亚洲av小说,欧美在线播放一区,免费观看已满十八岁中国电视剧,下面一进一出好爽视频

     

            

            
    
            
        
            數(shù)字經(jīng)濟的安全基石
            
        

        
        
             
            
			
            
            
        
            
    
            

            

            
    
            
        
                                      
                             
            動態(tài)專區(qū)
                             
                                                            
                     
            

        
            
            首頁 > 動態(tài)專區(qū) > 正文

        
            

        
            
             
            
                  
            九維團隊-紫隊(優(yōu)化)| 紫隊劇本: 安全測試的威脅建模(四)
            
                  
            
                      閱讀量:文章來源:安恒信息安全服務
                      
                     
					 
					 					  
                  
            
                  
            
                       
            

            
	
            
		
            
			
            
				
            
					
            
						
            
					
            


            

            
					
            
						寫在前邊
					
            
					
            
						1. 本文原文為Felisha Mouchous于2020年發(fā)表的《Purple Team Playbook: Threat Modeling for Security Testing》,本文為譯者對相關內(nèi)容的翻譯及實踐記錄,僅供各位學術交流使用。另出于易讀性考慮,對部分字句有所刪改。
					
            
					
            
						
            
2. 如各位需要引用,請做原文應用,格式如下所示:
            
[序號]Felisha Mouchous,‘Purple Team Playbook: Threat Modeling for Security Testing’, 2020.
					
            
					
            
						
            
            
					
            

            3.因文章整體內(nèi)容較長,完整內(nèi)容將會在本公眾號拆分為多篇內(nèi)容分別發(fā)出。本文為該系列的第四篇。
            往期內(nèi)容請參見合集紫隊劇本: 安全測試的威脅建模

            

            
					
            
						
            
					
            

            2.4 安全測試
            
					
            
						
            
					
            
					
            
						在前文中,我們介紹了不同類型的威脅模型以及當前可用于威脅建模的工具,本節(jié)將會繼續(xù)介紹安全測試中涉及的相關內(nèi)容,并將重點介紹選擇組織可以使用的安全測試主題和工具。
					
            
					
            
						
            
            
					
            

            
					
            
						2.4.1
					
            


            

            
					
            
						紅隊
					
            


            

            
					
            
						
            
					
            
					
            
						來源于冷戰(zhàn)、軍方中的“紅隊”一詞經(jīng)常被用來描述一種跳出框線思考并能夠預測和模擬對抗行為的方式。標準滲透測試旨在發(fā)現(xiàn)和利用范圍內(nèi)目標的漏洞,并遵循PTES等方法,而“紅隊”則更注重目標,將組織作為一個整體。北約合作網(wǎng)絡防御卓越中心的一份報告將網(wǎng)絡紅隊定義為四個主要階段(圖9)。
					
            
					
            
						
					
            
					
            
						
            
					
            
					
            
						圖 9: 北約紅隊的四個主要階段
					
            
					
            
						
            
            
					
            
					
            
						要進行紅隊測試,測試人員需要簽署一份參與規(guī)則合同,以在出現(xiàn)問題時保護他們。作為這項測試的一部分,內(nèi)部安全運營團隊(也稱為“藍隊”)即一個組織的捍衛(wèi)者,將事先不知道紅隊的測試。目標是觀察藍隊對紅隊攻擊的反應,這對組織是有益的,因為它既測試了組織防守方的反應,也確定了他們需要改進的領域。
					
            
					
            
						
            
            
					
            
					
            
						紅隊將會使用全面的攻擊方法,因為紅隊成員可以使用任何必要的手段,如利用流程、人員或系統(tǒng)來獲得訪問權限。例如,紅隊測試人員可以使用社會工程學讓員工點擊鏈接,以便測試人員在組織網(wǎng)絡上具有立足點。在正常的滲透測試中不允許進行此類活動,因為范圍會更為嚴格,并會限制這些活動。紅隊測試可能需要很長時間來進行,而且成本高昂,因為一個組織很可能需要雇傭具有相關經(jīng)驗的第三方來確保紅隊測試成功。
					
