動態(tài)專區(qū)

九維團隊-紫隊（優(yōu)化）| 紫隊劇本: 安全測試的威脅建模（八）

閱讀量：次 文章來源：安恒信息安全服務(wù)

寫在前邊

1. 本文原文為Felisha Mouchous于2020年發(fā)表的《Purple Team Playbook: Threat Modeling for Security Testing》，本文為譯者對相關(guān)內(nèi)容的翻譯及實踐記錄，僅供各位學術(shù)交流使用。另出于易讀性考慮，對部分字句有所刪改。

2. 如各位需要引用，請做原文應(yīng)用，格式如下所示：
[序號]Felisha Mouchous,‘Purple Team Playbook: Threat Modeling for Security Testing’, 2020.

3.因文章整體內(nèi)容較長，完整內(nèi)容將會在本公眾號拆分為多篇內(nèi)容分別發(fā)出。本文為該系列的第八篇。

往期內(nèi)容請參見合集紫隊劇本: 安全測試的威脅建模

六、紫隊劇本討論

在本節(jié)中，我們將討論紫隊劇本框架應(yīng)用于安全測試場景時如何處理威脅建模中的問題，此外，我們還將討論PTP框架和其他應(yīng)用程序的局限性。

6.1 紫隊劇本框架討論

在對本文進行背景研究的同時，我們發(fā)現(xiàn)紅隊和藍隊缺乏可在其組織內(nèi)部使用的威脅建?？蚣?。紫隊劇本通過提供一個框架來解決這一問題，該框架可用于為組織提供相關(guān)的攻擊和防御數(shù)據(jù)。

PTP現(xiàn)在仍處于原型階段，我們已經(jīng)創(chuàng)建了框架的數(shù)據(jù)可視化部分，并模擬了框架所需的數(shù)據(jù)饋送和數(shù)據(jù)模型。PTP正在解決一個復雜的問題，即組織擁有許多安全工具，但無法訪問集中知識庫中的所有數(shù)據(jù)，因此可能無法完全了解需要測試的內(nèi)容。

在一個組織中，使用這個框架需要一些時間和內(nèi)部資源才能找到合適的數(shù)據(jù)源并將其輸入紫隊數(shù)據(jù)集。同時，自動化數(shù)據(jù)饋送會使數(shù)據(jù)維護成本減少。然后，相關(guān)團隊可以訪問這些數(shù)據(jù)，他們可以使用數(shù)據(jù)可視化工具以任何方式查看數(shù)據(jù)。PTP的主要目的是提供一個框架，供內(nèi)部紅藍隊使用，以確定需要測試的內(nèi)容。

威脅建模的一個主要挑戰(zhàn)是，模型很難維護，且取決于建模用戶的能力。PTP框架不能取代專業(yè)的紅隊或藍隊測試人員的經(jīng)驗；然而，它可以提供一個集中的知識庫，其中包含可用于安全測試建模的可靠數(shù)據(jù)。

我們承認，有一些工具具有類似的功能，但成本高昂，因為大多是商業(yè)工具。PTP可以被組織用作了解其安全數(shù)據(jù)的基礎(chǔ)。如果一個組織決定購買安全測試或自動化工具，那么他們可以根據(jù)PTP做出更明智的決定。較小的組織可能無法證明商業(yè)工具成本的合理性，因此PTP為他們提供了參考。

安全測試的一個挑戰(zhàn)是，在一個組織中，紅隊和藍隊之間存在脫節(jié)。PTP允許紅隊和藍隊訪問彼此的數(shù)據(jù)，以便了解已測試的內(nèi)容和需要測試的內(nèi)容。這鼓勵了創(chuàng)新，因為紅隊將知道攻擊無法成功的原因，因此他們將研究和嘗試新的攻擊手段。這也有助于藍隊制定新的防御措施，如SIEM用例，這些用例將根據(jù)攻擊者可能嘗試的技術(shù)來識別行為。

PTP還允許用戶俯瞰整個組織，以便他們判斷漏洞的影響及其對資產(chǎn)的影響。例如，在一次測試中發(fā)現(xiàn)了一個web漏洞，我們可以使用PTP來了解組織的其他web應(yīng)用程序以及它們是否受到影響。

