开展专业的红蓝演练 Part.2:红蓝演练的优点及作用
2020-09-10 11:02:13 Author: www.4hou.com(查看原文) 阅读量:350 收藏

本文的内容参阅了奥克利博士(Dr. Jacob G. Oakley)的著作《Conducting Successful Cybersecurity Engagements:Professional Red Teaming》一书,笔者会分享本书中部分章节中的重点内容以及学习笔记,希望能帮到更多的人。如果您有好的建议或想法,请在评论区留言,一起交流学习,如文中有误,请斧正。

在上一篇文章——“开展专业的红蓝演练 Part.1:演练目的及形式”中,我们共同学习了“红队”的目的和三种演练形式的概念及特点。本文将阐述红蓝演练的优点和缺点,以及红队在防御、监控、响应这三个方面的作用。

红蓝演练的优点

在改善企业组织的安全态势方面,与其它方法和技术相比,红蓝演练具有非常明显的优点,比如红蓝演练可以提供更高的成本效率。作者认为,红蓝演练是最为锐利的一种手段,但这并不是说红蓝演练就是最好的,或者是在任何给定的情况下是最好的。如前文所述,利用红队我们可以识别组织中各种安全资产的功能和缺点,从而对组织抵御恶意攻击提供了一种独特的评估方式。此处,需要重点强调的是这种评估方式只能由道德黑客(可以理解为白帽子)开展执行才有效,评估人员受到的限制和授予的权限与他们演练的范围和规则是一样的。
前面我们已经说过,红蓝演练是一种非常锐利的手段。因此,开展红蓝演练就好比是对企业组织的安全态势进行一次“手术”,“主刀医生”未经训练或者不够道德,都会让“手术”变得危险。
许多安全技术都是围绕着“反应”(reacting)的概念构建的,而红蓝演练能够在事前而不是事后就能发现并缓解安全问题。尽管漏洞扫描和良好的补丁管理等措施也具有一定的前瞻性,但要注意的是,虽然这两个反应不是基于组织内对安全事件的反应,但它们都是对其他地方的安全事件的反应,并提供了要扫描或修复的新漏洞的详细信息。威胁狩猎是另一个经常被人们提及的概念,它在本质上也是一种主动防御的手段,其目的是识别企业组织内已经存在的攻击者的攻击行为指标,这些攻击者可能是已知的也可能是未知的。然而,与红蓝演练不同,威胁狩猎是一种事后的防御手段。

红蓝演练的作用:评估预案

红蓝演练具备主动及事前防御的独特优点,可以让我们更好的理解我们的防御预案,而其他防御手段则试图帮助我们更好地准备防御预案。此外,其他防御手段可以让企业组织更好地做好防御准备,以阻止并监控攻击者或帮助企业组织提高响应的有效性或弹性。红蓝演练可以确定一些安全技术是否有效地提高了企业组织的防御能力,也可以通过遗漏检测,非必要的安全事件重复检测以及对不同技术的记录帮助我们识别组织内被浪费或冗余的资源。

评估防御

一次成功的红蓝演练会通过与系统、用户和应用程序的交互来测试企业组织的多个防御面,并确定这些对象阻止评估人员行动的能力。在企业组织的防御系统中,比较常见的就是防火墙。防火墙的目的是阻止来路不明的或恶意的流量从一个点传输到另一个点。红队通常以直接和间接的方式测试防火墙。间接测试可以通过防火墙对网络扫描器返回的结果和其他针对系统或服务的侦察活动进行测试,这类测试的预期结果应该是被防火墙阻止,但这些扫描流量可能因为如错误配置或系统本身的缺陷而通过了防火墙。在这两种情况下,评估人员并不知道他们的行为应该要被防火墙阻止。直接测试是指评估人员故意试图绕过防御机制,可分为破坏性漏洞利用或直接漏洞利用两个子类。 

破坏性漏洞利用是指评估人员知道目标用的是什么防御设备并试图通过利用特定于这个设备的缺陷或通过网络扫描探测发现设备的错误配置来绕过设备的防御能力。直接漏洞利用是指评估人员利用系统中的缺陷或错误配置来获得远程代码执行,然后通过漏洞利用更改设备的防御设置进行绕过。
其他防御性的安全对象也可以用同样的方式进行评估。操作系统可能具有安全防御设置,以防止使用特定的特权执行计划任务脚本。该设置的实现中,可能存在一个缺陷使得红队能够以特权身份运行脚本。或者,红队可能会使用操作系统无法处理的某些执行方法,或者是通过简单更改系统设置的方式使操作系统受损,从而主动绕过防御机制。在应用程序级别上也是如此。应用程序中的字段的输入验证可能有意或无意地被评估人员绕过,或者评估人员可能通过其他方法获得应用程序的管理命令,并删除输入验证以执行所需的操作。对于测试企业组织内的防御机制的预案来说,这些相同的原则并不局限于技术性的安全对象。企业组织内的人员也应该被视为防御性的安全对象,并在适当时纳入红队评估。通过有效的培训和程序,使他们能够提供防御行动,以阻止恶意电子邮件的打开,或阻挠活动,如“肩膀冲浪”——从同事的电脑屏幕上窥视有价值的信息,或尾随通过公司门禁。识别基于人员的防御安全预案中的缺陷可能是红蓝演练中最有价值的发现之一。

