导语:在本文中,我们将继续围绕演练规则展开讨论。在上一个章节中,我们对活动类型进行了分类,主要讨论了物理环境和社会工程学的安全评估活动演练规则。那么在本章中,我们将对外部网络、内部网络、跳转攻击、无线网络这四类安全评估活动的演练规则进行详细的讨论。
前言
阅读这本独特的书籍,能够让你在进行进攻性安全交战时利用多种高阶技术。你将了解实际的谍报技术、操作指南和进攻性安全最佳实践,来开展专业的网络安全交战,而不仅仅是漏洞利用、执行脚本或使用工具。
本书将向你介绍基本的进攻性安全概念。重点说明了评估和道德黑客的重要性,并讨论了自动化评估技术。现代进攻性安全的现状以及面临的挑战。
系列文章目录:
开展专业的红蓝演练 Part.7:进攻性安全面临的挑战(上)
开展专业的红蓝演练 Part.8:进攻性安全面临的挑战(下)
在本文中,我们将继续围绕演练规则展开讨论。在上一个章节中,我们对活动类型进行了分类,主要讨论了物理环境和社会工程学的安全评估活动演练规则。那么在本章中,我们将对外部网络、内部网络、跳转攻击、无线网络这四类安全评估活动的演练规则进行详细的讨论。
外部网络
外部网络测试活动在红蓝演练中非常常见,可以定义为从系统边界之外对组织进行网络攻击的行为。这种评估可能仅限于那些面向外部的组织资产(图5-1)。这种外部攻击通常来自互联网。然而,在一些有组织的红队的大型组织中,这可能意味着攻击一个物理或逻辑站点或另一个站点的子集。在评估外部网络攻击活动时,与 ROE 有关的重要考虑因素是攻击源。作为ROE的一部分,评估人员需要提供发动攻击的源地址,以便红队活动能够从潜在的真实攻击中迅速消除冲突。
图5-1:外部网络活动
这种情况突出表明需要某种外部基础设施。在不使用外部基础设施进行重定向的基于互联网的攻击期间,评估活动有可能违反评估组织持有的互联网服务提供商(ISP)协议,并可能导致地址被阻止或列入黑名单,或整个帐户被冻结。当目标组织被通知并对源地址进行任何更改时,这种情况会使测试变得复杂并出现延迟。这也可能意味着,如果没有外部重定向器,由于评估人员发起的网络攻击可能违反托管方的业务和用户协议,导致红队无法访问组织的各个方面,红队将受到其他方面的影响。将外部托管服务器识别为攻击的启动平台的好处是,能够让多个评估人员协作并从同一设备执行评估。
在一次评估活动中,我们有一个通过远程测试的评估人员,他从他家通过他的互联网服务提供商(ISP)进行安全测试。客户组织必须允许他的地址通过防火墙进行评估。当他的地址在一个为期十天的评估中,他的地址在其中的两天内发生了更改,这导致几乎花了整整两天的时间才让他的新地址通过客户端防火墙,这样测试就可以继续了。这浪费了20%的评估窗口,由于其他评估义务,我们无法进行调整。在ROE中,识别并要求使用静态寻址的独立第三方基础设施进行攻击,以防止这类外部网络测试问题。
内部网络
内部网络活动是简单的网络攻击活动,从目标组织的网络开始,以其他内部资产为目标(图5-2)。尽管它可以进行更有效的评估,特别是在短时间内,但在没有一些令人信服的情况下,大多数客户并不总是同意这种评估。如前所述,不涉及外部访问的评估是不合法或不现实的。我们的工作是教育客户组织,让他们了解这样一个事实:大部分网络入侵是社会工程学攻击活动或内部威胁的结果,这两种威胁都是从访问内部网络资产开始的。如果没有明确的外部评估需求,那么当评估从内部网络活动开始,而不是与外部网络攻击或其他方法一起进行时,较短的评估窗口会给组织带来最大的成本效益。
图 5-2:内部网络活动
此类评估活动通常要授予评估人员某些非特权访问权限。但是,一些目标从非特权上下文执行内部攻击活动中获益,然后切换到特权上下文,以尽可能多地评估组织的操作攻击面。促进这些活动的途径通常是模拟成功的社会工程活动或内部威胁。两者通常都由在内部网络中具有正常用户级访问权限的评估员发起,然后评估员以组织内的其他资产为目标。此类活动评估的 ROE 需要在可瞄准和“不可瞄准”的资产和个人之间划清界限。因为评估是在安全范围内开始的,它可以迅速扩散到组织中客户认为不可能也不希望成为目标的部分。在确定范围和ROE的同时,重要的是要定义哪些方法和目标是禁止的,而不管客户觉得红队达到的可能性有多大,尤其是在执行内部网络攻击时
跳转
