读红蓝攻防：技术与策略02网络安全挑战

1.       网络安全挑战

1.1.         并非所有行业都会面临相同类型的网络安全挑战
1.2.         旧技术

• 1.2.1.           网络钓鱼邮件
  
  
  
  • 1.2.1.1.            仍然是当前网络安全挑战的一部分
    
  
  
• 1.2.2.           勒索软件
  
  
  
  • 1.2.2.1.            钓鱼邮件仍然是勒索软件的头号投递工具
    

    1.2.2.1.1.             要为用户提供指导，以降低通过社会工程手段成功利用人为因素的可能性，并实施严格的技术安全控制措施进行保护和检测
    

    
    
  
  
• 1.2.3.           使用窃取的凭据
  
  
  
  • 1.2.3.1.            数据外泄(data exfiltration)
    
  • 1.2.3.2.            另一个属性是持续访问目标网络的时间长短
    

    1.2.3.2.1.             其目的是继续在整个网络中横向移动，损害不同的系统，直到达到目标
    

    
    
  
  
• 1.2.4.           错误配置
  
  
  
  • 1.2.4.1.            糟糕的网络卫生基本上意味着客户没有做足功课来纠正安全建议，包括薄弱的设置甚至错误的配置
    
  
  

1.3.         最大的挑战之一是，在攻击者已经进入网络时如何识别他们

• 1.3.1.           传统的检测系统，如入侵检测系统(Intrusion Detection System，IDS)，可能不足以对发生的可疑活动发出告警，特别是在流量被加密的情况下
  

1.4.         加密和勒索软件是新兴且不断增长的威胁，为组织和网络安全专业人员带来了全新的挑战

• 1.4.1.           2017年5月，史上最大规模的勒索软件攻击WannaCry震惊全球
  

1.5.         威胁形势的转变

• 1.5.1.           通过增强安全态势，确保你拥有更好的安全卫生，并持续监控工作负载非常重要
  
• 1.5.2.           需要不断努力，确保组织在默认情况下是安全的，换句话说，你已经做了功课，保护了你的资产，培训了你的员工，并不断增强你的安全态势
  

2.       增强安全态势

2.1.         你不能使用旧的安全方法应对今天的挑战和威胁
2.2.         有必要通过提高响应过程的有效性来快速响应攻击，从而缩短感染和遏制之间的时间
2.3.         建议执行自我评估，以从工具的角度确定每个支柱中的弱点

• 2.3.1.           保护
  
• 2.3.2.           检测
  
• 2.3.3.           响应
  

2.4.         零信任

• 2.4.1.           有必要建立一个零信任架构(Zero Trust Architecture，ZTA)
  
• 2.4.2.           ZTA的最终供应商无关的来源是NIST 800-207零信任标准
  
• 2.4.3.           在ZTA中，不存在可信网络，甚至企业内部网络也不完全可信
  
  
  
  • 2.4.3.1.            这是一个重要的原则，因为其思想是总假设威胁行为者存在并积极地试图攻击企业以获取其资产
    
  
  
• 2.4.4.           许多设备将位于公司网络上，并且许多设备不归公司所有
  
  
  
  • 2.4.4.1.            随着自带设备的增长，假设用户将使用各种各样的设备，而公司不一定拥有这些设备，这一点至关重要
    
  
  
• 2.4.5.           资源的可信性无法继承
  
  
  
  • 2.4.5.1.            这符合第一个原则，但能扩展到任何资源，而不仅仅是网络基础设施
    
  
  
• 2.4.6.           跨公司和非公司基础设施移动的资产应具有一致的安全策略和状态
  
  
  
  • 2.4.6.1.            保持资产安全策略一致和拥有资产安全警察是确保采用ZTA的关键原则
    
  
  
• 2.4.7.           从网络的角度来看，实现零信任网络的一种常见方式是使用设备和用户的信任声明来访问公司的数据
  
• 2.4.8.           组成部分
  
  
  
  • 2.4.8.1.            身份提供者
    
  • 2.4.8.2.            设备目录
    
  • 2.4.8.3.            条件策略
    
  • 2.4.8.4.            利用这些属性授予或拒绝对资源进行访问的访问代理
    
  
  
• 2.4.9.           最大优点在于，与同一用户正在使用另一设备并且从他们可以访问的另一位置登录时相比，当用户从特定位置和从特定设备登录时，可能无法访问特定资源
  
