开展专业的红蓝演练 Part19:CAPTR 安全评估模型(下)
2021-08-27 12:40:00 Author: www.4hou.com(查看原文) 阅读量:50 收藏

导语:在本章节中,作者进行了情景假设,与上一章节中结尾部分的情景做了对比,以便凸显CAPTR 安全评估模型的优势,最后,作者也客观的分析了该模型存在的固有缺点以及不可适用的场景。

在本章节中,作者进行了情景假设,与上一章节中结尾部分的情景做了对比,以便凸显CAPTR 安全评估模型的优势,最后,作者也客观的分析了该模型存在的固有缺点以及不可适用的场景。

接下来,考虑如图所示情景,它显示了简化的CAPTR 演练。

微信图片_20210816162510.png

在这种情况下,CAPTR 开始对SCADA设备进行评估。它发现SCADA设备上的本地权限提升漏洞。它还通过操作系统识别SCADA控制器的连接信息。接下来,CAPTR识别并利用Windows XP SCADA控制器;但是,由于Windows 2012网关没有远程代码执行漏洞的问题,它无法进一步向外转移。然后,在MS17-010公开可用且APT攻击者突破它的情况下,也会发生相同的情况。然而,这一次,APT攻击者受到挑战,可能无法访问SCADA控制器或升级致命威胁的权限,因为他们的漏洞已经被修补。这使防御团队在防止和检测APT攻击者针对致命受损目标及其相关轴心点所做的努力方面获得了支持,即使发布了新的零日漏洞版本也不会让Windows 2012网关容易受到攻击。

零日漏洞没有完美的解决方案。0day一旦被公开,设备将变得脆弱。CAPTR 不会以任何方式保护整个组织免受其影响。然而,它确实确保首先评估致命的攻击和内部支点。这为零日漏洞攻击提供了尽可能多的缓解措施,打开了APT攻击者可以轻松通过的高度易受攻击和未评估的网络部分。图9-1和图9-2具体说明了零日漏洞对红队和 CAPTR 的影响方式,但应注意的是,对于其他约束条件,如评估窗口,也可以这样说。例如,在红队评估期间,评估人员可能只会在计划结束评估之前深入网关服务器。事实上,这一努力很可能被视为一次成功的接触。在这种情况下,红队可能没有对网络中的关键资产进行深入评估。另一方面,CAPTR 的优先范围和反红队方法提供了对易受攻击的SCADA控制器和致命攻击的评估,确保其在时间窗口内完成。

内部威胁

在模拟攻击时,红队可能会忽视网络泄露和数据丢失的最大来源之一:内部威胁。这些威胁可能因事故、蓄意而为的恶意的内部人员或获得内部访问权的外部攻击者而表现出来。

在某些情况下,某些红队评估可能会解决意外的内部攻击问题,例如当团队从模拟网络钓鱼获得的肉鸡上攻击网络时。在渗透测试期间运行网络钓鱼活动也是如此,但如果在测试期间没有用户打开恶意电子邮件,这可能会限制防御系统的成功测试。 有意图的内部威胁是一种攻击点,传统的红队评估并不总是能涵盖这种威胁,因为他们的任务通常是模拟攻击者,而不是内鬼或既定的恶意员工。这意味着,在渗透测试报告中,可能存在一个完全未评估的攻击面,该攻击面占所有数据泄露源的20%以上。这些类型的攻击也是影响组织的一些更具影响力的威胁。

组织内部的攻击者可能能够利用某些漏洞来访问那些被视为关键或致命的受损目标。因为CAPTR评估从最后一道防线开始,并从那里向外推进,所以即使是内部攻击者与这些目标之间的一组有限的防线也将被 CAPTR 评估涵盖。 内部攻击者可能并不总是典型的内部威胁的例子,例如现任或前任员工、承包商或在某一点上拥有授权访问权限的其他人员。内部威胁可能包括已经在组织中建立据点的APT黑客。这种关注非组织成员的内部威胁的方法有一个好处,即CAPTR评估通过识别和减少组织内可能的关键点,帮助组织防止攻击者访问有价值的目标,为黑客创造了更大的挑战,即使在发布零日之后也是如此。当然,在某些情况下,外部攻击者甚至内部心存不满的员工会使用合法授权的帐户来破坏组织的某些部分。在这些情况下,CAPTR评估和缓解措施也会使恶意攻击者更难对组织造成无法弥补的损害。

效率

在攻击性安全评估中,识别和利用易受攻击的设备是在测试结束时生成可报告项的原因。这并不意味着测试期间利用的每一个设备都是最重要的,也不意味着一个组织会关心或费心解决针对所有设备发现的问题。在测试过程中,可能会花费数小时利用设备上已识别的漏洞,但却发现该设备是一台已停用的服务器,没有相关数据,并且托管在与公司其他设备没有连接的云环境中。忽略红队行动期间的潜在时间损失,这不是效率方面的唯一问题。红队试图找出一个组织防御系统中的所有漏洞;聪明的攻击者试图找到一个。这意味着红队花更多的精力寻找比特定漏洞更多的漏洞,这些漏洞可能导致APT黑客深入组织。这是评估安全性的正确且必要的方法,因为任何有互联网存在的组织都面临着广泛的恶意活动。需要注意的是,在红队渗透测试期间可能会发现许多漏洞,其中没有一个能够访问关键目标。因此,这些测试不适合评估APT黑客可能利用的特定攻击手法,也不适合传统黑客、脚本小子和自动攻击使用的攻击手法。红队的首要任务是识别组织攻击面中最有可能暴露给攻击者的漏洞。网络中受攻击最多的部分是那些可以从外网访问的部分。由于采用云计算的速度令人眼花缭乱,面对互联网的组织层面的攻击面不断增加,这增加了攻击性的安全挑战。