跳转测试似乎是 ROE 中的一个较为琐碎的活动,但确定是否允许评估人员执行跳转测试对于评估的执行是必不可少的。跳转有两种定义方式,这两种方式都必须在ROE中指定。首先,跳转是指使用获得某个设备的访问权限,然后枚举和攻击组织中存在的更深层次的其他设备(图5-3)。我曾进行过外部网络攻击活动,客户不希望任何来自受损主机的内部跳转测试,这限制了要攻击测试的足迹的大小。
图5-3:外部网络-无跳转测试
如果允许在内部资产执行跳转测试,则评估的足迹要大得多,但会影响评估窗口和范围(图5-4)。
图 5-4:内部网络-有跳转测试
跳转的第二个定义是指利用一个应用程序跳转到另一个应用程序并提升权限。一些攻击性安全测试仅限于针对一个或多个设备上托管的特定应用程序。例如,一个数据库应用程序。如果不允许执行跳转测试,这意味着即使评估人员通过使用和利用数据库找到了获取系统上下文的方法,他们也无法做到这一点。这是一个比设备跳转测试更不常见的约束,但是肯定存在能够保证在 ROE 中限制或拒绝这两种跳转测试的评估范围。
无线网络
通过无线媒体进行攻击与物理攻击活动类似,因为它通常是红队中一个更窄、更专业的领域,很少有人能够非常熟练地执行这种类型的活动。这类活动需要接受更多的风险,并被描述为ROE中整体攻击活动的一部分。无线网络攻击活动有三种类型的操作:
1.被动监听,目的是通过收集足够的通信流量来破解加密或识别凭据,最终获得进一步的访问权限
2.主动利用漏洞攻击不安全的蓝牙设备并从中窃取或操纵信息
3.拒绝无线服务是一种有利于红队的攻击方式并且可以改变组织运作状态
拒绝无线服务攻击有助于安全评估的一个例子是拒绝与接入点通信并强制目标设备从安全无线接入点切换到红队设置的恶意无线接入点的活动。无线技术的范围来自 802.11 标准,通常用于企业和家庭的收音机,蓝牙,红外等。如果无线攻击活动是安全评估的一部分,则必须在ROE中定义活动类型和可瞄准的技术。红队成员还必须意识到,无线传输波由联邦机构管理,如果针对客户组织的拒绝活动对非客户资产(如隔壁咖啡店的无线网络)产生负面影响,这种行为违反了联邦法规,根据联邦法律可以起诉。
还有一个复杂的因素,即客户组织中的个人可以将其个人设备连接到组织的无线网络,并且因此在无线攻击的安全评估期间可能成为目标或受到影响。这种可能的冲突应该使用社会工程一节中讨论的相同方法来处理。这些类型的情况、相关政策和用户协议必须被理解并记录在ROE中,以消除评估方的责任。
评估类别
除了在ROE中包含和批准的活动类型外,还需要确定红队将进行的进攻性安全评估的类别。安全评估的类别有黑盒测试、灰盒测试或白盒测试。
黑盒测试是指在几乎没有提供目标信息的情况下进行评估,例如目标本身的名称。这种测试方式在一个更现实的攻击场景中会牺牲时间,并给评估带来风险。评估结果可能会超出法律可接受的范围,或者可能会遗漏组织的某些资产。例如,黑盒测试中的开源研究可能会让评估人员看到一个看起来像是属于组织的网站。但当红队对该网站执行漏洞利用后,他们发现这个网站的内容是复制了目标组织的网站用于营销,导致评估人员违反了 CFAA 和其他法律。
灰盒测试是只提供一部分信息的测试方式,这样做可以避免黑盒测试的风险。通常会提供一个完整的外部存在的站点列表,评估人员必须从中找出所有其他问题。
最后,白盒测试是评估方几乎完全了解目标组织的测试方式。这在有机红队的情况中是不可避免的,而且不一定是一件坏事。记住,许多入侵事件都是内部威胁的结果,这些员工也可能有与红队人员同样的见多识广的观点。在大多数情况下,白盒测试和黑盒测试一样有用。
武力升级
在红队作战的各个方面中,建立红队作战的升级机制与军事上建立红队作战的概念密切相关。武力升级是ROE的另一个方面,非常简单易懂,在进行任何评估之前,都必须将其记录在案并加以确认,这一点极为重要。网络红队ROE中的武力升级定义了无需事先与客户组织中的适当联络人核实批准即可完成的活动类型的限制。获得此类批准对于执行和防止因重大过失而影响到客户很重要,并且通常在评估生产或运营环境时包括在任何ROE中。ROE中接受一定级别的活动以进行日常测试和枚举;特定操作(如提升权限或利用远程代码执行漏洞)需要逐案批准。如果在ROE中设置了这些类型的约束,那么客户组织需要确保它有一个响应式的批准机制,以保持评估的效率。
