動態(tài)專區(qū)

九維團(tuán)隊-紫隊（優(yōu)化）| 紫隊劇本: 安全測試的威脅建模（四）

閱讀量：次 文章來源：安恒信息安全服務(wù)

寫在前邊

1. 本文原文為Felisha Mouchous于2020年發(fā)表的《Purple Team Playbook: Threat Modeling for Security Testing》，本文為譯者對相關(guān)內(nèi)容的翻譯及實踐記錄，僅供各位學(xué)術(shù)交流使用。另出于易讀性考慮，對部分字句有所刪改。

2. 如各位需要引用，請做原文應(yīng)用，格式如下所示：
[序號]Felisha Mouchous,‘Purple Team Playbook: Threat Modeling for Security Testing’, 2020.

3.因文章整體內(nèi)容較長，完整內(nèi)容將會在本公眾號拆分為多篇內(nèi)容分別發(fā)出。本文為該系列的第四篇。

往期內(nèi)容請參見合集紫隊劇本: 安全測試的威脅建模

2.4 安全測試

在前文中，我們介紹了不同類型的威脅模型以及當(dāng)前可用于威脅建模的工具，本節(jié)將會繼續(xù)介紹安全測試中涉及的相關(guān)內(nèi)容，并將重點介紹選擇組織可以使用的安全測試主題和工具。

2.4.1

紅隊

來源于冷戰(zhàn)、軍方中的“紅隊”一詞經(jīng)常被用來描述一種跳出框線思考并能夠預(yù)測和模擬對抗行為的方式。標(biāo)準(zhǔn)滲透測試旨在發(fā)現(xiàn)和利用范圍內(nèi)目標(biāo)的漏洞，并遵循PTES等方法，而“紅隊”則更注重目標(biāo)，將組織作為一個整體。北約合作網(wǎng)絡(luò)防御卓越中心的一份報告將網(wǎng)絡(luò)紅隊定義為四個主要階段（圖9）。

圖 9: 北約紅隊的四個主要階段

要進(jìn)行紅隊測試，測試人員需要簽署一份參與規(guī)則合同，以在出現(xiàn)問題時保護(hù)他們。作為這項測試的一部分，內(nèi)部安全運(yùn)營團(tuán)隊（也稱為“藍(lán)隊”）即一個組織的捍衛(wèi)者，將事先不知道紅隊的測試。目標(biāo)是觀察藍(lán)隊對紅隊攻擊的反應(yīng)，這對組織是有益的，因為它既測試了組織防守方的反應(yīng)，也確定了他們需要改進(jìn)的領(lǐng)域。

紅隊將會使用全面的攻擊方法，因為紅隊成員可以使用任何必要的手段，如利用流程、人員或系統(tǒng)來獲得訪問權(quán)限。例如，紅隊測試人員可以使用社會工程學(xué)讓員工點擊鏈接，以便測試人員在組織網(wǎng)絡(luò)上具有立足點。在正常的滲透測試中不允許進(jìn)行此類活動，因為范圍會更為嚴(yán)格，并會限制這些活動。紅隊測試可能需要很長時間來進(jìn)行，而且成本高昂，因為一個組織很可能需要雇傭具有相關(guān)經(jīng)驗的第三方來確保紅隊測試成功。

2.4.2

紫隊

紫隊通過讓紅隊和藍(lán)隊在測試中緊密合作，分別攻擊和防守特定目標(biāo)，從而提高了紅隊和藍(lán)隊的技能和流程。紅隊像往常一樣進(jìn)行測試，而藍(lán)隊將和紅隊共同努力提高測試結(jié)果。紫隊可以被視為更具成本效益，因為它可以識別進(jìn)入組織的許多途徑，并允許藍(lán)隊根據(jù)紅隊模擬的攻擊創(chuàng)建防御。這也有助于建立兩個團(tuán)隊之間的合作關(guān)系，以便他們相互推動，為組織的利益發(fā)展自己的能力。

為了使紫隊測試取得成功，組織需要了解他們想要從測試中得到什么，并充分了解組織的安全態(tài)勢。他們還需要具有相關(guān)紅藍(lán)團(tuán)隊經(jīng)驗的員工，以便能夠模擬和檢測攻擊。