            
					
            
						
            
					
            

            
					
            
						2.4.2
					
            


            

            
					
            
						紫隊
					
            


            

            
					
            
						
            
					
            
					
            
						
					
            
					
            
						紫隊通過讓紅隊和藍隊在測試中緊密合作,分別攻擊和防守特定目標,從而提高了紅隊和藍隊的技能和流程。紅隊像往常一樣進行測試,而藍隊將和紅隊共同努力提高測試結果。紫隊可以被視為更具成本效益,因為它可以識別進入組織的許多途徑,并允許藍隊根據(jù)紅隊模擬的攻擊創(chuàng)建防御。這也有助于建立兩個團隊之間的合作關系,以便他們相互推動,為組織的利益發(fā)展自己的能力。
					
            
					
            
						
            
            
					
            
					
            
						為了使紫隊測試取得成功,組織需要了解他們想要從測試中得到什么,并充分了解組織的安全態(tài)勢。他們還需要具有相關紅藍團隊經(jīng)驗的員工,以便能夠模擬和檢測攻擊。
					
            
					
            
						
            
            
					
            

            
					
            
						2.4.3
					
            


            

            
					
            
						攻擊者
					
            


            

            
					
            
						
            
					
            
					
            
						在滲透測試的威脅建模階段,測試人員需要了解什么類型的攻擊者可能針對某個組織,以及他們的能力是什么。不同攻擊者有興趣攻擊某個組織的動機會有很大差異。攻擊者可分為“腳本小子”、“黑客行動主義者”、“民族國家”、“有組織犯罪”、“內(nèi)部人士”和高級持久威脅(APT)等群體。
					
            
					
            
						
            
            
					
            
					
            
						“腳本小子”通常是低級別的攻擊者,他們攻擊組織的動機是為了名聲和認可。TalkTalk公司是“腳本小子”造成的數(shù)據(jù)泄露的一個很好的例子,因為他們被SQL注入攻擊了,這是一種眾所周知的web應用程序攻擊,已經(jīng)存在多年。此攻擊是OWASP Top 10 web應用程序攻擊的一部分。該故事強調(diào)了一點,即組織應該首先正確掌握安全基礎知識,否則他們可能輕易成為低技能攻擊者的目標。
					
            
					
            
						
            
            
					
            
					
            
						另一個攻擊者團體是“有組織犯罪”,他們的動機主要是金融方向,就像銀行劫匪對傳統(tǒng)銀行采取行動一樣。金融機構尤其有興趣保護自己免受這一行為的影響,因為資金損失可能會對其業(yè)務和聲譽產(chǎn)生影響。
					
            
					
            
						
            
            
					
            
					
            
						“民族國家”攻擊者可能是所有行為者中最復雜的,因為他們由外國政府資助,有政治動機。
					
            
					
            
						
            
					
            
					
            
						“內(nèi)部人士”攻擊者則可能是最難防范的行為人之一,因為內(nèi)部人士的定義是在一個組織中處于受信任的位置。他們也是一個難對付的威脅體,因為他們的動機可能不同,可能是出于經(jīng)濟動機,可能是被勒索,也可能只是粗心大意。一個組織可以通過背景調(diào)查來保護自己,例如查看其財務歷史或利益沖突。
					
            
					
            
						
            
            
					
            
					
            
						“高級持久威脅(APT)”攻擊者被認為是擁有大量資源和專業(yè)知識的復雜參與者。這個攻擊者的其他特點包括有一個特殊的目標,需要他們保持堅持不懈,因此他們會使用隱身和躲避技術來實現(xiàn)這個目標。這一攻擊者通常是民族國家或有組織犯罪,因為他們通常具有必要的成熟度和資金,有能力在目標系統(tǒng)上保持持久化。
					
            
					
            
						
            
					
            

            
					
