在本章節中,作者提出了一種獨特的安全評估模型——CAPTR。這一評估模型的主要思路就是分層思維,先圈定出組織中最為重要的資產然后從這些資產出發反向推理到外網,從而找到 APT 攻擊的路徑。
反紅隊(CAPTR teaming)是我在就讀博士期間的研究和論文中提出、設計和評價的一種逆向紅隊方法。如前幾章所述,紅隊在適當地模仿并適當地緩解高級持續威脅方面處于極大的劣勢。當我們談到紅隊演練時,模擬 APT 攻擊尤其成為一種特殊的挑戰,即使是最有天賦的進攻性安全專業人員也會面臨這種挑戰。另外,即使一個道德黑客和一個惡意黑客的技能處于一個公平的競爭環境中,現代的攻擊性安全狀態幾乎在各個方面都傾向于實際的攻擊者而不是模擬的攻擊者。為了試圖解決這個問題,我最終提出了一種進攻性的安全評估方法,盡管受到APT挑戰的推動,但與傳統的紅隊相比,這種方法在許多方面都是有益的。
在安全行業中,紅隊或滲透測試被廣泛接受,甚至在組織的更大的安全機構中被有所期待。許多人甚至要求進行某種形式的攻擊性安全活動,以驗證和核實其他信息安全技術和活動。紅藍演練作為整個信息安全的必要機制,也很不幸的產生了副產品,許多人尋求紅隊或滲透測試,并需要對時間和資源的影響盡可能小;客戶組織要求用很少的資源進行短時間的演練,以嘗試滿足任何要求攻擊性安全實踐的需求。
我的目標是通過對典型的紅隊流程進行完善來解決這些問題。真正聰明的攻擊者不遵守任何規則,除了那些推動他們達成攻擊目標的人。攻擊者欺騙、利用漏洞并不惜一切代價破壞其目標。為什么道德黑客不應該欺騙正常程序來緩解APT呢?顯然,在追求演練范圍時,我們仍然必須遵循ROE,并且在此過程中不違反任何法律。然而,如果我們能夠以一種有利于我們的方式來欺騙典型的演練過程,并且仍然提供攻擊性安全評估的所有好處,那么欺騙當然值得考慮。如果組織打算在極短的評估窗口內節省時間和資源,我們應致力于為他們提供一種評估方法,以便在這種受限的評估環境中進行高效和有效的評估。這一需求促使我開發了一個紅隊流程,通過逆向和改變紅隊活動,在極度受限的評估中應對高級威脅。在這一章中,我將闡述 CAPTR,和我的創造這一思路的動機和靈感,并對比了它與紅隊的優勢和一般劣勢。
反紅隊(CAPTR)
最初,我的目標是為 APT 在特定組織中出現攻擊可能導致的致命受損情況提供保護。致命的受損情況是指導致人類死亡或導致組織停止運轉或無法按預期運行的攻擊。我認為,保護這些目標不受APT攻擊是一種值得組織自身不斷強化評估過程的能力。致命的受損情況可能是失去對SCADA設備的控制,從而導致裝配線工人的死亡、核電廠熔毀,或導致被攻擊后出現數據丟失或泄露,從而造成不可估量的影響,以至于組織基本上走向死亡。在設計一個能夠有效地解決此類攻擊以緩解APT威脅的流程時,我提出了CAPTR(反紅隊)的概念。我還發現,盡管專門針對關鍵攻擊的緩解進行了調整,但它在許多其他方面都是有益的,值得納入總體進攻性安全實踐。事實上,CAPTR 本質上是以極其高效和有效的方式對組織的一個子集進行優先評估,這意味著它有助于應對APT威脅,并有助于為不太可能成為APT目標但希望對目標資產進行重點評估的組織成功開展工作。這可能是一個新的應用程序、數據中心、業務部門、收購或其他需要快速有效的攻擊性安全評估的特定范圍。
攻擊性安全評估人員應盡最大努力超越競爭對手。惡意攻擊者和傳統威脅模擬器都會花費大量時間和精力攻擊整個組織,以搜索有價值的機器和數據。安全評估人員應利用許多技術和運營資源,確定并優先評估這些關鍵項。攻擊性安全評估人員應該從相對較高的位置開始活動,并從高風險項開始評估,而不是在前往這些項目的路上浪費時間。正是本著這種精神,CAPTR 將作戰優勢從APT轉移到檢測和預防上。CAPTR 是一種攻擊性安全評估模型,它實現了三種新的評估屬性:
1、最壞情況風險分析,以確定范圍
2、關鍵攻擊初始化視角
3、使用反向跳板鏈進行漏洞分析和攻擊
最壞情況風險分析和范圍界定
CAPTR 與組織中的運營和安全人員合作,以確定評估的適當范圍。CAPTR 范圍是對關鍵項進行優先排序,這些關鍵項在受到攻擊時會產生重大影響,而不管這種攻擊的可能性如何。這種策略允許以高效和有效的方式將評估資源用于整個組織的最壞情況子集。成功識別高風險項需要目標組織職能和安全領域的利益相關者的共同參與。運營人員可能知道哪些對象一旦被攻擊后可能會給組織帶來毀滅性的破壞。但是,這些安全人員可能不知道網絡中的設備和數據在多大程度上代表了高風險項,這對于確定盡可能完整的初始范圍來說,IT基礎設施和安全人員的知識同樣重要。將CAPTR評估的初始范圍限制在高風險對象上,允許評估人員將注意力集中在完全由重要資產組成的小型攻擊面上,并防止浪費資源用于除最重要的攻擊面以外的任何方面。在范圍界定階段,充分識別優先資產可以成功評估關鍵的受損項,從而通過緩解最壞情況下的威脅,改善總體安全態勢。