2.4.3

攻擊者

在滲透測試的威脅建模階段，測試人員需要了解什么類型的攻擊者可能針對某個組織，以及他們的能力是什么。不同攻擊者有興趣攻擊某個組織的動機(jī)會有很大差異。攻擊者可分為“腳本小子”、“黑客行動主義者”、“民族國家”、“有組織犯罪”、“內(nèi)部人士”和高級持久威脅（APT）等群體。

“腳本小子”通常是低級別的攻擊者，他們攻擊組織的動機(jī)是為了名聲和認(rèn)可。TalkTalk公司是“腳本小子”造成的數(shù)據(jù)泄露的一個很好的例子，因為他們被SQL注入攻擊了，這是一種眾所周知的web應(yīng)用程序攻擊，已經(jīng)存在多年。此攻擊是OWASP Top 10 web應(yīng)用程序攻擊的一部分。該故事強(qiáng)調(diào)了一點，即組織應(yīng)該首先正確掌握安全基礎(chǔ)知識，否則他們可能輕易成為低技能攻擊者的目標(biāo)。

另一個攻擊者團(tuán)體是“有組織犯罪”，他們的動機(jī)主要是金融方向，就像銀行劫匪對傳統(tǒng)銀行采取行動一樣。金融機(jī)構(gòu)尤其有興趣保護(hù)自己免受這一行為的影響，因為資金損失可能會對其業(yè)務(wù)和聲譽(yù)產(chǎn)生影響。

“民族國家”攻擊者可能是所有行為者中最復(fù)雜的，因為他們由外國政府資助，有政治動機(jī)。

“內(nèi)部人士”攻擊者則可能是最難防范的行為人之一，因為內(nèi)部人士的定義是在一個組織中處于受信任的位置。他們也是一個難對付的威脅體，因為他們的動機(jī)可能不同，可能是出于經(jīng)濟(jì)動機(jī)，可能是被勒索，也可能只是粗心大意。一個組織可以通過背景調(diào)查來保護(hù)自己，例如查看其財務(wù)歷史或利益沖突。

“高級持久威脅（APT）”攻擊者被認(rèn)為是擁有大量資源和專業(yè)知識的復(fù)雜參與者。這個攻擊者的其他特點包括有一個特殊的目標(biāo)，需要他們保持堅持不懈，因此他們會使用隱身和躲避技術(shù)來實現(xiàn)這個目標(biāo)。這一攻擊者通常是民族國家或有組織犯罪，因為他們通常具有必要的成熟度和資金，有能力在目標(biāo)系統(tǒng)上保持持久化。

2.4.4

網(wǎng)絡(luò)殺傷鏈

LockheedMartin公司建立的網(wǎng)絡(luò)殺傷鏈（Cyber Kill Chain）提供了一種建模敵方行為的方法，以便組織能夠檢測和防止攻擊者的活動，該鏈顯示了攻擊者為實現(xiàn)其目標(biāo)必須完成的活動。殺傷鏈由圖10所示的七個階段組成。殺傷鏈?zhǔn)秋@示APT攻擊階段的流行方式，因為它提供了每個階段的技術(shù)信息以及如何防御攻擊的指導(dǎo)。

圖 10: Lockheedmartin 網(wǎng)絡(luò)殺傷鏈

2.4.5

Mitre ATT&CK 框架

Mitre ATT&CK框架是基于真實世界觀察的全球都可訪問的對抗戰(zhàn)術(shù)和技術(shù)知識庫，可用于組織中的威脅建模，可歸類為攻擊庫。該框架廣泛應(yīng)用于安全行業(yè)，組織可以根據(jù)該框架中的數(shù)據(jù)組建紅隊。

在圖11中，我們展示了框架中包含的ATT&CK戰(zhàn)術(shù)的示例。該框架包括對手細(xì)節(jié)、戰(zhàn)術(shù)、技術(shù)和緩解措施。Mitre已經(jīng)創(chuàng)建了許多工具來補(bǔ)充其框架，例如，他們有一個攻擊導(dǎo)航器，允許用戶通過從其框架中提取數(shù)據(jù)來計劃安全測試。

圖 11: Mitre ATT&CK戰(zhàn)術(shù)類別

2.4.6

安全測試的挑戰(zhàn)

