什么是APT?
高级持续性威胁 (APT) 是一种隐蔽的威胁行为者,通常是民族国家或国家支持的团体,它获得对计算机网络的未授权访问权,并且在很长一段时间内未被发现。
漏洞评估和渗透测试的局限性
漏洞评估
这是最简单的安全评估形式,其主要目标是在网络中尽可能多的系统中识别尽可能多的漏洞。为此攻击者的机器可能被列入白名单,以避免干扰漏洞发现过程。这是有道理的,因为目标是查看网络上的每台主机并单独评估其安全状况,同时向公司提供有关将补救工作重点放在何处的最多信息。
总而言之,漏洞评估侧重于将主机作为单个实体进行漏洞扫描,以便识别安全缺陷并部署有效的安全措施以优先保护网络。大多数工作可以使用自动化工具完成,并由操作员执行,不需要太多技术知识。
例如,如果您要通过网络运行漏洞评估,您通常会尝试扫描尽可能多的主机,但实际上根本不会尝试利用任何漏洞:
渗透测试
除了扫描每台主机的漏洞之外,我们通常还需要了解它们如何影响我们的整个网络。渗透测试允许渗透测试人员通过执行其他步骤来探索攻击者对整个网络的影响,从而增加漏洞评估。
如果我们要使用与之前相同的示例网络执行渗透测试,除了扫描网络上所有主机的漏洞之外,我们还会尝试确认它们是否可以被利用,以显示攻击者可能对网络造成的影响网络:
通过分析攻击者如何在我们的网络中移动,我们还获得了对可能的安全措施绕过的基本了解,以及在一定程度上检测真正的威胁行为者的能力,由于渗透测试的范围通常很广泛,渗透测试人员不太关心在安全设备上大声喧哗或产生大量警报,因为此类项目的时间限制通常需要我们在短时间内检查网络。
高级持续性威胁的诞生
虽然我们提到的传统安全措施涵盖了大多数技术漏洞的发现,但此类流程以及它们可以有效地让公司抵御真正的攻击者的程度存在局限性。此类限制包括:
因此,渗透测试的某些方面可能与真正的攻击有很大不同,例如:
- 渗透测试很吵:
通常,渗透测试人员不会花太多精力试图不被发现。与真正的攻击者不同,他们不介意容易被发现,因为他们已经签约在尽可能多的主机中找到尽可能多的漏洞。 - 非技术攻击媒介可能会被忽略:基于社会工程或物理入侵的攻击通常不包括在测试内容中。
- 放宽安全机制:在进行常规渗透测试时,为了提高效率,渗透测试团队可能会暂时禁用或放宽一些安全机制。虽然这听起来可能违反直觉,但是渗透测试人员检查网络的时间有限。因此,通常不希望他们浪费时间寻找绕过 IDS/IPS、WAF、入侵欺骗或其他安全措施的奇特方法,而是专注于审查关键技术基础设施的漏洞。
另一方面,真正的攻击者不会遵守道德准则,而且他们的行为大多不受限制。如今,最突出的威胁行为者被称为 高级持续威胁 ( APT ),它们是技术娴熟的攻击者群体,通常由国家或有组织的犯罪集团赞助。它们主要针对关键基础设施、金融组织和政府机构。它们之所以被称为持久性,是因为这些组的操作可以在受感染的网络上长时间保持不被发现。
为了提供更现实的安全方法,红队参与应运而生(模拟APT)。
红队参与
为了跟上新出现的威胁(APT),红队参与旨在将重点从常规渗透测试转移到一个过程中,使我们能够清楚地看到我们的防御团队在检测和响应 真正的威胁参与者方面的能力。它们不会取代传统的渗透测试,而是通过专注于检测和响应而不是预防来补充它们。
红队是从军队借来的一个术语。在军事演习中,一组将扮演红队的角色,模拟攻击技术,以测试防御队(通常称为蓝队)对已知对手策略的反应能力 。转化为网络安全领域,红队参与包括模拟真正的威胁参与者的 战术、技术和程序 (TTP), 以便我们可以衡量蓝队对红队的反应有多好,并最终改进任何现有的安全控制。
不过红队的目标通常只有一个,红队将竭尽所能实现目标,同时保持不被发现并规避任何现有的安全机制,如防火墙、防病毒、EDR、IPS 等,只需要找到一条通往目标的路径,而不会对执行蓝队可以检测到的嘈杂扫描不感兴趣。同时,可以评估蓝队检测和响应攻击的能力:
红队参与还通过考虑几个攻击面来改进常规渗透测试:
- 技术基础设施: 就像在常规渗透测试中一样,红队将尝试发现技术漏洞,并更加重视隐身和规避。
- 社会工程:通过网络钓鱼活动、电话或社交媒体以人们为目标,诱使他们泄露本应保密的信息。
- 物理入侵:使用开锁、RFID 克隆等技术,利用电子访问控制设备中的弱点访问设施的受限区域。
根据可用资源,红队练习可以通过多种方式进行:
- 全面参与:模拟攻击者的完整工作流程,从最初的妥协到实现最终目标。
- 假设违规:首先假设攻击者已经获得了对某些资产的控制权,并尝试从那里实现目标。例如,红队可以访问某些用户的凭据,甚至可以访问内部网络中的工作站。
- 桌面练习: 桌面模拟,其中红队和蓝队讨论场景以评估他们理论上如何应对某些威胁。非常适合进行实时模拟可能很复杂的情况。
红队操作安全
操作安全 (简称:OPSEC) 是一组用于尝试保护操作员或操作安全的原则和策略。这方面的一个例子可能是使用代码名称而不是您的真实姓名,或者使用代理来隐藏您的 IP 地址。