            
						2.4.4
					
            


            

            
					
            
						網(wǎng)絡殺傷鏈
					
            


            

            
					
            
						
            
					
            
					
            
						LockheedMartin公司建立的網(wǎng)絡殺傷鏈(Cyber Kill Chain)提供了一種建模敵方行為的方法,以便組織能夠檢測和防止攻擊者的活動,該鏈顯示了攻擊者為實現(xiàn)其目標必須完成的活動。殺傷鏈由圖10所示的七個階段組成。殺傷鏈是顯示APT攻擊階段的流行方式,因為它提供了每個階段的技術信息以及如何防御攻擊的指導。
					
            
					
            
						
					
            
					
            
						
            
					
            
					
            
						圖 10: Lockheedmartin 網(wǎng)絡殺傷鏈
					
            
					
            
						
            
					
            

            
					
            
						2.4.5
					
            


            

            
					
            
						Mitre ATT&CK 框架
					
            


            

            
					
            
						
            
					
            
					
            
						Mitre ATT&CK框架是基于真實世界觀察的全球都可訪問的對抗戰(zhàn)術和技術知識庫,可用于組織中的威脅建模,可歸類為攻擊庫。該框架廣泛應用于安全行業(yè),組織可以根據(jù)該框架中的數(shù)據(jù)組建紅隊。
					
            
					
            
						
            
            
					
            
					
            
						在圖11中,我們展示了框架中包含的ATT&CK戰(zhàn)術的示例。該框架包括對手細節(jié)、戰(zhàn)術、技術和緩解措施。Mitre已經(jīng)創(chuàng)建了許多工具來補充其框架,例如,他們有一個攻擊導航器,允許用戶通過從其框架中提取數(shù)據(jù)來計劃安全測試。
					
            
					
            
						
					
            
					
            
						圖 11: Mitre ATT&CK戰(zhàn)術類別
					
            
					
            
						
            
					
            

            
					
            
						2.4.6
					
            


            

            
					
            
						安全測試的挑戰(zhàn)
					
            


            

            
					
            
						
            
					
            
					
            
						要成功地進行安全測試會面臨許多挑戰(zhàn)。例如,一種觀點認為,傳統(tǒng)的滲透測試并沒有考慮到整個組織的安全態(tài)勢以及它們?nèi)绾螒獙?。這導致需要進行紅隊測試,因為這類測試著眼于整個組織及其脆弱之處,并測試事件響應能力。此外,還發(fā)現(xiàn)組織中的防守隊員(藍隊)和攻擊隊員(紅隊)之間可能存在脫節(jié)。這是一個問題,因為如果威脅沒有得到適當?shù)膫鬟_,就無法適當?shù)鼐徑?。這支持了紫隊測試的需要,在紫隊測試中,兩個團隊共同保護一個組織。
					
            
					
            
						
            
            
					
            
					
            
						一篇關于滲透測試是否應標準化的論文提出了滲透測試的質(zhì)量問題。作者發(fā)現(xiàn),測試公司并不總是提供足夠的測試結果信息。而準確地解釋這個問題是如何產(chǎn)生的,以及它是如何成為一個問題的,這才將更為有益。提供更多信息將有助于組織更好地理解和解決未來版本中的問題。
					
            
					
            
						
            
            
					
            
					
            
						與此相關,作者還在他們的研究中發(fā)現(xiàn),滲透測試公司不愿意提供問題的概念證明,這可能是因為他們希望我們需要為重新測試支付額外費用。然而,這會產(chǎn)生負面影響,因為組織不太可能真正解決問題,他們沒有完全理解這個問題,或者自己很難復現(xiàn)這個問題。
					
            
					
            
						
            
            
					
            
					
            
