信息來源:4hou
一�����、攻擊模擬技術(shù)介紹
一個(gè)組織保護(hù)自己免受網(wǎng)絡(luò)攻擊的最佳方法是像黑客一樣思考和行動(dòng)����。有一種稱為“突破與攻擊模擬(BAS)”的新技術(shù)可以將您放在他們的位置�����。該技術(shù)允許任何組織成為他們自己的黑客����,并對(duì)自己發(fā)起攻擊�����。這個(gè)突破與攻擊模擬平臺(tái)允許通過多種攻擊媒介進(jìn)行安全測(cè)試�����,例如電子郵件����,網(wǎng)頁瀏覽�����,橫向移動(dòng)����,社會(huì)工程�����,數(shù)據(jù)泄露����,WAF等。一旦組織注冊(cè)了模擬攻擊平臺(tái)����,就只需下載一個(gè)代理即可開始評(píng)估。必須將組織域內(nèi)的專用用戶分配給將用于評(píng)估的代理�����,而無需任何人工干預(yù)����。
二����、風(fēng)險(xiǎn)評(píng)估那些事
SANS研究機(jī)構(gòu)�����,最近進(jìn)行的一項(xiàng)民意測(cè)驗(yàn)發(fā)現(xiàn)�����,安全從業(yè)人員認(rèn)為改善安全測(cè)試的最大障礙是“缺乏定義測(cè)試的系統(tǒng)方法(例如�����,缺乏測(cè)試計(jì)劃)�����?����!笔聦?shí)上����,這回響了我們從中得到的問題我們?cè)跁?huì)議上會(huì)見的安全專家以及組織開始進(jìn)行自己的自動(dòng)化安全測(cè)試的組織。
1����、建立安全風(fēng)險(xiǎn)評(píng)估計(jì)劃
那么,您如何建立有效的安全風(fēng)險(xiǎn)評(píng)估計(jì)劃����,以驗(yàn)證您的安全控制措施是否有效?以下是一些指南����,可幫助您入門:
(1)利用290+ MITER ATT&CK TM框架技術(shù)。通過有條不紊地對(duì)所有這些工具進(jìn)行測(cè)試����,您將知道已經(jīng)掌握了基礎(chǔ)知識(shí)。
(2)挑戰(zhàn)整個(gè)殺傷鏈的防御控制����。通過對(duì)整個(gè)攻擊消除鏈進(jìn)行系統(tǒng)測(cè)試,您可以衡量和優(yōu)化部署在基礎(chǔ)架構(gòu)中的所有安全控制�����。
(3)模擬與您息息相關(guān)行業(yè)的APT組。通過模擬特定APT小組的工作方式����,您可以解決你行業(yè)本身面臨的安全問題,并不斷調(diào)整控件以保持準(zhǔn)備狀態(tài)����。
(4)模擬特定類型的威脅。用不同的有效負(fù)載和折衷方法挑戰(zhàn)控件�����,可以幫助您解決最緊迫的問題����。
(5)確保防御最新威脅。隨著每天出現(xiàn)新的惡意軟件壓力����,采用新的危害指標(biāo)(IoC),我們有理由盡可能頻繁地對(duì)它們進(jìn)行測(cè)試
2����、盡可能自動(dòng)化
(1)創(chuàng)建攻擊模擬模板�����,以針對(duì)某些威脅技術(shù)集測(cè)試安全控制。
(2)預(yù)先安排模擬以每小時(shí)�����,每天�����,每周等運(yùn)行�����。
(3)自動(dòng)化報(bào)告以通知已識(shí)別的漏洞�����,以及安全團(tuán)隊(duì)如何對(duì)其進(jìn)行補(bǔ)救����。管理層還可以自動(dòng)接收有關(guān)最新評(píng)估的高級(jí)別的摘要
(4)設(shè)置自動(dòng)警報(bào),每當(dāng)您偏離基準(zhǔn)暴露分?jǐn)?shù)時(shí)����,該警報(bào)就會(huì)通知您����。
3����、選擇正確的測(cè)試工具
有大量的紅色團(tuán)隊(duì)工具,包括專有和開源的����,可以幫助您測(cè)試基礎(chǔ)結(jié)構(gòu),包括MITER Caldera����,Red Canary Atomic Red Team和Metasploit Framework等。但是�����,它們需要一定的技術(shù)知識(shí)才能使用�����,提供的修復(fù)指南很少����,并且不能用于確定優(yōu)先級(jí)�����。
這就是突破與攻擊模擬(BAS)平臺(tái)發(fā)揮作用的地方,它消除了攻擊模擬的復(fù)雜性����,因此團(tuán)隊(duì)中的任何人都可以在全面的緩解指南的幫助下進(jìn)行測(cè)試并解決發(fā)現(xiàn)的差距。
由于安全團(tuán)隊(duì)時(shí)間緊迫�����,BAS平臺(tái)提供的測(cè)試�����,警報(bào)和報(bào)告自動(dòng)化功能可確保您不斷改善安全狀況�����,而不會(huì)產(chǎn)生額外的開銷�����。
三、模擬攻擊系統(tǒng)
前面一直在理論知識(shí)����,那么,模擬攻擊系統(tǒng)到底有哪些功能點(diǎn)�����,如果你是企業(yè)的CSO你影響選擇哪些方向做為主要發(fā)展方向����?
個(gè)人理解模擬攻擊系統(tǒng)應(yīng)該有以下幾個(gè)功能:
(1)有足夠的多的攻擊樣本,并且保持這些樣本是活躍的�����。樣本分類:惡意軟件�����、勒索軟件����、蠕蟲、Payload����、exploit等
(2)擁有足夠多的滲透手段�����,例如:通過電子郵件投放����,通過瀏覽器投放����、通過釣魚方式投放�����、通過對(duì)WAF滲透的方式投放�����、橫向攻擊方式投放�����、數(shù)據(jù)泄露場(chǎng)景投放等����。
(3)擁有以上攻擊樣本和攻擊手段����,并且可以在1分鐘內(nèi)快速批量投放到目標(biāo)系統(tǒng)�����。
(4)基于數(shù)據(jù)統(tǒng)計(jì)方式����,了解ATT&CK 覆蓋率。
(5)通過報(bào)告的形式把危險(xiǎn)和建議展示給用戶
威脅描述:
1.已知的常用的exploit在組織內(nèi)部執(zhí)行成功的占比
2.通用的惡意軟件下載的payload在組織內(nèi)部執(zhí)行成功的占比
3.已知的RAT程序����、勒索軟件在終端執(zhí)行后在組織內(nèi)部執(zhí)行成功的占比
4.橫向攻擊滲透成功率
5.模擬破壞性的程序在組織內(nèi)部執(zhí)行成功的占比
修復(fù)建議:
1.通過修改現(xiàn)有安全產(chǎn)品配置就能消除影響的建議
2.通過第三方安全解決方案介入才能解決問題的建議
3.內(nèi)部失陷主機(jī)或者網(wǎng)絡(luò)的排查建議
4.研究方向上,個(gè)人理解:橫向攻擊最為復(fù)雜����,做好不容易,但是最有價(jià)值�����。
四����、總結(jié)
攻擊模擬是一款很好的企業(yè)安全照妖鏡�����,妖魔鬼怪都現(xiàn)身吧�����。同時(shí)也是對(duì)企業(yè)安全防御系統(tǒng)的大考�����,量化沒有發(fā)現(xiàn)的安全威脅。