通过识别、控制和保护敏感活动的计划和执行的一般非机密证据,可以拒绝潜在对手获得有关能力和意图的信息的系统和经过验证的过程。OPSEC过程有五个步骤:
- 识别关键信息
- 分析威胁
- 分析漏洞
- 评估风险
- 采取适当的对策
关键信息识别
红队认为哪些关键信息值得保护取决于操作和所使用的资产或工具。在此设置中,关键信息包括但不限于红队的意图、能力、活动和限制。关键信息包括蓝队一旦获得就会阻碍或削弱红队任务的任何信息。
为了识别关键信息,红队需要使用对抗性方法并询问自己对手(在本例中为蓝队)想要了解任务的哪些信息。如果获得,对手将处于稳固的位置以阻止红队的攻击。因此,关键信息不一定是敏感信息;但是,如果泄露给对手,可能会危及您的计划的任何信息。下面是一些示例:
- 红队信息,例如身份、活动、计划、能力和限制。对手可以使用此类信息更好地准备面对您的攻击。
- 您的团队用来模拟攻击的策略、技术和程序 ( TTP )。
- 您的红队将使用的公共 IP 地址。如果蓝队能够访问此类信息,他们可以通过阻止到您的 IP
地址的所有入站和出站流量来快速缓解攻击,让您自己弄清楚发生了什么。 - 您的团队已注册的域名。域名在网络钓鱼等攻击中起着重要作用。同样,如果蓝队找出您将用于发起攻击的域名,他们可以简单地阻止或沉入您的恶意域以抵消您的攻击。
- 用于对手模拟的托管网站,例如网络钓鱼网站。
威胁分析
识别关键信息后,我们需要分析威胁。威胁分析是指识别潜在对手及其意图和能力。威胁分析旨在回答以下问题:
- 谁是对手?
- 对手的目标是什么?
- 对手使用什么策略、技术和程序?
- 对手获得了哪些关键信息(如果有)?
恶意的第三方玩家可能有不同的意图和能力,因此可能会暂停威胁。该方可以是能力低下的人,随机扫描系统以寻找容易获得的成果,例如未打补丁的可利用服务器,也可以是针对您的公司或您的客户端系统的有能力的对手。因此,该第三方的意图和能力也可能使他们成为对手。
我们将任何有意图 和 能力采取行动阻止我们完成行动的对手视为威胁:
威胁 = 对手 + 意图 + 能力
换句话说,没有意图或能力的对手不会对我们的目的构成威胁。
漏洞分析
在识别关键信息和分析威胁之后,我们可以开始第三步:分析漏洞。这不应与网络安全相关的漏洞相混淆。当对手可以获得关键信息、分析结果并以影响您计划的方式采取行动时,就存在OPSEC漏洞。
为了更好地理解OPSEC与红队相关的漏洞,我们将考虑以下场景。
当使用 Nmap 来发现目标子网上的活动主机,并找到活动主机上的开放端口。此外,您发送各种网络钓鱼电子邮件,将受害者引导至您托管的网络钓鱼网页。此外,您正在使用 Metasploit 框架来尝试利用某些软件漏洞。这是三个独立的活动;但是,如果您使用相同的 IP 地址来执行这些不同的活动,这将导致 OPSEC 漏洞。一旦检测到任何恶意/恶意活动,蓝队将采取行动,例如暂时或永久阻止源 IP 地址。因此,只有一个源 IP 地址被阻止,换句话说,所有其他使用该 IP 地址的活动才会失败。
风险评估
风险评估:NIST将风险评估定义为“识别组织运营(包括使命、职能、形象、声誉)、组织资产、个人、其他组织和国家的风险的过程,这些风险是由信息系统的运营产生的。在OPSEC中,风险评估需要了解事件发生的可能性以及该事件的预期成本。因此,这涉及评估对手利用漏洞的能力。
一旦确定了风险级别,就可以考虑采取对策来减轻该风险。我们需要考虑以下三个因素:
- 降低风险对策的效率
- 对策的成本与被利用的漏洞的影响相比。
- 反制措施可以向对手透露信息的可能性
让我们重新审视上一个的示例,我们考虑了使用 Nmap 扫描网络、使用 Metasploit 框架并使用相同的公共 IP 地址托管钓鱼页面的漏洞。我们分析这是一个漏洞,因为它使对手更容易通过简单地检测一个活动来阻止我们的三个活动。现在让我们评估一下这种风险。要评估与此漏洞相关的风险,我们需要了解检测到其中一项或多项活动的可能性。如果没有获得有关对手能力的一些信息,我们无法回答这个问题。如果对手可以实时监控和分析来自网络中不同来源的安全相关事件。将使检测可疑活动并连接这三个事件变得相当简单。因此,我们将相关风险评估为高。
对策
最后一步是应用对策。美国国防部 (DoD)运营安全 (OPSEC) 计划手册指出,“反措施旨在防止对手检测关键信息,提供对关键信息或指标的替代解释(欺骗),或拒绝对手的收集系统。 ”
在前面的示例中,我们考虑了运行 Nmap、使用 Metasploit 框架并使用相同的公共 IP 地址托管网络钓鱼页面的漏洞。这个对策似乎很明显;为每个活动使用不同的 IP 地址。这样,您可以确保如果检测到一个活动,公共 IP 地址被阻止,其他活动可以继续不受影响。
1858
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