要成功地進(jìn)行安全測試會面臨許多挑戰(zhàn)。例如，一種觀點認(rèn)為，傳統(tǒng)的滲透測試并沒有考慮到整個組織的安全態(tài)勢以及它們?nèi)绾螒?yīng)對攻擊。這導(dǎo)致需要進(jìn)行紅隊測試，因為這類測試著眼于整個組織及其脆弱之處，并測試事件響應(yīng)能力。此外，還發(fā)現(xiàn)組織中的防守隊員（藍(lán)隊）和攻擊隊員（紅隊）之間可能存在脫節(jié)。這是一個問題，因為如果威脅沒有得到適當(dāng)?shù)膫鬟_(dá)，就無法適當(dāng)?shù)鼐徑狻＿@支持了紫隊測試的需要，在紫隊測試中，兩個團(tuán)隊共同保護(hù)一個組織。

一篇關(guān)于滲透測試是否應(yīng)標(biāo)準(zhǔn)化的論文提出了滲透測試的質(zhì)量問題。作者發(fā)現(xiàn)，測試公司并不總是提供足夠的測試結(jié)果信息。而準(zhǔn)確地解釋這個問題是如何產(chǎn)生的，以及它是如何成為一個問題的，這才將更為有益。提供更多信息將有助于組織更好地理解和解決未來版本中的問題。

與此相關(guān)，作者還在他們的研究中發(fā)現(xiàn)，滲透測試公司不愿意提供問題的概念證明，這可能是因為他們希望我們需要為重新測試支付額外費(fèi)用。然而，這會產(chǎn)生負(fù)面影響，因為組織不太可能真正解決問題，他們沒有完全理解這個問題，或者自己很難復(fù)現(xiàn)這個問題。

組織愿意支付多少費(fèi)用和測試公司愿意提供多少數(shù)據(jù)之間似乎存在平衡。同樣重要的是，選擇合適的測試公司，其測試人員需要具有公認(rèn)的資質(zhì)，否則有可能無法獲得具有有價值發(fā)現(xiàn)的高質(zhì)量測試。無法保證測試人員會發(fā)現(xiàn)所有問題，這就是為什么將來需要重新測試系統(tǒng)。從威脅建模的角度來看，如果一個組織過于依賴第三方測試人員，并且不完全了解他們的威脅，這可能會對組織造成損害。

2.4.7

現(xiàn)有安全測試工具分析

在上面的內(nèi)容中，我們討論了不同類型的安全測試，并深入研究了滲透測試和紅隊和紫隊測試。在表3中，我們選擇了一系列開源和商業(yè)工具，用于對系統(tǒng)進(jìn)行安全測試和威脅建模。

基于我們的研究，總結(jié)了該工具是什么以及該工具的潛在優(yōu)勢和劣勢。當(dāng)然，有許多工具可用于安全測試目的，我們選擇了一些適合本文主題的工具；威脅建模和安全測試。

