上一章作者分析了工业界和学术界取代道德黑客的各种先进的自动化技术,以及为什么这些自动化技术不符合人类红队的标准。同时在上一章中,作者还介绍了威胁狩猎的概念及其好处,以及威胁狩猎与红队在主动能力方面的差异,以及威胁狩猎缺乏类似的好处。
在这一章中,作者将带领读者深入思考红队存在的意义以及红队与 APT 相比有哪些劣势和挑战。
通过雇佣道德黑客在公司内组建红队或使用类似服务的好处已经得到了充分的论证。但我们更应该关注进攻性安全能力在具体落地时面临的挑战和障碍。安全行业存在的问题简直数不胜数,然而,我发现最普遍的那些问题只与少数特定的领域有关。红队与他们试图效仿的对手在本质上来说是一场不可能获胜的比赛。围绕进攻性安全行业的标准往往不具有代表性,或标准过高导致不能进行充分的评估。从定义上讲,由于所提供服务的性质,客户与客户之间的关系是敌对的——这一事实可以表现为安全评估人员和客户的实际问题。假设所有这些与评估相关的约束都可以解决,那么仍然存在与为成功的红队配备人员有关的人事问题。本章介绍了与这些挑战有关的现代进攻性安全产品的状况。
高级持续性威胁(APT)的挑战
高级持续性威胁(英语:advanced persistent threat,缩写:APT),又称高级长期威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。
· 高级:威胁的幕后操纵者对情报收集技术有着全面的掌控能力。其中可包括电脑入侵技术和传统情报收集技术(如电话监听技术、卫星成像技术)。攻击中使用的各个组件本身可能并不能算特别“高级”(例如,利用公开的恶意软件生成工具生成的恶意软件,或是一些容易获得的漏洞利用材料),但是操纵者往往可以按需开发出更高级的工具。他们一般会使用多种针对方式、工具和技术以入侵目标,并保持访问权限。操纵者也可能会特别注意行动中的安全,这一点和“不那么高级”的威胁有所不同。
· 长期:操纵者注重一个特定的任务,而不是盲目搜寻信息。这一区别暗示攻击者受到外部力量指示。为了达到预定目的,攻击者会持续监控目标,并做出反应。这并不表示攻击者会经常发动攻击、频繁更新恶意软件。事实上,“放长线”的方法会更为成功。如果操纵者失去了对目标的访问权,他们一般会重新尝试入侵,也往往会成功。操纵者的目的之一就是对目标保有长期的访问权,而不是一次性的访问权。
· 威胁:APT之所以成为威胁,是因为发起方既有此能力,又有此意图。APT攻击是由一群有组织的人发起的。操纵者有特定的目标,且技术精湛、资金雄厚。
APT发起方,如政府,通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络威胁,尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动,但也适用于传统的间谍活动之类的威胁。其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人,如个人黑客,通常不被称作 APT ,因为即使个人有意攻击特定目标,他们也通常不具备高级和长期这两个条件。
红队的目的是模拟针对组织的一个或多个威胁,以便组织能够更好地准备应对真正的攻击。红队或渗透测试供应商的工作人员发现,在面对大量潜在攻击者以及这些威胁中的庞然大物(特别是APT)时,他们处于非常不利的地位。
要给 APT 下一个确切的定义既困难又耗时,因为许多人对这个术语及其适用性有自己的见解。为了我们讨论的目的,我们将假定 APT 是网络空间资源丰富的恶意行为者,有明确的目标和有组织的努力来达到最终的目的。这一定义包括民族国家实体及其支持的组织,以及有组织犯罪。我个人认为是由民族国家支持的 APT 的例子是网络组织,如美国国家安全局,俄罗斯特别通信局,或中国国家安全部。还有大量国家支持的活动也可以被视为 APT,本质上是指任何从政府资助人那里获得资源、进行与该组织目标一致的网络攻击的组织。有组织犯罪的 APT 这个词我解释为两个方面。它可以指传统的有组织犯罪,如黑手党或卡特尔使用网络攻击达到特定目的,但它也可以指任何出于共同动机进行的有组织犯罪行为的黑客群体,如 hacktivists 和其他更犯罪导向的群体,如 Lazarus。
更大的能力