我非常喜欢由目标组织提供一个联络人。联络人是组织的代表,在整个评估过程中,他都是可用的,并且对红队活动有一般的态势感知,同时在评估过程中提供所需的大多数类型的批准。联络人可以是技术型或类似经验的攻击性安全从业者,也可以是技能较低的IT或安全雇员。除了保持红队活动的流线型外,让一名联络人在场还有助于客户组织,因为目标组织的一名成员可以获得进攻红队的第一手视角,并可以将这种经验反馈给公司管理层并应用在他们的日常工作中,同时将提高安全防御能力作为一个整体。
事件处理
事件处理需要一个授权链。事件分为两类,并有单独的报告链:在组织内部发现的非法活动和特定组织的非法活动。非法活动的例子如:当评估人员发现证据,使他们怀疑存在非法行为,如毒品分销、人口贩运或其他严重犯罪,已经或正在实施的其他行为。ROE 必须说明如何以及向谁报告这些可疑事件。这样做的原因是,如果测试人员直接向有关当局报告其非法活动的嫌疑,而不是仅仅向客户组织报告,那么客户组织无法向评估人员寻求法律赔偿。
想象一下,一个组织的高管正在进行内幕交易,而评估人员在评估过程中发现了这方面的证据,并将他们的发现报告给法律权威机构。该组织可能会试图通过根据属于 ROE 一部分的保密协议发布死亡命令来阻止对事件的报道。关于非法活动的事件报告条款取代了该条款,并明确了评估员从一开始就报告此类事件的义务。ROE 还应概述客户组织对其人员及其潜在非法行为的报告期望。它应该详细说明评估员必须报告的组织人员所进行的非法行动的类型以及向谁报告。这类活动的例子是寻找性骚扰、考勤卡欺诈或其他违反组织政策的证据。所有行动或安全性质的事件都应通过向处理评估期间的武力升级而设立的技术联络人报告,因为他们最有能力根据这些报告采取行动。
工具
评估过程中需要使用的工具也需要在 ROE 中定义。这样做是为了防止客户在评估过程中使用的工具导致中断或更糟糕时指责评估人员疏忽大意。只要客户在 ROE 中同意红队可以使用该工具,就不会对红队产生任何反弹。在ROE中列出工具规范还可以保护客户免受沮丧的评估人员的伤害,因为你他们可能会使用风险高、未经批准的工具或利用漏洞试图访问一台复杂的机器。
这些都是很一般的例子;然而,ROE 可能有必要作出非常明确的指示,特别是在与政府组织打交道时,评估人员需要保证合规,比如说,管理组织的权限。在这样的权限范围内进行操作可能意味着避免使用本身存在已知安全问题的工具,并为测试执行期间使用的工具维护最新版本。
通常在ROE中,提到工具就像是说“将使用行业标准、开源和自定义工具来执行评估”一样含糊不清。这句话通常是大多数情况下 ROE 中唯一需要提到的工具,我通常看到的唯一论点是是否允许使用自定义工具。声明的自定义工具部分包括评估员自己编写的和使用他们自己的自定义工具和脚本。这种用定制功能扩充已知工具的能力是区分高级和有才华的红队队员与其他同行的标准,但对于某些客户组织来说并不总是在舒适的范围内。如果自定义工具部分从ROE中删除,那么评估人员在评估过程中只能使用已知的行业标准和开源工具。
认证要求
按照与工具要求相同的思路,可能会有一个关于允许评估员在组织网络上进行红队活动所需的认证的声明。特别是政府客户可能会对红队提出这种要求。在许多政府系统中享有更高的特权需要这些个人持有某些证书。由于红队活动可能导致评估员获得更高的特权,他们还必须持有所需的证书。对于存储 HIPAA 信息的系统和其他类似示例的系统也可能有这种要求。该标准是客户根据具体情况批准测试人员而制定的,如果认证是必要的,则需要在 ROE 中指定具体的评估人员。在某些情况下,大型红队资源会在不同的项目之间同时使用。
在这些情况下,ROE可能会声明,在组织内运作的任何红队成员必须持有特定性质的有效认证,以避免必须提前登记评估方的每个成员。
人员信息
在可能的情况下,需要在ROE中确定参与评估的所有人员(协议双方的人员),并且必须包括他们的联系信息。这有助于人员召回、消除冲突,以及在整个评估过程中适当的设置权力链程序。
总结
在本章中,我们研究了 ROE 文件对评估人和被评估人的重要性。我们对具体的 ROE内容,如活动类型和评估类别都做了分解以显示它们对整体评估的相对重要性。
本文由作者“丝绸之路”整理发布,如若转载,请注明原文地址: