,以幫助組織的捍衛者了解對手的工作方式。然后,他們可以開發檢測和響應APT活動的能力。 | 它不是為某個組織量身定制的,而是一種通用的參考工具,用戶可以使用它來查找某些APT威脅參與者的信息。 |
| Vectr.io | Vectr是一個紫隊威脅模擬工具,由SecurityRisk Advisors公司創建,它提供了一個免費的開源社區版,供每個人使用。Digital Shadows公司審查了該工具,發現用戶可以創建完全可定制的測試用例,并將對手行為模擬映射到Mitre ATT&CK框架。該工具可用于規劃、跟蹤和監控組織中的所有紫隊活動。 | 該工具是開源的,有助于組織進行紫隊評估。它是可定制的,因此我們可以使用工具中所需的任何攻擊庫或測試用例。 | 當用戶第一次使用產品時,存在學習曲線。它也是一個開源產品,因此組織可以選擇使用提供商業支持和指導的紫隊工具。 |
| Scythe.io | Scythe是一種商業紫隊模擬工具,其功能與Vectr非常相似,并使用Mitre ATT&CK框架模擬攻擊者行為。 | 這是一個商業工具,因此將提供文檔和支持。它還幫助團隊模擬紫隊評估并跟蹤結果。 | 該工具涉及成本,因此需要將其考慮在內。此外,定制工具以滿足組織需求可能會產生額外成本。 |
| XM Cyber | XM Cyber提供了一種商業工具,組織可以使用它來自動化其紅隊活動。它允許用戶創建和跟蹤測試,并同時運行測試。 | 該工具允許組織輕松地自動化紅隊活動,以便他們能夠識別測試中的差距。這也有助于紫隊測試。 | 該工具涉及成本,因此需要將其考慮在內。 |
(未完待續)