• 2.4.10.      基于这些属性的动态信任概念增强了基于访问特定资源的上下文的安全性
  
  
  
  • 2.4.10.1.        完全改变了在传统网络架构中使用的固定安全层
    
  
  
• 2.4.11.      实施零信任网络是一个漫长的过程
  
  
  
  • 2.4.11.1.        确定资产，如数据、应用程序、设备和服务
    

    2.4.11.1.1.         这一步非常重要，因为这些资产将帮助你定义业务流程，换句话说，这些资产将如何通信
    

    
    
  • 2.4.11.2.        定义策略、日志记录级别和控制规则
    
  • 2.4.11.3.        定义主动监视这些资产和通信的系统
    

    2.4.11.3.1.         这样做不仅是为了审计，也是为了检测
    

    2.4.11.3.2.         如果正在发生恶意活动，那么你必须尽可能快地意识到这一情况
    

    
    
  
  
• 2.4.12.      每个供应商可能有不同的解决方案，当有一个异构环境时，你需要确保不同的部分可以协同工作来实现该模型
  

2.5.         云安全态势管理

• 2.5.1.           Cloud Security Posture Management，CSPM
  
• 2.5.2.           当公司开始迁移到云环境时，由于引入了新的工作负载，威胁环境发生了变化，因此公司在保持安全态势方面面临的挑战会增加
  
• 2.5.3.           理想情况下，你应该在开始迁移到云之前评估你的云提供商的云原生安全工具
  
• 2.5.4.           三个主要功能：可见性、监控和合规保证
  
• 2.5.5.           CSPM解决方案的考虑因素
  
  
  
  • 2.5.5.1.            合规评估
    

    2.5.5.1.1.             确保CSPM 盖公司使用的法规标准
    

    
    
  • 2.5.5.2.            运营监控
    

    2.5.5.2.1.             确保你能够了解整个工作负载，并提供最佳实践建议
    

    
    
  • 2.5.5.3.            DevSecOps 集成
    

    2.5.5.3.1.             确保可以将该工具集成到现有的工作流和业务流程中
    

    2.5.5.3.2.             如果不能，请评估可用选项以自动执行和协调对 DevSecOps 至关重要的任务
    

    
    
  • 2.5.5.4.            风险识别
    

    2.5.5.4.1.             CSPM 工具如何识别风险并推动你的工作负载更加安全?
    

    
    
  • 2.5.5.5.            策略实施
    

    2.5.5.5.1.             确保可以为你的云工作负载建立中央策略管理，并且你可以自定义并实施它
    

    
    
  • 2.5.5.6.            威胁防护
    

    2.5.5.6.1.             如何知道你的云工作负载中是否存在活动威胁?
    

    2.5.5.6.2.             不仅要保护(主动工作)，还要检测(被动工作)威胁
    

    
    
  
  

2.6.         多云

• 2.6.1.           多云的采用有所增长，客户关注的是冗余和灾难恢复，并避免供应商锁定
  
• 2.6.2.           一个新的挑战，即如何从一个集中的位置保持对整个多云的可见性和控制力
  
• 2.6.3.           在采用多云的情况下，你的大部分资源将位于一个云提供商处，而其他一些资源将在不同的云提供商处
  
• 2.6.4.           解决方案
  
  
  
  • 2.6.4.1.            能够为每个云提供商和工作负载创建定制评估
    
  • 2.6.4.2.            随着时间的推移，安全态势进度的可见性，以及将影响安全态势增强的安全建议的优先级
    
  • 2.6.4.3.            跨基于计算的工作负载的漏洞评估
    
  • 2.6.4.4.            将安全控制与合规标准对应起来的能力
    
  • 2.6.4.5.            每种工作负载类型创建威胁检测
    
  • 2.6.4.6.            通过工作流自动化集成事件响应
    
  
  

3.       红队和蓝队

3.1.         红队与蓝队演练并不是什么新鲜事

• 3.1.1.           最初的概念是在第一次世界大战期间引入的，与信息安全领域的许多术语一样，这个概念起源于军队
  
• 3.1.2.           1932年，海军少将哈里·E.亚内尔(Harry E.Yarnell)展示了袭击珍珠港的效果
  
  
  
  • 3.1.2.1.            九年后，日军偷袭珍珠港
    
  
  

