导语:现在让我们来谈谈开展一次成功的项目所面临的真正具有挑战性的问题。作为进攻性安全的专业人士,我们通过智取、愚弄或以其他方式识别我们客户组织的缺点来开展我们的业务,并希望他们在感到尴尬后仍然愿意为红队服务付费。
系列文章目录:
开展专业的红蓝演练 Part.7:进攻性安全面临的挑战(上)
敌对的客户
现在让我们来谈谈开展一次成功的项目所面临的真正具有挑战性的问题。作为进攻性安全的专业人士,我们通过智取、愚弄或以其他方式识别我们客户组织的缺点来开展我们的业务,并希望他们在感到尴尬后仍然愿意为红队服务付费。此外,如果不能很好地超越、规避或利用客户,就可能导致客户组织不再使用我的红队服务,因为客户组织已经将我的红队服务视为不合格。从进攻性安全的角度来看,在客户组织中有三类人员:管理和保护组织的技术人员,负责组织福祉和运营的管理人员,以及普通人员。
技术人员
技术人员包括对安全态势的认知高于一般人员的那些人。这类人群通常由管理员、基础设施人员、安全人员以及其他与整体安全有直接联系的人员组成,例如从事信息保障工作的人员。这群人会提出三个主要的问题来反对开展成功的红队交战,这些问题都与尴尬和不专业有关,主要表现在这些人对自身工作或名誉的担忧。以下三个例子都发生在我曾经参与过的安全评估中,我也多次从其他人那里听到过类似的故事。
在安全评估开始时,一些技术人员有时试图将项目排除在真正应该进行评估的项目之外。这样做的典型原因是技术人员知道漏洞的存在,一些漏洞可能会被发现,或者仅仅是因为评估目标是某些技术人员直接负责的,他们不希望他们的资产被测试。当这种情况发生时,这种行为会使约定评估范围的确定成为对抗事件,而且技术人员通常是同意评估范围的人,或者与同意评估范围的人有工作关系的人。因此,可以预料大多数时候评估人员会输掉这种战斗。
在评估活动的执行过程中,就发生过技术人员将评估人员作为目标。我亲眼目睹了这件事。向客户组织提供源地址,以确定评估人员从哪里发起攻击,安全人员使用该数据“捕获”评估人员在网络中的活动。这种类型的干扰可能会在评估阶段和报告阶段损害评估人员的可感知的合法性,因为他们被确定为“被捕获”,因此技能可能比其他评估人员更低。我还看到有些安全监控人员根据红队使用的工具签名实施实践只是为了捕获红色团队(一般来说不是威胁)。这既浪费了安全监控人员的时间,也使得对网络的评估极为困难。尽管有这些类型的交互,但对紫队的约定还是有好处的。
红队评估遇到的敌对和不切实际的阻碍对任何人都没有好处。这样的情况比较容易缓解,因为对捕获红队的安全设置的分析将显示它是专门为捕获红队而设计的规则,还是为实际的安全实践而实现的规则。
最后要说的这一点,也许是对评估有效性最具破坏性的,那就是技术人员试图破坏在评估结束时提供的结果。我曾看到技术人员反复抱怨说,红队入侵的某台机器并不重要,尽管它对许多其他机器来说可以当作一个跳板机。我还知道一些情况,有的技术人员要求在将评估报告交给老板之前,对某些漏洞的发现不作深入阐述或使用不同的措辞。他们甚至自己动手编辑,然后把结果呈现给高层管理人员。这只会直接影响红队评估提供的整体安全态势的好处,并影响职业关系。
管理人员
管理人员可能产生的影响与在评估的同一点上讨论的技术人员的影响非常相似,但原因略有不同。 当一个项目被确定范围时,我有时会看到高层管理人员介入讨论并权衡,尽可能限制范围,缩短时间窗口。这通常是监管标准的副产品,该标准要求在特定时期内进行 x 次渗透测试,以满足某项政策。在这些情况下,管理者们试图在契约上节省资金,同时仍然检查他们寻求遵守的任何政策。这类问题我遇到的比较少,但这绝对是需要注意的问题。
众所周知,组织的管理者引导红队评估的另一种方式也是处理范围问题。在一个组织的子集中确定一堆安全漏洞是获得资金来修复这些漏洞的好方法。众所周知,管理者会将评估范围推向他们需要资金的特定领域,希望红色团队能够发现一堆问题,并且能够将报告提交到上级领导,并请求资金来解决所发现的问题。这不会严重影响到红队评估,但大家应该知道这是使用红队资源的管理者的普遍观点,这是好事。有了这些了解,你就可以学会如何操纵范围。
最后要说的也是最为严重的一个问题,那就是在报告阶段管理层对红队评估产生的影响。在某些情况下,高层领导基本上会把报告拿走然后扔掉。出现这种情况有几个原因。第一个问题是,他们通过评估结果来检查合规,但没有资金或时间来解决报告中提出的建议。第二个事实是,来自进攻性安全评估的报告可能是一个组织的巨大责任。
