开展专业的红蓝演练 ​Part.7:进攻性安全面临的挑战(上)
2021-01-12 12:05:58 Author: www.4hou.com(查看原文) 阅读量:227 收藏

导语:在当前这个大时代中,红队会发现自己所在的安全行业和当今所处的整体环境为他们成功完成进攻性安全任务造成了严重而多样的障碍。这些障碍包括监管标准,普遍缺乏创新以及对红队在行业中的误解。

开展专业的红蓝演练 Part.1:演练目的及形式

开展专业的红蓝演练 Part.2:红蓝演练的优点及作用

开展专业的红蓝演练 Part.3:红蓝演练的缺点”

开展专业的红蓝演练 Part.4:论红队的自动化方法

开展专业的红蓝演练 Part.5:论红队自动化的优劣

开展专业的红蓝演练 Part.6:进攻性安全的现状

上一章中,作者将红队与 APT 进行了对比,阐述了 APT  的定义、特点以及相比较于红队所拥有的优势。在这一章节中,作者将分别从监管合规、创新、行业误解以及面对的复杂客户群体这四个方面详细说明进攻性安全领域(比如说红队)所面临的多种挑战。无论是通过红队服务客户(乙方视角)还是组织内部自建红队(甲方视角)都应该考虑这些问题,特别是在国内监管趋势愈渐变严的情况下,在红蓝演练中入如何划定演练范围,如何使用客户公司的或自己公司用户的敏感数据等问题值得业内同行关注。

在当前这个大时代中,红队会发现自己所在的安全行业和当今所处的整体环境为他们成功完成进攻性安全任务造成了严重而多样的障碍。这些障碍包括监管标准,普遍缺乏创新以及对红队在行业中的误解。

监管标准

近年来,企业组织必须遵循的合规标准和法律法规的数量激增。在以前,企业组织主要需要遵守以行业为中心的法规(如 HIPAA、 SOX 等)或旨在保护某些类型的敏感信息(如 PCI-DSS 和支付卡信息)的法规。

最近,政府已经通过了数据隐私条例,并强迫企业组织引起注意。欧盟的一般数据保护条例(GDPR)就是一个典型的例子。根据 GDPR,任何存储欧洲公民个人身份信息的组织,无论是在公司层面还是在国家层面,都必须在与 GDPR 功能相当的数据保护政策下运作。由于全球各地的企业组织试图使他们的政策符合规定,GDPR 的范围以及被认为是受保护的个人信息(PII)的更广泛定义引起了一些恐慌。

当然,GDPR 远不是唯一的隐私法规。《加利福尼亚州消费者隐私法案》(CCPA)也是比较著名的法规之一,除了加利福尼亚州外,美国的其他州在没有全国性的隐私法规的情况下也通过了单独的法律法律。因此,企业组织可能需要遵守的法律法规越来越多了。

因此,监管标准方面可能会是个不小的问题,因为这些标准必须严格适用于“红队”活动。此外,当没有标准或存在的标准非常模糊和宽泛时,也可能会遇到障碍。寻求建立红队或使用进攻性安全的组织通常有自己严格的数据使用政策,必须在构建交战协议期间根据具体情况进行处理。还有一些联邦和行业级别的策略必须由持有特定类型数据的组织遵循。因此,该组织内的任何红队活动都要求根据这些政策处理数据。此类数据的示例包括受 HIPAA 保护的健康信息、保密信息以及一般的 PII。在存储或移动任何特定保护的数据的网络中进行测试,可能会对红队造成压力,因为它必须能够成功地进行测试,而且还必须符合为保护此类敏感数据而制定的标准。

比如大家可以想象一下,在使用 HIPAA 数据破坏网络中的主机时,红队评估人员会查看特定人员(甚至可能是他们自己公司的上级)的健康信息。从法律角度来看,这简直是一场噩梦,可能会导致尴尬的职场关系和利益冲突。特别是在评估机密网络的安全性时,在评估期间,评估人员可能会汇总足够多的信息,当信息汇总起来时,这些信息可能会增加整个信息的类别,或者评估人员可能会遇到错误分类的数据或其他问题,所有这些都可能导致必须马上处理的安全事件。从遵循合规的角度来看,可以很容易理解这类标准显然使得红队的任务变得更加困难,但是评估人员也可能需要在评估之前得到某项认证或批准授权。在安全行业已经有限的人才库上设置这些限制可能会成为组织开展成功的进攻性安全交战的巨大障碍。

有限的创新

我相信你们中的一些人可能会对“有限的创新”被列为阻碍红队发展的一个原因感到生气。你可能会争辩道,你所在的公司或组织有很多精英,他们已经在他们所开展的进攻性安全过程中持续不断的有过创新。这在很多地方都是如此,所以请允许我澄清一下。创新在这个领域不断发生,它拥有整个行业中最具才华和智慧的安全从业者,而黑客——从本质上讲——本身就具有创新精神。然而,我们并没有看到有公司或组织分享他们自己具备创新性的红队策略或定制化的渗透测试服务。不过,这是可以理解的,因为这些创新可能被供应商视为商业机密,被有机红队视为特权安全信息。因此,从流程和谍报技术的角度来看,没有关于提升红队的大量信息也就不足为奇了。供应商很乐意向你出售其开发的安全工具的新版本,但不愿透露他们的道德黑客是如何攻击网络的。这将使它们处于竞争力较低的位置。