關鍵初始化視角
初始化視角是攻擊性安全評估開始掃描和枚舉漏洞的起點。常見初始化視角的示例來自Internet(組織外部)或組織內的不同位置。初始化視角的位置會影響安全評估的許多屬性,例如首先評估的攻擊面類型、模擬的威脅類型以及已識別的漏洞等。
從基于互聯網的威脅、受損的DMZ服務器,甚至是成功的網絡釣魚攻擊內部用戶機器的初始化角度出發,對一系列高風險項進行評估可能會阻礙評估的進展和成功。為了最有效地解決APT針對關鍵項可能利用的漏洞,必須做出讓步,使這些威脅已經或將能夠穿透組織的外圍和后續防御層。確定影響較大的受損對象并創建范圍后,CAPTR評估模型開始對優先風險項本身進行評估。這被稱為“利用關鍵初始化視角”,允許CAPTR評估對高風險受損對象執行即時評估,而不是首先花時間預先確定它們的路徑。
反向軸心鏈
反向軸心鏈是一個由兩部分組成的過程,用于識別對最初確定范圍的受損對象影響最大的發現。對每個范圍內的受損項進行局部評估。然后,利用這些受損對象作為對宿主組織進行外部評估的關鍵初始化視角。這種外部評估是以一種非典型的、有針對性的、不引人注目的方式進行的,它確定了通信者的分層級別及其與初始范圍的關系。這些關系最終代表了一個風險鏈網絡,它從優先的高風險項向外傳播。
反向軸心鏈描述了風險鏈接網絡中的威脅關系,該網絡將關鍵受損項置于中心位置。即使無法遠程利用第一層或更多外部通信,通信鏈路仍會被識別為具有與其潛在風險相關的適當風險等級,從而使攻擊者能夠訪問關鍵的受損對象。這些信息對于授權組織緩解和監控CAPTR 發現的威脅至關重要。這一風險鏈網絡是進攻性和防御性安全團隊之間以評估結果為基礎開展合作以改善安全態勢邁出的獨特一步。
對比
當一個人僅僅依靠傳統的紅隊評估來評估網絡安全和減輕APT的影響時,有幾個存在缺陷的原因。這些問題是不斷演變的威脅形勢的結果。評估期間暴露的漏洞列表可能在測試結束后的幾天內過期。另一個原因是,典型的紅隊活動側重于模擬攻擊者,而不是內部威脅的所有方面。鑒于傳統紅隊在這些和其他情況下與CAPTR的潛在優勢形成鮮明對比的劣勢,應在很大程度上鞏固CAPTR方法在已規定實踐中的地位。
零日漏洞
零日攻擊是利用零日漏洞的代碼。零日漏洞是軟件制造商或安全供應商未知的漏洞。在演練過程中,紅隊掃描漏洞,并試圖利用漏洞訪問組織。這里的一個問題是,這個過程可能不會包含零日漏洞利用,因為它們尚未被披露或發現。可以保守地假設,在紅隊完成滲透測試后,有可能在幾天后,一個武器化的漏洞作為對組織的新威脅就出現了。
還必須有一個假定的概念,即紅隊無法訪問的網絡部分可能存在無法評估的高危漏洞,因為評估人員在這些設備與無法訪問的網絡之間沒有發現漏洞。在這種情況下,如果紅隊無法評估的設備易受新的零日攻擊,那么攻擊者可以使用這些高危漏洞產生前所未有的影響。這通常是紅隊的公認部分,未評估的部分可能也包含了漏洞。顯然,零日漏洞轉化為零日漏洞 Exp 的可能性表明防御中存在漏洞,無法進行分析。CAPTR 方法允許在一定程度上緩解新零日漏洞對評估有效性的影響。考慮圖9-1,這里給出了一個簡化的紅隊演練的例子:
在這個圖中,紅隊攻擊面向互聯網的web應用程序服務器,然后在web應用程序管理器登錄到服務器進行檢查時,在捕獲憑據并識別IP地址后,從那里轉到web應用程序管理器的個人計算機。接下來,紅隊試圖深入網絡,發起致命的攻擊,在本例中,這是一個控制生物危險廢物分配的SCADA設備。不幸的是,Windows 2012網關位于紅隊的軸心點和致命受損目標之間,目前還沒有已知的遠程代碼執行漏洞。在本例中,紅隊從未列舉SCADA控制器以確定其是否易受常見遠程代碼執行漏洞(如MS08-067)的攻擊。評估后不久,互聯網上披露了MS17-010零日漏洞和漏洞 Exp,一名APT攻擊者通過網絡釣魚入侵了網絡中的另一個用戶,并利用它訪問Windows 2012網關。現在,APT攻擊者可以輕松利用易受攻擊的SCADA控制器,并最終利用SCADA設備本身進行攻擊,因為該設備容易受到稱為semtex的權限提升漏洞的攻擊,這使得隱形攻擊者能夠造成巨大的災難。