无论动机如何,APT 将比希望效仿他们的红队更有能力危害组织。从能力的意义上来说,破坏网络攻击的目标实际上是一个资源问题。APT 比红队拥有更多的资金和资源。人员是能力的一部分。无论是在网络资产的绝对数量上,还是在为极具天赋的黑客支付高昂费用的能力上,许多 APT 都有能力大大超过任何红队人员。
根据他们的目标,一个 APT 可能愿意花费数百万美金或更多资金,以支持黑客攻击活动,不仅是在人员配备方面,还会在工具方面提供最新和最好用的工具。这意味着 APT 可以随意购买红队可能负担不起的合法工具,例如功能极其强大的密码破解程序、fuzzing 软件和高端的漏洞利用框架。APT 在购买工具时也不一定会遵守法律,并可能会从红队无法合法获得或利用的非法资源购买渠道购买工具。这可能包括一些个人信息,这些信息能使得社会工程学攻击更容易成功,如社会保险号、信用卡号和其他信息,以及从民族国家和其他组织窃取或购买的工具,红队将不允许合法购买、拥有或使用这类工具或数据。
一些 APT 可能拥有的间接资源也是红队无法比拟的。当谈论 APT 时,特别是可能针对某个组织的目标国家时,红队没有可以依赖的针对某个国家的外国情报收集机构。资金雄厚的由民族国家支持的 APT 还可以利用其他资源,例如公司在本国乃至国际上的影响力。比如说那些能够利用制造影响力,让硬件或软件后门进入目标组织的系统或应用程序的 APT。这甚至可以包括供应链封锁,合法产品在到达目标组织的途中也会受到类似的损害,以实现 APT 的目的。
更多的时间
红队的演练时间往往依赖于一个特定的时间窗口。即使在组织内拥有一个强大实力的红队的情况下,这个团队也可能在不同的时间关注组织的不同部分,而不是永远针对一个特定的子集。在大多数情况下,评估整个组织的时间窗口短至两周到一个月。当由无机的第三方组织进行评估时,还会有一个带有特定时间表的合同工具,从而进一步剥夺了道德黑客的时间灵活性。当其他员工不在时,一个组织也不太可能希望红队试图在周末或下班时间破坏系统,以防出现问题。
与 APT 相比,这种时间上的缺点是显而易见的。即使资源是平等的,APT 也会因为特定的原因成功入侵组织。因此,这种动机很可能意味着,网络攻击将继续进行,直到目标实现,这时候没有时间窗口一说。如果目标足够重要的话,APT 可以在白天、晚上、周末甚至在好几年的时间里一直发起攻击,而这是红队无法模拟的。
无限的范围
红队或渗透测试人员的攻击范围是客户组织授权同意对整个组织的某个子集执行安全评估。本质上,范围是关于谁或什么可以被攻击的协议。不幸的是,对于目标组织和红队来说,APT 在进行网络攻击时并不会将自己限制在特定的范围内。APT 可以针对个人用户或管理员发起攻击并破坏他们的个人设备,从而危害组织。这当然超出了红队的范围,这对红队来说也是违法行为。同样,APT 也可以利用他们的资源敲诈个人,让受害者提供信息或获得某些协助,从而危及目标组织。
范围也是红队和客户组织使用的手段,以确保在评估期间将极其重要或不稳定的设备单独抛除在外。同样,APT 无需签署这样的协议,并且 APT 攻击者能够在任何他们需要的目标上利用很可能让系统崩溃的漏洞,以及在需要的情况下尝试攻击极度不稳定的目标,APT 攻击者不太关心系统是否被损坏或崩溃。事实上,APT 还可以删除数据或账户,或故意让服务或设备崩溃,以诱使目标组织做出回应,从而帮助他们发动网络攻击。这样做可以让社会工程学攻击更容易成功,以便分散其他活动的注意力,或者使组织的行为更加不安全,以便实现入侵目标。目前我还没遇到过有哪个组织允许红队这样操作。
没有交战的规则
尽管范围涉及到可能被攻击的对象,但是交战规则(ROE)会告知红队如何攻击给定目标。客户组织和红队或渗透测试员之间的协议定义了评估的合法性,并保护组织免受红队重大过失的影响(如果适用)。计算机黑客攻击本身是一种非法活动,ROE 为评估人员如何进行评估,以及在审计过程中需要遵循的逻辑门、许可和流程奠定了基础。
另一方面,APT 在网络攻击中自愿违反法律,而且在攻击期间并不关心是否遵守 ROE 。只要更接近最终目标,怎么做都可以。与红队相比,这当然增加了他们成功入侵系统的可能性,因为 APT 不必遵循客户对其活动的约束。与红队相比,ATP 攻击者在攻击目标组织时更加粗暴也更有创造力,他们利用这一事实来发挥毁灭性的效力。
本文由作者“丝绸之路”整理发布,如若转载,请注明原文地址