扮演攻擊者的角色可讓安全團隊的防御更加牢固。從圈定正確的人選到衡量模擬與現實事件的差異,以下指南助力安全基礎設施模擬演習。
軍方搞,政府問責辦公室搞,國家安全局也搞。演習的概念甚至滲透到了企業領域:模擬演練安全基礎設施。
紅隊藍隊對抗練習,源自其軍事上的先例。概念很簡單:一隊安全人員——紅隊,攻擊什么東西;另一隊人員——藍隊,守護之。最初,這種操練是軍隊用來測試部隊戰備度的,也用于測試敏感地區的物理安全,比如核設施及能源部下屬國家實驗室和技術中心。90年代,專家開始采用紅藍對抗來測試信息安全系統。
任何行業的公司企業都可以從紅藍對抗演習中獲益,只要遵循下列建議。
一、基礎知識
紅隊是引入來測試安全項目有效性的外部實體。他們被聘來模擬可能攻擊者的行為和技術,使之看起來盡可能真實。
比如說,該團隊可能假裝快遞員進入公司大樓,植入某設備以便進行外部訪問(試想HTTP、HTTPS或DNS所用80、443、53端口)。他們還可以嘗試社會工程、網絡釣魚、語音電話釣魚,或者直接假冒公司職員。
與之對應的,就是藍隊,負責阻止這些模擬攻擊的內部安全團隊。不過,越來越多的公司在預演中不再使用特意組建的藍隊。他們的想法是:通過查看自身安全團隊在無準備情況下對模擬攻擊的反應,可以更切實地獲悉其真實防御能力。
此類測試的最終目標,是測試公司安全成熟度,及其檢測和響應攻擊的能力。基于模擬程度、涉及人員和被測試的攻擊類型,這種操練可耗時3或4周。
二、紅隊
表面上,財富500強企業、各國政府,乃至北約十字劍演習進行的此類對抗演習,都有明確的好處。但紅隊卻一直常與滲透測試相混淆。
紅隊今年特別流行。每家公司及其看家護院的安全團隊都搖身一變就成了紅隊專家。很遺憾,安全行業往往先夸下海口拼市場份額,但實際上他們對自己在做的東西毫無概念。紅隊這個概念被很多公司炒作宣傳,但往往也就是個稍微擴展了一點點的滲透測試而已。
紅隊隊員的形象也飽受詬病。紅隊必穿黑色迷彩的觀點遭到某些安全界人士的鄙視,稱根本不是那么回事兒,人們對自己需要什么團隊往往存在誤解。他們是社會工程師,不是被軍隊踢出去的孬兵。紅隊需要明確的定義,不能毫無作用地被困在中層管理之后。
因此,或許紅隊成熟度各公司差異甚大就不足為奇了。站在技術角度,從非常好到很糟糕都有。但最主要的問題是,公司企業不明白自己想要從紅隊得到什么,不知道自己要模擬什么。
于是,可遵循以下6步,來樹立正確的紅隊觀。
1. 理解你想要干什么
首先就是要弄清你想做什么。如果組紅隊,你就是在試圖模擬一場可能的攻擊,也就是說攻擊者必須將自己的攻擊調整成他們要模擬的對象。作為將此任務承包給外部公司的負責人,只與理解了該原則的公司合作是十分關鍵的。同樣,防御者也必須有合適的工具和信息,就像在面對一場真實攻擊時一樣。
公司企業最好考慮清楚自己想要從紅隊得到什么。對沒有成熟網絡安全策略的公司而言,紅隊不是太適合。但是,如果實現了防御措施,那么紅隊測試就應是一項經常性工作,具備免疫價值。要確保從紅隊獲得的報告是有價值的,且其中建議在可行的地方都實現之。
紅隊是為自認安全措施已實現完畢只待最終測試的公司準備的。紅隊就是要像真正的對手會做的那樣瞄準公司,以便雙方都能理解、控制公司環境,實現更健壯的安全態勢。
2. 選擇正確的合作伙伴
紅隊組建過程可能會招來不合適的信息安全人員,那些不直接參與改進安全,而是認為攻入公司就是唯一目標的人。建議傾聽紅隊公司陳述,如果不喜歡,直接走開。如果他們沒有說明其服務能帶來什么好處,也沒談你怎么獲得全包性測試,那他們可能就不是你需要的那類測試員。
一支紅隊可多達8人,包含任務策劃者、偵察和物理入侵專家、通信和IT專家、電話釣魚專家等。
查一下所選公司的人員履歷。請他們給出團隊成員姓名。如我們啟用如上所述的精兵隊員策略,那么了解團隊成員就非常關鍵了。這些人是否是行業內的?他們開發工具嗎?做研究嗎?在安全大會上演講過嗎?能給你一種“這人靠譜”的感覺嗎?
團隊領袖必須挑對人!