表 3: 相關(guān)安全測試工具摘要

工具	描述	優(yōu)點	缺點
Attack-Tools	Attack-Tools 是一個 GitHub 開源項目，它使用 Mitre ATT&CK 框架來創(chuàng)建對手仿真規(guī)劃工具。它提供了一個我們可以計劃的工具以及我們可以從中查詢的數(shù)據(jù)模型。其目的是幫助人們使用他們創(chuàng)建的數(shù)據(jù)模型將自己的工具與 mitre 集成。	數(shù)據(jù)模型對于查詢數(shù)據(jù)很有用，因為它使用 mitre 攻擊框架。	規(guī)劃工具需要定制以用于組織。它也是一個開源工具，因此文檔有限且沒有相關(guān)的商業(yè)支持。
Caldera	Caldera 在 Mitre 創(chuàng)建的自動紅隊對抗仿真系統(tǒng)中，他們使用他們的 ATT&CK 框架作為他們的對手模型，并提交了該工具的論文。Mitre發(fā)布了關(guān)于如何設(shè)置和使用該工具的詳細(xì)文檔。	此工具對藍(lán)隊有好處，因為他們可以自動化攻擊者行為，這反過來又會向他們顯示測試其檢測能力以及回歸測試其功能所需的遙測數(shù)據(jù)。	設(shè)置和使用此工具有一個陡峭的學(xué)習(xí)曲線。它也是一個開源工具；因此，沒有可用的商業(yè)支持。因此，對于組織來說，將其部署在其網(wǎng)絡(luò)上可能是一個問題。
Mitre Attack navigator/ Mitre Caret	Mitre有幾個開源工具，用戶可以使用這些工具來利用他們的ATT&CK框架。其中之一是ATT&CK導(dǎo)航器，它允許用戶選擇他們想要涵蓋的技術(shù)和策略，并將其導(dǎo)出為JSON或excel文件。另一個工具是Mitre Caret，它利用了來自其分析存儲庫（CAR）和ATT&CK框架的數(shù)據(jù)。CARET用于培養(yǎng)對防御能力的理解，并有助于其開發(fā)和使用。它目前是每個人都可以使用的概念驗證應(yīng)用程序。	安全測試人員可以使用這些工具來計劃他們的測試，它們是開源工具，因此他們沒有任何與使用它們相關(guān)的成本。這些工具由業(yè)界知名的 Mitre 創(chuàng)建，因此數(shù)據(jù)可以被視為值得信賴的。	這些工具需要定制才能在組織中使用，它本身更像是一個參考工具。
Palo Alto playbook	這個開源工具由Palo Alto網(wǎng)絡(luò)創(chuàng)建，它是一個對手行為的劇本查看器，映射到Mitre ATT&CK框架。它使用Cyber Kill Chain組織每個APT的技術(shù)和戰(zhàn)術(shù)，并允許用戶選擇和查找有關(guān)查看器的更多信息。	其主要目的是創(chuàng)建一個對手劇本，以幫助組織的捍衛(wèi)者了解對手的工作方式。然后，他們可以開發(fā)檢測和響應(yīng)APT活動的能力。	它不是為某個組織量身定制的，而是一種通用的參考工具，用戶可以使用它來查找某些APT威脅參與者的信息。
Vectr.io	Vectr是一個紫隊威脅模擬工具，由SecurityRisk Advisors公司創(chuàng)建，它提供了一個免費(fèi)的開源社區(qū)版，供每個人使用。Digital Shadows公司審查了該工具，發(fā)現(xiàn)用戶可以創(chuàng)建完全可定制的測試用例，并將對手行為模擬映射到Mitre ATT&CK框架。該工具可用于規(guī)劃、跟蹤和監(jiān)控組織中的所有紫隊活動。	該工具是開源的，有助于組織進(jìn)行紫隊評估。它是可定制的，因此我們可以使用工具中所需的任何攻擊庫或測試用例。	當(dāng)用戶第一次使用產(chǎn)品時，存在學(xué)習(xí)曲線。它也是一個開源產(chǎn)品，因此組織可以選擇使用提供商業(yè)支持和指導(dǎo)的紫隊工具。
Scythe.io	Scythe是一種商業(yè)紫隊模擬工具，其功能與Vectr非常相似，并使用Mitre ATT&CK框架模擬攻擊者行為。	這是一個商業(yè)工具，因此將提供文檔和支持。它還幫助團(tuán)隊模擬紫隊評估并跟蹤結(jié)果。	該工具涉及成本，因此需要將其考慮在內(nèi)。此外，定制工具以滿足組織需求可能會產(chǎn)生額外成本。
XM Cyber	XM Cyber提供了一種商業(yè)工具，組織可以使用它來自動化其紅隊活動。它允許用戶創(chuàng)建和跟蹤測試，并同時運(yùn)行測試。	該工具允許組織輕松地自動化紅隊活動，以便他們能夠識別測試中的差距。這也有助于紫隊測試。	該工具涉及成本，因此需要將其考慮在內(nèi)。

（未完待續(xù)）

關(guān)于安恒信息安全服務(wù)團(tuán)隊

安恒信息安全服務(wù)團(tuán)隊由九維安全能力專家構(gòu)成，其職責(zé)分別為：紅隊持續(xù)突破、橙隊擅于賦能、黃隊致力建設(shè)、綠隊跟蹤改進(jìn)、青隊快速處置、藍(lán)隊實時防御，紫隊不斷優(yōu)化、暗隊專注情報和研究、白隊運(yùn)營管理，以體系化的安全人才及技術(shù)為客戶賦能。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>