使用 Caldera 进行对手模拟的新手指南

目标受众

本篇博文的目标读者是对网络安全概念和术语有基本了解并希望扩展对手模拟知识的个人。本文深入探讨了使用 Caldera 框架进行对手模拟的细节，探索了它带来的好处。通过迎合初学者到中级读者的需求，本篇博文旨在在为新手提供基本信息和提供有价值的见解和技术之间取得平衡，这些见解和技术可以使已经熟悉网络安全基础知识的个人受益。

什么是对手模拟

对手模拟是一种模拟已知高级持续性威胁 (APT) 所采用的战术、技术和程序 (TTP) 的方法，目的是识别组织安全防御中的漏洞。通过模拟现实世界的攻击和事件响应技术（例如漏洞利用和网络内的横向移动），网络安全团队可以更好地了解其安全状况并确定需要改进的领域。

对手模拟的必要性

对手模拟可以帮助组织测试其针对现实威胁的安全防御能力。模拟提供的一些好处包括：

• 识别漏洞：对手模拟可帮助组织识别安全防御中的漏洞、弱点或错误配置，而这些漏洞、弱点或错误配置可能无法通过传统安全测试检测到。这些信息可以通过创建新的警报和规则来增强现有的检测机制，这些警报和规则在检测到类似活动时触发。模拟结果还可以作为确定缓解和修补活动优先级的指南。

• 改进安全控制：通过识别安全防御中的弱点，组织可以做出明智的决策，决定如何改进安全控制。这可以包括实施新的安全技术、更新安全策略或为员工提供额外的安全意识培训。

• 衡量安全有效性：对手模拟使组织能够在受控环境中评估其安全防御的有效性。通过分析模拟结果，组织可以更清楚地了解其事件响应计划在现实场景中的运行情况。如果发现任何差距或效率低下，则可以根据新数据完善该计划。

• 领先于新兴威胁：对手模拟演习可以帮助组织通过测试其安全防御措施是否能够抵御新的和不断发展的攻击技术，从而领先于新兴威胁。这可以帮助组织为未来的威胁做好准备，并确保其安全防御措施能够有效防御这些威胁。

模拟与仿真

模拟涉及创建特定系统或环境（例如操作系统、网络或应用程序）的副本。它提供了更真实的测试环境，可以帮助识别漏洞并以更准确、更可靠的方式测试安全控制的有效性。但是，创建模拟环境可能耗时且耗费资源，并且可能无法始终复制真实环境的每个方面。

另一方面，模拟涉及创建一个模拟真实攻击的假设场景。它通常设置起来更快、更容易，并且可以用来测试响应计划和程序，而无需复杂的模拟环境。然而，模拟可能并不总是提供真实攻击场景的完全准确表示，并且结果可能不如通过模拟获得的结果可靠。

Caldera 框架

MITRE 的 Caldera 项目是一个开源平台，允许组织自动模拟现实世界 APT 使用的策略、技术和程序 (TTP)。该平台采用模块化设计，这意味着可以根据组织的特定需求进行定制。更多信息可以在官方文档和GitHub上找到。红队操作员可以通过手动执行 TTP 来从中受益，蓝队操作员可以运行自动事件响应操作。Caldera 还具有高度的可扩展性，这意味着它可以与其他安全工具集成，以提供组织安全防御的全面视图。此外，它建立在MITRE ATT&CK框架之上，该平台从中汲取了所有策略、技术和程序 (TTP)。

该框架最常见的用例包括但不限于：

• 自主红队交战：此案例用于模拟已知对手概况的 TTP，以发现基础设施中的漏洞、测试当前实施的防御措施并训练操作员检测不同的威胁。

• 手动红队交战：这种情况允许红队操作员替换或扩展场景的攻击能力，让他们对当前的模拟拥有更多的自由和控制权。

• 自主事件响应：蓝队操作员使用此案例执行自动事件响应操作，以帮助他们识别其他安全解决方案可能无法检测和/或阻止的 TTP 和威胁。

Caldera 由两个主要部分组成：

• 核心系统，即框架的代码，包括带有 REST API 和 Web 界面的异步命令和控制 (C2) 服务器。

• 插件是独立的存储库，用于扩展核心框架功能并提供附加功能。示例包括代理、GUI