3. 大驚喜——或許你不需要藍隊
未必總是需要一支藍隊。公司IT和其他部門的全職員工,也可以擔負起修復和改進的責任。有經驗的滲透測試員可從藍隊角度理解攻擊,然后與客戶合作抵御惡意攻擊者。這聽起來挺瘋狂,但確實省錢又便利——就像自己跟自己下棋似的。
4. 全員清晰溝通
紅隊的成功,最終落腳到清晰明了的簡報、無障礙溝通和對紅隊最終效果的理解上。在客戶和請求紅隊行動的公司/內部團隊之間要有清晰而簡明的溝通,客戶必須完全清楚紅隊將要做的,和不和做的事項。
紅隊必須要認識到,自己任務是盡出技術與經驗,利用公司基礎設施中的漏洞侵入公司,給出真實而簡明的總體報告,且這一切要在不被抓到的情況下進行。隊長需對紅隊各方面工作都有經驗,同時還需理解測試會給公司帶來的影響,知道怎樣以最佳方式呈現測試結果來幫助公司改善安全狀況。
5. 準備,準備,還是準備
偵察!做很多很多的偵察。要對被測試公司建立非常準確的視圖,要知道公司方方面面的信息。研究公司本身往往會花去數天時間。舉個例子,如果要假裝工作人員進入大樓,就得先編個假公司以作支持。如果要靠隱形耳機之類小裝置進入,就得戴上這些與記錄攻擊的助手保持聯系。
GSM竊聽器、WiFi微型攝像頭等其他小玩意也得充好電待命。還有可用于遠程攻擊WiFi,或者留在現場以備測試期間及其后遠程訪問的樹莓派。90%的工作都在準備期間完成。
要確保你理解最終目標是什么;確保所有參與者都知道自己的任務,知道測試參數是什么;確保留有聯絡點以防意外/需驗證。基本上,就是要知道你要達到什么效果,以及這將如何助你更加安全。
6. 清理戰場再重來
最后,團隊應從對抗中不斷學習,并在必要的時候重復對抗。從紅隊角度出發,經常性學習是緊跟最新攻擊必需的。因為這基于現實世界威脅,紅隊需要跟上當前真實攻擊者所用的攻擊。從委托紅隊的公司角度出發,在對抗中學習,實現新防御和過程,然后再測師,是十分重要的。這應是一個規律的循環。
若是缺乏紅隊預算的中小型企業,那可以每兩年做一次,中間穿插其他成本更低的工作和培訓。若是跨國公司,那就必須將紅隊測試當成經常性工作來做了——金門大橋上漆的頻率類似。測試可以重復,但每次都應該嘗試不同的攻擊,不同的模式,不同的技術集,甚至不同的測試者。
三、藍隊
為人父母與做安全在很多方面都有共同之處。沒有《父母大全》這種東西。安全萬靈丹也是沒有的。兩種角色都是壓力山大。不過,深入敵人的思維,倒是可能比理解青少年的腦洞要容易一些。
父母,就是想知道自家孩子面對生活中眾多誘惑和困難有多脆弱的藍隊。紅隊——所有可能傷害到孩子的危險,則是那些想要闖入的人。藍隊面臨的更大挑戰,是在不對用戶造成太多限制的情況下,發現可被利用的漏洞,保護自己的領域。
想不妨害到模擬攻擊的測試目的,藍隊就要做大量的準備工作。以下幾步可供參考。
1. 弄清控制措施
對藍隊而言最重要的,是了解自身環境中現有控制措施的能力,尤其是在網絡釣魚和電話釣魚方面。有些公司還真就直到正式對抗了才開始找自家網絡中的防護措施。
2. 確保能收集并分析數據
因為藍隊的功效基于收集和利用數據的能力,日志管理工具,比如Splunk,就特別重要了。另一塊能力則是知道如何收集團隊動作的所有數據,并高保真地記錄下來,以便在復盤時確定哪些做對了,哪些做錯了,以及如何改進。
3. 使用適合于環境的工具
藍隊所用工具取決于自身環境所需。他們得弄清“這個程序在干什么?為什么它會試圖格式化硬盤?”,然后加上封鎖非預期動作的技術。測試該技術是否成功的工具,則來自紅隊。
4. 挑有經驗的人加入團隊
除了工具,藍隊最有價值的東西,是隊員的知識。隨著經驗的增長,你會開始想“我見過這個,那個也見過,他們做了這個,還做了那個,但我想知道這里是否有個漏洞。”如果你只針對已知的東西做準備,那你對未知就毫無準備。
5. 假定會有失敗
提問,是通往探索未知的寶貴工具。別止步于為今天已存在的東西做準備,要假定自己的基礎設施中將會有失敗。
最好的思路,就是假設終將會有漏洞,沒什么東西是100%安全的。
京公網安備 11010502049343號