3.2.         总的想法是通过模拟来演示攻击的有效性
3.3.         虽然军事中“红队”的概念更广泛，但通过威胁模拟的方式进行情报支持，与网络安全红队所要达到的目的相似
3.4.         红队

• 3.4.1.           在网络安全领域，采用红队方法也有助于企业更安全地保护资产
  
• 3.4.2.           红队必须由训练有素、技能各异的人员组成，他们必须充分了解组织所在行业当前面临的威胁环境
  
• 3.4.3.           红队必须了解趋势，了解当前的攻击是如何发生的
  
• 3.4.4.           在某些情况下，根据组织的要求，红队成员必须具备编程技能才能构建漏洞利用，并对其进行自定义，以便更好地利用可能影响组织的相关漏洞
  
• 3.4.5.           红队将执行攻击并渗透环境以发现漏洞
  
  
  
  • 3.4.5.1.            这项任务的目的是发现漏洞并加以利用，以便获得对公司资产的访问权限
    
  
  
• 3.4.6.           主要指标
  
  
  
  • 3.4.6.1.            平均失陷时间(Mean Time To Compromise，MTTC)
    

    3.4.6.1.1.             从红队发起攻击时起，直到成功攻陷目标的那一刻
    

    
    
  • 3.4.6.2.            平均权限提升时间(Mean Time To Privilege scalation，MTTP)
    

    3.4.6.2.1.             从与前一个指标相同的时间点开始，但是一直到完全失陷，也就是红队对目标拥有管理权限的时刻
    

    
    
  
  

3.5.         蓝队

• 3.5.1.           蓝队需要确保资产的安全，如果红队发现漏洞并加以利用，那么蓝队需要迅速补救并将其记录为经验教训的一部分
  
• 3.5.2.           蓝队成员也应该有各种各样的技能，并且应由来自不同部门的专业人员组成
  
• 3.5.3.           保存证据
  
  
  
  • 3.5.3.1.            当务之急是在这些事件中保存证据，以确保你有有形的信息可供分析、合理化，并在未来采取措施来减轻影响
    
  
  
• 3.5.4.           验证证据
  
  
  
  • 3.5.4.1.            不是每一个告警或者这种情况下的证据都会让你发现有效的入侵系统企图
    
  • 3.5.4.2.            如果它真的发生了，就需要将其作为一个失陷指示器(Indicator Of Compromise，IOC)进行分类
    
  
  
• 3.5.5.           使任何所需人员参与其中
  
  
  
  • 3.5.5.1.            在这一点上，蓝队必须知道如何处理这个IOC，以及哪个小组应该知道失陷这件事
    
  • 3.5.5.2.            让所有相关小组参与进来，这可能会根据组织的不同而有所不同
    
  
  
• 3.5.6.           对事件进行分类
  
  
  
  • 3.5.6.1.            有时蓝队可能需要执法人员参与，或者他们可能需要逮捕令才能进行进一步调查，但通过适当的分类来评估案件并确定谁应该继续处理将对这一进程有帮助
    
  
  
• 3.5.7.           确定破坏范围
  
  
  
  • 3.5.7.1.            有足够的信息来确定破坏的范围
    
  
  
• 3.5.8.           创建补救计划
  
  
  
  • 3.5.8.1.            应该制定补救计划，以隔离或驱逐对手
    
  
  
• 3.5.9.           执行计划
  
  
  
  • 3.5.9.1.            一旦计划完成，蓝队就需要严格执行并修复漏洞
    
  
  
• 3.5.10.      主要指标
  
  
  
  • 3.5.10.1.        估计检测时间(Estimated Time To Detection，ETTD)
    
  • 3.5.10.2.        预计恢复时间(Estimated Time To Recovery，ETTR)
    
  
  

3.6.         假定入侵

• 3.6.1.           从预防破坏到假定入侵
  
• 3.6.2.           防止入侵的传统方法本身并不能促进正在进行的测试，要应对现代威胁，你必须始终完善防护
  
• 3.6.3.           假定入侵验证了保护、检测和响应，以确保它们得到正确实施
  
• 3.6.4.           但要将其付诸实施，你必须利用红队与蓝队演练来模拟针对其自身基础设施的攻击，并测试公司的安全控制措施、传感器和事件响应流程
  
• 3.6.5.           这不应该是一次性的演练，而是一个持续的过程，随着时间的推移，将通过最佳实践进行改进和完善
  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！