						組織愿意支付多少費用和測試公司愿意提供多少數(shù)據(jù)之間似乎存在平衡。同樣重要的是,選擇合適的測試公司,其測試人員需要具有公認的資質(zhì),否則有可能無法獲得具有有價值發(fā)現(xiàn)的高質(zhì)量測試。無法保證測試人員會發(fā)現(xiàn)所有問題,這就是為什么將來需要重新測試系統(tǒng)。從威脅建模的角度來看,如果一個組織過于依賴第三方測試人員,并且不完全了解他們的威脅,這可能會對組織造成損害。
					
            
					
            
						
            
            
					
            

            
					
            
						2.4.7
					
            


            

            
					
            
						現(xiàn)有安全測試工具分析
					
            

            
					
            
						
					
            
					
            
						在上面的內(nèi)容中,我們討論了不同類型的安全測試,并深入研究了滲透測試和紅隊和紫隊測試。在表3中,我們選擇了一系列開源和商業(yè)工具,用于對系統(tǒng)進行安全測試和威脅建模。
					
            
					
            
						
            
            
					
            
					
            
						基于我們的研究,總結了該工具是什么以及該工具的潛在優(yōu)勢和劣勢。當然,有許多工具可用于安全測試目的,我們選擇了一些適合本文主題的工具;威脅建模和安全測試。
					
            
					
            
						
            
            
					
            
					
            
						表 3: 相關安全測試工具摘要
					
            
					
            
						
						
							
            
								
									工具
								
								
									描述
								
								
									優(yōu)點
								
								
									缺點
								
							
            
							
            
								
									Attack-Tools
								
								
									Attack-Tools 是一個 GitHub 開源項目,它使用 Mitre ATT&CK 框架來創(chuàng)建對手仿真規(guī)劃工具。它提供了一個我們可以計劃的工具以及我們可以從中查詢的數(shù)據(jù)模型。其目的是幫助人們使用他們創(chuàng)建的數(shù)據(jù)模型將自己的工具與 mitre 集成。
								
								
									數(shù)據(jù)模型對于查詢數(shù)據(jù)很有用,因為它使用 mitre 攻擊框架。
								
								
									規(guī)劃工具需要定制以用于組織。它也是一個開源工具,因此文檔有限且沒有相關的商業(yè)支持。
								
							
            
							
            
								
									Caldera
								
								
									Caldera 在 Mitre 創(chuàng)建的自動紅隊對抗仿真系統(tǒng)中,他們使用他們的 ATT&CK 框架作為他們的對手模型,并提交了該工具的論文 。Mitre發(fā)布了關于如何設置和使用該工具的詳細文檔。
								
								
									此工具對藍隊有好處,因為他們可以自動化攻擊者行為,這反過來又會向他們顯示測試其檢測能力以及回歸測試其功能所需的遙測數(shù)據(jù)。
								
								
									設置和使用此工具有一個陡峭的學習曲線。它也是一個開源工具;因此,沒有可用的商業(yè)支持。因此,對于組織來說,將其部署在其網(wǎng)絡上可能是一個問題。
								
							
            
							
            
								
									Mitre Attack navigator/ Mitre Caret
								
								
									Mitre有幾個開源工具,用戶可以使用這些工具來利用他們的ATT&CK框架。其中之一是ATT&CK導航器,它允許用戶選擇他們想要涵蓋的技術和策略,并將其導出為JSON或excel文件。另一個工具是Mitre Caret,它利用了來自其分析存儲庫(CAR)和ATT&CK框架的數(shù)據(jù)。CARET用于培養(yǎng)對防御能力的理解,并有助于其開發(fā)和使用。它目前是每個人都可以使用的概念驗證應用程序。
								
								
									安全測試人員可以使用這些工具來計劃他們的測試,它們是開源工具,因此他們沒有任何與使用它們相關的成本。這些工具由業(yè)界知名的 Mitre 創(chuàng)建,因此數(shù)據(jù)可以被視為值得信賴的。
								
								
									這些工具需要定制才能在組織中使用,它本身更像是一個參考工具。
								
							
            
							
            