PTP解決了STRIDE模型的一些問題，在該模型中，它被認為缺乏粒度，并且沒有提供威脅緩解措施。PTP使用已建立的攻擊庫（如Mitre ATT&CK框架）提供所需的粒度級別，還提供緩解措施和跟蹤數(shù)據(jù)，以了解組織是否已解決問題。

PTP應(yīng)用程序查看器解決了攻擊樹面臨的挑戰(zhàn)，即攻擊樹可能變得無法管理。通過PTP中殺傷鏈或Mitre框架中映射的數(shù)據(jù)，用戶可以清楚地了解已測試的內(nèi)容以及組織中存在的風險。用戶還可以使用PTP作為威脅建模工具（如Seaponge）的數(shù)據(jù)源。

根據(jù)PTES，滲透測試威脅建模沒有推薦使用的現(xiàn)成的模型，因此PTP中的數(shù)據(jù)可以與其他模型互換使用。例如，它可以用于填充鉆石模型的數(shù)據(jù)，通過在PTP中提供高質(zhì)量的數(shù)據(jù)，分析師可以將這些數(shù)據(jù)使用于其他模型，可確保他們正在正確地識別威脅。

6.2 POC討論

在前文中，我們研究了兩種安全測試場景，并在測試的威脅建模階段使用PTP框架。出于這些場景的目的，我們只查看了測試的威脅建模階段，并使用數(shù)據(jù)可視化工具“Tableau”查看PTP數(shù)據(jù)。

在第一個測試場景中，我們進行了一個web應(yīng)用程序的傳統(tǒng)滲透測試，在這樣的常規(guī)測試中，測試人員將使用他們自己儲備的測試知識以及從相關(guān)業(yè)務(wù)人員處獲得的數(shù)據(jù)。根據(jù)我們自己的經(jīng)驗，測試所需的相關(guān)數(shù)據(jù)將來源于不同的地方，例如之前的測試結(jié)果、資產(chǎn)數(shù)據(jù)和威脅數(shù)據(jù)。

此外，在傳統(tǒng)的滲透測試中，藍隊通常不會參與，因此我們不知道應(yīng)用程序的所有安全控制措施。PTP允許測試人員在集中知識庫找到測試所需的所有相關(guān)數(shù)據(jù)，他們還可以查看藍隊數(shù)據(jù)，這增加了測試的價值。因為這是一個正常的滲透測試，所以目標更多的是確保應(yīng)用程序是安全的，因此測試范圍僅限于應(yīng)用程序和支撐基礎(chǔ)設(shè)施。

總的來說，我們認為PTP可以幫助傳統(tǒng)的滲透測試，因為它為所有用戶提供了一個集中的數(shù)據(jù)源，這應(yīng)該確保每個用戶在PTP中定義威脅時以一致的方式建模。

在第二個場景紫隊測試中，我們遵循紫隊測試流程。作為測試的一部分，紅隊和藍隊可以會面查看PTP，以了解哪些已經(jīng)測試，哪些需要測試。在這個場景中，我們專門研究了APT用于進入金融機構(gòu)的魚叉釣魚技術(shù)。

PTP提供了已經(jīng)測試的數(shù)據(jù)以及已經(jīng)有藍隊防御控制的相關(guān)數(shù)據(jù)，這定義了本次所需要的測試內(nèi)容。我們發(fā)現(xiàn)，PTP還可以讓我們了解用戶點擊網(wǎng)絡(luò)釣魚鏈接的內(nèi)部威脅，因為我們可以存儲網(wǎng)絡(luò)釣魚模擬數(shù)據(jù)。這為測試增加了價值，因為我們可以發(fā)現(xiàn)哪些技術(shù)有效，以及深刻了解如果有大量用戶點擊釣魚電子郵件對組織的風險。我們在模擬測試時發(fā)現(xiàn)，關(guān)聯(lián)內(nèi)部數(shù)據(jù)可以讓我們預測攻擊者未來的行為。這些小型測試場景旨在展示PTP如何為普通滲透測試以及紫隊測試增加價值。