各位可以想象一个场景,某个红队在评估一家医院的安全性,发现了十个漏洞。在与医院的安全人员合作时,红队帮助确定严重程度和首先应该解决的问题,因为医院只有有限的人员来解决问题,而且一次只能解决一个问题。现在想象一下,这个排在第6 位的问题将在几个月后得到解决,但这个漏洞被攻击者用来披露来一堆 HIPAA 敏感数据。被披露的信息中的某个病人提起了诉讼,并在法庭上要求知道是否进行了安全测试,并要求医院在法庭上提供文件。现在,医院必须证明它几个月前就已经知道安全问题了。这个漏洞被列为是对整个组织的较低威胁这一点并不重要,安全评估报告文档的存在并表明这些数据的事实是一个巨大的责任。把道德和法律后果放在一边,这个例子很好地说明了为什么一些管理层会在测试结果公布后尽其所能地掩埋或销毁结果。
普通人员
组织中的普通用户并不一定会影响测试。然而,当面对红队评估的结果时,他们会变得极其敌对。因此,理解实施进攻性安全评估的社会学后果是非常重要的,特别是当红队是一个有机实体,而用户可能是同事的情况下。在这里,问题产生于尴尬的用户。这些用户可能是那些被欺骗点击链接或在某次社会工程学钓鱼攻击中被欺骗打开电子邮件的人。还有一个稍微严重一点的问题,即在评估过程中发现给定的用户在使用组织系统时破坏了组织的安全流程、技术或策略,或者执行非法或非法操作。例如,红队发现了一个开放的共享,该共享存储了音乐和电影文件,这违反了特定组织的政策,并使用该共享来破坏组织的一部分。在这种情况下,涉及的相关人员可能会受到训斥,甚至被解雇,这很可能会让敌对关系升温。
关于人员问题的结论
在任何组织中,都有许多与执行红队项目相关的人员问题。在供应商与客户的关系中,它们可能会更加复杂,在这种关系中,要达成一次成功的合作而必须走的钢丝就更薄了(更危险了)。好消息是,了解你可能遇到的问题类型,在整个评估过程中保持专业,并能够“描绘出可怕的画面”,可以解决大多数这些问题,而不会影响红队的评估或人员。我所说的所谓“描绘可怕的画面”的意思是能够把看起来像一个无关紧要的弱点或目标的技术人员,告诉经理或主管,这种最初的拉扯是如何导致整个组织被入侵的。这种能力是一种非常有价值的技能,可以帮助红队评估人员克服组织人员引入到项目评估过程中的障碍。如果你回顾并检查我所描述的那些显示了道德黑客的人类直觉的好处的情况,就很容易看到某些非常小的问题是如何影响了目标组织的大部分安全态势。
关于红队人员配置的一些问题
为了解决本章中遇到的问题,组织内部必须组建一支红队。为这个团队配备人员是一件很困难的事情,即使是那些有资金和手段来雇佣合适人员的组织。因此,我现在就来谈谈我在一家公司担任副主管和首席渗透测试工程师时遇到的一些问题,我负责决定雇佣其他渗透测试人员来满足各种红队和进攻性安全的需求。
“网络”或“网络安全”一词的迅速发展,以及人们在组织中根据自己的需要对其进行调整,极大地影响了进攻性安全行业。问十个人网络安全是什么意思,你会得到十种不同的答案。唯一已知的事实是,许多有系统管理、信息保证、安全工程或监控背景的个人都可能被贴上网络安全专业人士的标签,并且经常把他们多年的 IT 或信息保证经验作为网络安全的一部分。这样就很难确定我要面试的候选人是否够优秀。我个人将网络安全视为识别具有漏洞发现和系统利用经验的人的标签。更麻烦的是,很多公司在招聘网络安全专家时,往往会把“寻求网络安全经验”放在招聘名单上,而实际上,他们想要招聘的是一名安全工程师,负责监控或信息保证分析师。当建立一支有能力的红队时,现代安全行业以及进攻性安全行业所需要的技能和需求的混乱是非常难以驾驭的。
假设我们现在讨论的是具有漏洞识别和利用经验的网络安全人员,那么我们将面临另一个困境。许多组织认识到他们需要红队,但是合格的、经过认证的和有经验的候选人的数量远远供小于求。公司往往很难找到合格的候选人,当他们找到时,他们可能会遇到人才留不住的问题。任何优秀的渗透测试人员或红队成员都可能接触到了其他工作机会。有资格和经验丰富的进攻性安全专业人员能够非常灵活地跨岗位工作,因为需求量很大,而且需要的这类人才非常少。因此,即使一个成功的红队是由一个组织建立的,把人才资源留住可能是一个令人生畏的现实。
寻找有经验的人员组建红队还有另外一个挑战,这个人还需要是一个处理法律问题的人。没有在法律协议内工作,黑客是一种严重的犯罪,对于业余的黑客爱好者的简历信息需要认真对待。因此,在这个领域获得实际经验的唯一方法就是成为渗透测试人员或红队成员。在招聘时,我经常会认真考虑那些有足够 IT 或安全经验的人,他们能够出去获得至少是名义上的攻击性安全证书,但我是在冒险,因为候选人没有得到过专业的评估。 此外,经验问题增加了拥有红队或渗透测试人员的财务负担。那些有经验的人可能是其他 IT 或安全行业的资深人士,并期望得到相应的报酬。这就是为什么组建红队需要组织支持的重要原因,因为这些资源很难找到,通常也很昂贵,而且很容易失去。
总结
在这一章中,我们讨论了进攻性安全的现状。详细说明了成功实施和使用红队资源所面临的许多挑战和障碍。
本文翻译自:如若转载,请注明原文地址:
如有侵权请联系:admin#unsafe.sh