								
									Palo Alto playbook
								
								
									這個開源工具由Palo Alto網(wǎng)絡創(chuàng)建,它是一個對手行為的劇本查看器,映射到Mitre ATT&CK框架。它使用Cyber Kill Chain組織每個APT的技術和戰(zhàn)術,并允許用戶選擇和查找有關查看器的更多信息。
								
								
									其主要目的是創(chuàng)建一個對手劇本,以幫助組織的捍衛(wèi)者了解對手的工作方式。然后,他們可以開發(fā)檢測和響應APT活動的能力。
								
								
									它不是為某個組織量身定制的,而是一種通用的參考工具,用戶可以使用它來查找某些APT威脅參與者的信息。
								
							
            
							
            
								
									Vectr.io
								
								
									Vectr是一個紫隊威脅模擬工具,由SecurityRisk Advisors公司創(chuàng)建,它提供了一個免費的開源社區(qū)版,供每個人使用。Digital Shadows公司審查了該工具,發(fā)現(xiàn)用戶可以創(chuàng)建完全可定制的測試用例,并將對手行為模擬映射到Mitre ATT&CK框架。該工具可用于規(guī)劃、跟蹤和監(jiān)控組織中的所有紫隊活動。
								
								
									該工具是開源的,有助于組織進行紫隊評估。它是可定制的,因此我們可以使用工具中所需的任何攻擊庫或測試用例。
								
								
									當用戶第一次使用產(chǎn)品時,存在學習曲線。它也是一個開源產(chǎn)品,因此組織可以選擇使用提供商業(yè)支持和指導的紫隊工具。
								
							
            
							
            
								
									Scythe.io
								
								
									Scythe是一種商業(yè)紫隊模擬工具,其功能與Vectr非常相似,并使用Mitre ATT&CK框架模擬攻擊者行為。
								
								
									這是一個商業(yè)工具,因此將提供文檔和支持。它還幫助團隊模擬紫隊評估并跟蹤結果。
								
								
									該工具涉及成本,因此需要將其考慮在內(nèi)。此外,定制工具以滿足組織需求可能會產(chǎn)生額外成本。
								
							
            
							
            
								
									XM Cyber
								
								
									XM Cyber提供了一種商業(yè)工具,組織可以使用它來自動化其紅隊活動。它允許用戶創(chuàng)建和跟蹤測試,并同時運行測試。
								
								
									該工具允許組織輕松地自動化紅隊活動,以便他們能夠識別測試中的差距。這也有助于紫隊測試。
								
								
									該工具涉及成本,因此需要將其考慮在內(nèi)。
								
							
            
						            
					
            
					
            
						
            
					
            
					
            
						(未完待續(xù))
					
            

            
					
            
						
            
					
            

            
					
            
						
					
            

            
					
            
						
            
					
            


            

            關于安恒信息安全服務團隊
            安恒信息安全服務團隊由九維安全能力專家構成,其職責分別為:紅隊持續(xù)突破、橙隊擅于賦能、黃隊致力建設、綠隊跟蹤改進、青隊快速處置、藍隊實時防御,紫隊不斷優(yōu)化、暗隊專注情報和研究、白隊運營管理,以體系化的安全人才及技術為客戶賦能。

            

            
					
            
						
					
            
					
            
						
					
            

            
					
            
						
					
            
				
            
			
            
		
            
	
            

            
                  
            
                  
                                  
                     
					 
					 
                      關閉
                  
            
                  
            
                       
              
                          	
                       
            
                  
            
             
            
             
        
            

    
            
 



                
                
                    
            	        	        
            客服在線咨詢?nèi)肟?,期待與您交流
                    
                    
                         線上咨詢        
                            
                                    聯(lián)系我們            
                             
            咨詢電話:400-6059-110
                        
                    
                            
                        	            	                	                	            	            	                產(chǎn)品試用	                                    
                            
                                即刻預約免費試用,我們將在24小時內(nèi)聯(lián)系您                
                        
                    
                            
                                    微信咨詢            
                            安恒信息聯(lián)系方式