评估监控

评估企业组织监控恶意活动的能力也有助于理解企业组织的安全防御预案。监控企业组织内的恶意活动分为两个过程:检测和警报。红队提供了处理和理解安全监控未产生警报的能力。监控系统未产生告警可能是技术性的或程序性的,也可能是人员的误操作所致。确定安全监控是否充分的产生了告警,以及确定未产生告警的原因是否由于技术或程序的缺陷所致,则可以正确地缓解监控系统中的问题。
检测的目的是识别出企业组织内的安全事件。不同的安全事件可能有很大的不同,比如某个人进入大楼的安全摄像头快照,或者是某个特定网络地址发送的电子邮件。不同的红队项目会创建不同的安全事件,从而评估企业组织内不同的检测机制。与防御性安全对象类似,安全事件的检测可以使用相同的破坏性测试或直接测试。
警报是监控系统的第二部分,主要关注检测到安全事件后发生的情况。警报有可能是可被忽略的,比如丢弃安全事件而不记录任何内容,或者是触发警报后升级防御功能。除了要依照与前面提到的检测和防御能力相同的测试之外,警报还为评估过程增加了一个新问题。警报可以通过直接和间接测试进行评估也可能通过第三种——有目的性的测试进行评估。破坏性漏洞利用测试可以让评估人员避免由于某些安全事件被检测到而触发警报。直接漏洞利用测试能够让评估人员有能力禁用警报。 

第三种有目的性的测试实际上是证据利用,当系统成功检测到某个事件并生成适当的警报后,攻击者更改了警报的完整性或警报的证据。在某些情况下,这需要对系统执行直接漏洞利用从而删除警报,无论警报是系统日志、弹出窗口还是完整的文件。这种评估方法不完全属于直接或间接漏洞利用的原因是,在许多情况下,警报是大型分布式监控系统的一部分,对给定系统的直接漏洞利用可能并不会消除警报证据产生的所有迭代警报。
假设有这样一个系统,该系统在开始覆盖最老的日志条目之前包含了一定数量的日志,或者该系统只能同时记录一定数量的事件。这两种系统都容易受到证据利用的影响。评估人员可能会创建过多的噪声,从而阻止创建特定的警报,或者可能会因为创建的日志条目的数量而以日志形式覆盖警报。证据利用也可能发生在导致警报记录错误信息的场景中,例如欺骗恶意通信的源地址。证据利用还可能会导致一个更为严重的问题——误报的告警,从而在程序上转移监控系统对评估人员操作目的以及与评估活动相关的警报的注意。

评估响应

红蓝演练评估防御预案的最后一部分是企业组织对评估活动的响应。根据演练的意图和范围,对不同程度的完成情况进行响应。在某些演练场景中,如果检测到评估人员的活动,安全人员的第一步是与红队负责人进行检查,确定评估活动是与真正的恶意威胁有关,还是与红队本身的演练有关。在被告知是红队演练后,安全人员可能会停止安全响应,让红队不受阻碍地执行其余的演练任务。这是红蓝演练所能提供的最简单的响应分析实现,但也是最不细致的。安全人员对威胁的检测,以及由红队对演练结果负责并不会加深企业组织针对此类恶意威胁的响应预案的理解。 

最完整的场景是当收到潜在恶意活动的警报时,安全人员就像对待真实的攻击一样执行安全响应。在这种情况下,红队试图绕过和逃避安全人员的响应,包括防御措施,补救受感染的机器,以及试图阻挠威胁狩猎机制。这种时候存在的风险是,红队的存在可能会通过转移网络中合法恶意活动的注意力而引入新的安全问题。从立即停止响应到完全不知情地对演练活动进行响应之间的中间值是对企业组织的最佳评估点,并应根据评估的具体需要进行调整。 

除了评估企业组织应对恶意威胁的应急预案之外,红队还提供了帮助企业组织改进防御的优势。红蓝演练不仅可以识别出防御、监控和响应方面的问题,而且还可以帮助进行补救、缓解和开展威胁狩猎工作。 

本文由作者“丝绸之路”整理发布,如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/x90J
如有侵权请联系:admin#unsafe.sh