在本文的威脅建模簡介中，我們談到了在威脅建模時讓用戶像攻擊者一樣思考的困難。PTP 可以通過測試攻擊者技術(shù)來幫助紅隊和藍隊測試人員獲得相關(guān)經(jīng)驗，隨著時間的推移，他們將開始注意到行為模式。這應(yīng)該有助于鼓勵組織中的創(chuàng)新，因為測試人員可能會想到其他方法來攻擊。這對組織有利，因為他們可以幫助在內(nèi)部培訓他們的測試人員，這樣他們就不那么依賴第三方測試人員，并且組織會更好地檢測到攻擊行為。

6.3 限制

為了使 PTP 正常工作，需要有一種方法可靠地從現(xiàn)有系統(tǒng)中獲取數(shù)據(jù)并確保數(shù)據(jù)格式正確。這會產(chǎn)生數(shù)據(jù)不兼容的問題。大型組織有許多數(shù)據(jù)源，因此可能無法從我們需要的每個來源或幾乎所有來源獲取數(shù)據(jù)。在這種情況下，需要做出決定，優(yōu)先考慮某些數(shù)據(jù)源的重要性以及它將如何幫助PTP整體。

此外，某些系統(tǒng)可能會出現(xiàn)安全問題，因為需要適當識別和管理訪問權(quán)限，因此需要關(guān)注誰可以訪問 PTP 數(shù)據(jù)。用戶訪問藍隊數(shù)據(jù)也可能存在問題，組織希望將這些安全控制的知識僅限藍隊掌握，因為組織擔心“內(nèi)部”攻擊者。為了使框架發(fā)揮作用，應(yīng)該培養(yǎng)紅隊和藍隊之間的良好關(guān)系，以便他們之間建立信任。

此外，組織需要在執(zhí)行層面參與框架建立，以確保有資金和時間來建立框架。有經(jīng)驗的人員還需要監(jiān)督框架的設(shè)置，以確保獲得正確的數(shù)據(jù)并將其轉(zhuǎn)換為數(shù)據(jù)庫，并且有足夠的訪問控制機制。

鑒于我們只測試了PTP的概念驗證版本，這并不能真實地說明該框架將如何在真正的組織中實施。我們在POC中使用了有限數(shù)量的模擬數(shù)據(jù)，PTP還需要在真實組織中作為POC進行測試，以了解框架的限制在哪里，以及是否需要對框架進行更改。

當然，每個組織的工作方式都不同，因此PTP可以作為一個指南，以實現(xiàn)紫隊威脅建模的目標。就PTP的有效性而言，我們承認劇本中可能有太多的信息，這可能會讓用戶信息過載。在使用攻擊庫時也是如此，因此有必要仔細使用劇本中需要的數(shù)據(jù)建模。

我們發(fā)現(xiàn)有許多論文涉及威脅建模和自動化安全測試，PTP可以從自動化的紫隊活動的安全測試部分中受益。例如，一個組織可以購買一個自動化工具，使其能夠進行紫隊測試，并將PTP用作定義測試的數(shù)據(jù)源。

6.4 其他應(yīng)用程序

PTP可以用于其他目的，而不僅僅是安全測試。它可以用于教育目的，例如紅隊和藍隊培訓。開放式攻防平臺為模擬網(wǎng)絡(luò)攻防實戰(zhàn)提供了一個開源平臺。PTP可以為該平臺提供數(shù)據(jù)，以便在該平臺中模擬藍隊的用戶可以獲得有關(guān)環(huán)境當前狀態(tài)的一些信息。

從本質(zhì)上講，這將是一個劇本，他們可以在模擬攻防實戰(zhàn)時使用、參考來重新強化自己的學習。它還可以用于培訓新員工，因為當他們查看PTP，可以很好地了解組織面臨的威脅和攻擊者技術(shù)的信息。

