信息來源:4hou
一、攻擊模擬技術介紹
一個組織保護自己免受網(wǎng)絡攻擊的最佳方法是像黑客一樣思考和行動��。有一種稱為“突破與攻擊模擬(BAS)”的新技術可以將您放在他們的位置�。該技術允許任何組織成為他們自己的黑客�����,并對自己發(fā)起攻擊�。這個突破與攻擊模擬平臺允許通過多種攻擊媒介進行安全測試,例如電子郵件�����,網(wǎng)頁瀏覽�����,橫向移動�,社會工程�����,數(shù)據(jù)泄露���,WAF等。一旦組織注冊了模擬攻擊平臺���,就只需下載一個代理即可開始評估�����。必須將組織域內(nèi)的專用用戶分配給將用于評估的代理���,而無需任何人工干預。
二�、風險評估那些事
SANS研究機構,最近進行的一項民意測驗發(fā)現(xiàn)�����,安全從業(yè)人員認為改善安全測試的最大障礙是“缺乏定義測試的系統(tǒng)方法(例如��,缺乏測試計劃)��?��!笔聦嵣希@回響了我們從中得到的問題我們在會議上會見的安全專家以及組織開始進行自己的自動化安全測試的組織��。
1�、建立安全風險評估計劃
那么�,您如何建立有效的安全風險評估計劃���,以驗證您的安全控制措施是否有效�?以下是一些指南,可幫助您入門:
(1)利用290+ MITER ATT&CK TM框架技術��。通過有條不紊地對所有這些工具進行測試����,您將知道已經(jīng)掌握了基礎知識��。
(2)挑戰(zhàn)整個殺傷鏈的防御控制���。通過對整個攻擊消除鏈進行系統(tǒng)測試,您可以衡量和優(yōu)化部署在基礎架構中的所有安全控制�����。
(3)模擬與您息息相關行業(yè)的APT組��。通過模擬特定APT小組的工作方式��,您可以解決你行業(yè)本身面臨的安全問題��,并不斷調(diào)整控件以保持準備狀態(tài)�。
(4)模擬特定類型的威脅����。用不同的有效負載和折衷方法挑戰(zhàn)控件,可以幫助您解決最緊迫的問題��。
(5)確保防御最新威脅�。隨著每天出現(xiàn)新的惡意軟件壓力,采用新的危害指標(IoC)��,我們有理由盡可能頻繁地對它們進行測試
2����、盡可能自動化
(1)創(chuàng)建攻擊模擬模板�,以針對某些威脅技術集測試安全控制。
(2)預先安排模擬以每小時�,每天,每周等運行����。
(3)自動化報告以通知已識別的漏洞�,以及安全團隊如何對其進行補救。管理層還可以自動接收有關最新評估的高級別的摘要
(4)設置自動警報�����,每當您偏離基準暴露分數(shù)時,該警報就會通知您��。
3�、選擇正確的測試工具
有大量的紅色團隊工具����,包括專有和開源的�,可以幫助您測試基礎結構,包括MITER Caldera�,Red Canary Atomic Red Team和Metasploit Framework等��。但是��,它們需要一定的技術知識才能使用���,提供的修復指南很少�����,并且不能用于確定優(yōu)先級。
這就是突破與攻擊模擬(BAS)平臺發(fā)揮作用的地方,它消除了攻擊模擬的復雜性�����,因此團隊中的任何人都可以在全面的緩解指南的幫助下進行測試并解決發(fā)現(xiàn)的差距����。
由于安全團隊時間緊迫,BAS平臺提供的測試���,警報和報告自動化功能可確保您不斷改善安全狀況,而不會產(chǎn)生額外的開銷���。
三�����、模擬攻擊系統(tǒng)
前面一直在理論知識���,那么,模擬攻擊系統(tǒng)到底有哪些功能點�,如果你是企業(yè)的CSO你影響選擇哪些方向做為主要發(fā)展方向����?
個人理解模擬攻擊系統(tǒng)應該有以下幾個功能:
(1)有足夠的多的攻擊樣本�����,并且保持這些樣本是活躍的�。樣本分類:惡意軟件�����、勒索軟件��、蠕蟲、Payload��、exploit等
(2)擁有足夠多的滲透手段��,例如:通過電子郵件投放�,通過瀏覽器投放、通過釣魚方式投放����、通過對WAF滲透的方式投放、橫向攻擊方式投放���、數(shù)據(jù)泄露場景投放等�����。
(3)擁有以上攻擊樣本和攻擊手段�����,并且可以在1分鐘內(nèi)快速批量投放到目標系統(tǒng)����。
(4)基于數(shù)據(jù)統(tǒng)計方式���,了解ATT&CK 覆蓋率��。
(5)通過報告的形式把危險和建議展示給用戶
威脅描述:
1.已知的常用的exploit在組織內(nèi)部執(zhí)行成功的占比
2.通用的惡意軟件下載的payload在組織內(nèi)部執(zhí)行成功的占比
3.已知的RAT程序、勒索軟件在終端執(zhí)行后在組織內(nèi)部執(zhí)行成功的占比
4.橫向攻擊滲透成功率
5.模擬破壞性的程序在組織內(nèi)部執(zhí)行成功的占比
修復建議:
1.通過修改現(xiàn)有安全產(chǎn)品配置就能消除影響的建議
2.通過第三方安全解決方案介入才能解決問題的建議
3.內(nèi)部失陷主機或者網(wǎng)絡的排查建議
4.研究方向上�����,個人理解:橫向攻擊最為復雜�����,做好不容易,但是最有價值���。
四、總結
攻擊模擬是一款很好的企業(yè)安全照妖鏡���,妖魔鬼怪都現(xiàn)身吧�����。同時也是對企業(yè)安全防御系統(tǒng)的大考����,量化沒有發(fā)現(xiàn)的安全威脅���。