这并不是说红队是对资源的拙劣使用。红队是保护组织免受网络威胁的一个组成部分。如前所述,APT还有改进的余地。使用CAPTR可以提高效率。它是通过检查一个组织的方式实现的,这样一个团队就可以识别出一个APT黑客将用来破坏组织最关键的资产的攻击向量。效率问题受到攻击面的影响。红队必须解释每一层防御的整个表面的漏洞。这迫使红队以代表所有和任何攻击的方式耗费时间,而不是将时间用于发现APT黑客为实现数据盗窃的最终目标而可能实施的非常具体的攻击。CAPTR 不关注每一层的整个攻击面,而只关注每一层中能够使攻击者可以转向能够实现关键或致命攻击的位置。

引入的风险

开展进攻性安全评估也存在风险。利用漏洞需要使用潜在的不稳定的漏洞,如系统进程(如MS08-067)中的缓冲区溢出或内核竞争条件(如脏牛),这可能导致目标系统崩溃。当一个红队接近那些对可能成为APT黑客目标的组织具有关键或致命重要性的目标时,风险就会上升。当需要进行攻击性安全评估时,这些就是业务成本。在演练过程中,有一些缓解因素有助于预防风险,如范围界定和ROE(演练规则),这些都是在测试开始之前确定的。在追踪高风险目标以模拟APT黑客的攻击时,仍然存在演练范围内的目标的风险以及远程攻击和权限提升等攻击技术带来的不可预见的后果。

CAPTR 评估流程减少了客户组织高风险环境的风险。评估从被确定为致命风险的目标作为开始,这一事实意味着在攻击性评估期间,远程代码执行漏洞崩溃或破坏这些目标不会造成威胁。传统的红队需要主动扫描工具(如NMAP)来识别感兴趣的目标。CAPTR依靠被动获取的致命攻击目标信息来指导评估关键点,并重复被动信息收集和瞄准过程。大大减少了对远程扫描工具的依赖和对致命关键系统的远程攻击,使得CAPTR能够针对APT攻击者可能攻击的高风险环境提供攻击性安全评估,同时尽可能降低这些系统的风险。

缺点

为了尽可能完整地分析CAPTR范式,重要的是概述新方法不适用的情况。CAPTR模型的缺点也应作为安全评估剖析的一部分予以说明。成功启动CAPTR的障碍包括方法上的缺点,以及任何新想法在现有团队面前必须克服的问题。CAPTR流程的设计和基础是感知APT攻击者最有可能利用的漏洞来破坏致命的受损目标。因此,CAPTR方法在其他类型的威胁及其不同存在点的有效性方面受到限制。由于初始存在点和评估过程的影响,CAPTR模型不太可能识别网络中所有面向互联网的漏洞。这也留下了潜在的高危漏洞,可能会受到不太成熟的攻击者的攻击,如自动攻击和脚本小子。这些不太成熟的攻击者可能受到技能和资源的限制,无法攻击组织在互联网上的存在,并且没有在网络深处收集特定数据的倾向、能力或动机。 关于这一新范式的最大挑战是在评估过程的开始部分。这种新的安全评估方法的独特之处在于既需要技术熟练的安全人员,也需要熟悉风险管理的人员。此外,在提取关键和致命的受损目标时,未能准确地将风险和安全性结合在一起会影响整个测试的结果。安全评估新流程的引入以及对CAPTR评估范围创建产生的数据的依赖为评估的成功创造了潜在的致命弱点。CAPTR评估必须从初始存在点开始,这也带来了困难和新的障碍。在非桌面的评估中,CAPTR流程要求测试从访问组织中一些最有价值的数据和设备开始。这需要组织和使用CAPTR模型进行测试的人员之间要有大量的信任,同时这也引入了责任。在传统的安全评估和测试协议中,获取组织的皇冠宝石是一个敏感和困难的主题。这种风险可能更大,所需的信任也更完整,这一事实可能会影响组织接受此类测试的意愿以及安全公司提供此类服务的努力。 此外,由于初始存在点在网络中更深,这意味着在测试期间需要与IT和安全人员进行更多的协调。这种增加的压力可能会影响组织使用这种方法的成本和收益,并决定是否继续进行这种类型的评估。最后,如前所述,鉴于对潜在客户网络中包含的信息和数据类型进行风险评估,这种类型的评估肯定不适合某些组织。如果无法确定对组织构成致命或关键受损的数据或机器,则他们不太可能希望接受CAPTR评估。此外,由于关注APT黑客和内部持有的极有价值的数据,CAPTR 不是任何组织安全评估需求的完整解决方案。

总结

本章介绍了CAPTR 的概念。描述了其创建和设计的灵感,并将该方法与传统的红队流程进行了比较,以突出CAPTR方法带来的具体好处。同时还指出了CAPTR 评估的固有缺点。

全系列文章请查看:https://www.4hou.com/member/dwVJ

本文由作者“丝绸之路”整理发布,如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/0E5V
如有侵权请联系:admin#unsafe.sh