创新问题进一步受到了真正的学术创新中的极端困难的限制。我们研究了许多学术界提出的自动化或实现进攻性安全的技术,但我们没有看到任何强调如何改进红队的贡献,以便更有效地解决我们目前正在讨论的各种挑战。在进行了多年的博士学业的研究后,我发现几乎任何红队或渗透测试的创新都是围绕特定工具或目标以及分析模型进行的。关于红队军事化演习的一些新颖但离题的改进方式的出版物极少,已有的出版物也不适用于网络领域。正如在前面的文章中提到的,这样做的原因主要有两个方面。首先,大多数发表论文的学者都没有进攻性安全的经验,就职业发展而言,大多数进攻性安全专家也没有受益于高等学位。其次,由于需要专业度很高的技术技能以及高度参与评估过程,因此,评估进攻性安全假设的成败真的很难以可辩护的方式进行。

由于这些事实的存在,关于红队评估流程创新的公开信息非常有限。学术论坛在这个领域还没有任何类似的学术工作机构,而且从事这些工作的大多数人由于一些可以理解的原因缺乏分享的精神。从组织上来说,这意味着,在尝试启动新的红队工作时,知识必须由已有经验的个人提供,或者通过可能缺乏经验的员工进行的潜在危险评估获得知识。即使撇开创新问题不谈,红队也是一种随着时间的推移对客户组织进行自我调整的活动,即使是合格且有经验的个人也会发现自己在评估过程中学习新的目标组织的细节。对托管组织的最佳红队评估可能是人员技能、经验、谍报技术和内部创新都较为成熟以及对目标的熟悉程度的一个副产品。

行业误解

关于红队的实践,有很多误解和观点,但有几个特别的想法会影响整体的进攻性安全实践,无论是作为一个供应商还是一个有机的团队。第一个是对渗透测试或红队评估构成要素的非常模糊和经常被误解的定义。对于这种交战,进攻性安全的提供者和赞助人都有一些非常危险的污名。
那么,什么是渗透测试或者红队评估呢?这个问题可能看起来微不足道,而且被广泛接受和理解,但问题是,渗透测试所需的定义不断被扭曲。这种情况从多个角度影响了组织的安全性,并将行业本身作为一个业务实践问题。我已经与一些组织进行了交谈,这些组织由于一些继承的安全策略需求,需要在给定的时间间隔内进行评估。我经常看到这样的组织要求渗透测试人员执行自动漏洞扫描,这样它就可以被称为“渗透测试”,他们可以对策略合规性进行打勾,希望节省时间和安全资源。我也见过这类决策,通过调用非侵入性活动(如扫描)作为红队评估或渗透测试,来努力阻止所需的安全评估对操作资产的潜在影响,从而再次满足合规性检查。除了不恰当的标签和不当使用道德黑客资源,这也为组织的错误安全感开创了一个危险的先例。这种趋势也出现在行业中,由于对进攻性安全的需求增加,供应商使用资质较低的人员进行漏洞扫描,并将其作为渗透测试进行营销。这将导致同样的问题,并削弱组织的整个安全态势。

接下来,我们将讨论一些行业本身所面对的非常荒谬的污名,这些污名甚至会让技术娴熟的红队陷入困境。第一个污名是普遍存在的不切实际的期望。我在许多合同谈判期间,客户声称他们想要一个为期两周的渗透测试周期。他们也经常希望红队从组织外部开始短距离进攻。围绕进攻性安全的有害污点是,为了提供对组织的安全机构的真实洞察的测试,红队必须从组织外部来模拟真正的攻击。我甚至与那些认为如果不从外部发起攻击就不是“真正的黑客”的同行们争论过。有时,将这种外部初始化约束放在评估上是合适的,或者至少放在评估的一部分上。然而,在要求外部初始化点的同时,试图进行短时间的评估窗口只会阻止组织从进攻性安全应用程序中获得可能的最佳成本效益。在很多时候,从外部入侵可能需要数周或数月的时间,而当获得访问权限后,特权升级和组织内部的横向移动就会以相对较快的速度完成。就我个人而言,站在组织的角度来看,我宁愿将许多危险的特权升级和横向移动漏洞告诉我,以保护我的组织,而不是把一些能够通过适当的漏洞扫描发现的少数(如果有的话)外部漏洞提供给我。

遵循对评估行为不切实际的期望,实际上是对“失败不是一种选择”的耻辱的挑战。失败的可能性增加了,因为短的评估窗口可能会通过,而没有成功的远程代码执行攻击或成功的社会工程学活动允许道德黑客在分配的时间窗口内侵入组织内部。因此,评估报告可能非常少,并且可能只记录小的或未经证明的漏洞,以及团队试图获得访问权限的过程,因此高层管理人员可能觉得至少他们知道了要防御什么。这里的耻辱是,这样的结果是不可接受的。这是按照通常的评估过程执行方式的副产品,这可以通过评估过程的创新来改变。

本文由作者“丝绸之路”整理发布,如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/x8v9
如有侵权请联系:admin#unsafe.sh