PTP中的數(shù)據(jù)也可用于識別風險領(lǐng)域，例如，它可以顯示員工的各種屬性。這可用于識別高風險員工，例如，如果他們具有訪問關(guān)鍵系統(tǒng)的高權(quán)限，則需要特別注意他們的密碼合規(guī)性，或者查看他們是否接受了最新的安全培訓。如果組織希望將某些安全流程自動化，也可以使用它來幫助組織。我們研究了一些安全測試工具，例如，PTP數(shù)據(jù)可以被輸入到“Vectr”工具或“Caldera”工具中，用以自動化測試。

七、結(jié)論和未來的工作

在本節(jié)中，我們將評估如何實現(xiàn)本文一開始設(shè)定的目標，我們還將研究未來工作。

7.1 結(jié)論

在本文中，我們開始探索當前的威脅建模方法和工具，以及威脅建模和安全測試之間的關(guān)系。我們發(fā)現(xiàn)，沒有推薦的安全測試模型，完全取決于組織使用哪個模型來確定其威脅。在我們的研究過程中，我們還發(fā)現(xiàn)在紫隊和威脅建模領(lǐng)域沒有很多學術(shù)研究。這是一個組織中的紅隊和藍隊合作測試其系統(tǒng)的方法。

因此，我們著手設(shè)計一個紫隊劇本框架，該框架利用組織現(xiàn)有數(shù)據(jù)進行安全測試。由于組織可以使用任何模型和工具進行威脅建模，因此我們必須建立一個包含有效建模所需所有數(shù)據(jù)的框架。此外，通過利用現(xiàn)有數(shù)據(jù)，從長遠來看，這可以提高成本效益。

在本文中，我們還研究了PTP在傳統(tǒng)滲透測試和紫隊測試中的幫助。我們發(fā)現(xiàn)，通過擁有這個集中的知識庫，我們能夠很容易地發(fā)現(xiàn)測試中的差距，并了解我們的防御措施目前的程度。我們還可以以更有效的方式將數(shù)據(jù)與其他數(shù)據(jù)源關(guān)聯(lián)起來，例如通過使用員工網(wǎng)絡(luò)釣魚培訓記錄來了解網(wǎng)絡(luò)釣魚攻擊風險的影響。PTP需要在一個真實的組織中作為POC進行測試，以便我們充分了解它將帶來的好處，以及是否需要進行優(yōu)化。

我們已經(jīng)實現(xiàn)了我們在本文開始時的目標，即讓組織中的紅隊和藍隊一起工作。正如我們在介紹中所討論的，我們面臨的威脅在不斷演變，組織很難跟上攻擊者的所有技術(shù)和戰(zhàn)術(shù)。

通過允許兩個團隊共享數(shù)據(jù)，我們相信這也鼓勵了創(chuàng)新，因為員工將能夠找到新的方法來嘗試和規(guī)避防御，并提出新的防御能力。這只會使組織受益，因為他們需要員工像攻擊者一樣積極主動，以便保護組織免受攻擊者的侵害。我們還介紹了組織可以用來了解其威脅的威脅模型和工具。我們的 PTP 框架補充了這些工具和模型，并為用戶提供數(shù)據(jù)，以便進行威脅建模。

7.2 未來的工作

我們打算在實際組織中實施PTP，以提高安全測試能力。通過使用 PTP 框架設(shè)計，目標是確定我們需要的適當數(shù)據(jù)，并將 PTP 用作正常測試過程的一部分。這將有助于我們在組織中建立內(nèi)部紫隊能力，并將幫助我們提高進攻和防御能力。如本文所述，我們可以使用 PTP 作為理解安全數(shù)據(jù)的基礎(chǔ)。

在本文中，我們創(chuàng)建了PTP查看器，為用戶提供一個易于使用的應(yīng)用程序，他們可以使用它來代替數(shù)據(jù)可視化工具。還可以將本文中討論的威脅建模工具應(yīng)用于我們的安全測試計劃。PTP 的應(yīng)用程序視圖將通過在殺傷鏈視圖中顯示數(shù)據(jù)來幫助我們將測試結(jié)果傳達給技術(shù)水平較低的用戶。我們希望將PTP 框架和查看器應(yīng)用程序用于教育目的，例如培訓新員工，以及幫助現(xiàn)有員工建立有關(guān)攻擊者技術(shù)的相關(guān)知識。

（完）