侵權投訴
訂閱
糾錯
加入自媒體

安全狗談紅藍對抗:Red Team服務比傳統(tǒng)滲透測試好在哪?

2019-06-03 14:25
來源: 粵訊

最近圈內(nèi)關于紅藍對抗,Red Team服務的討論很熱烈,原因相信大家都是很清楚的。目前來看,很多企事業(yè)單位對“安全之痛”還缺乏體會,國內(nèi)安全防護水平的發(fā)展很大程度上仍然需要監(jiān)管部門來推動。

筆者所在的公司(安全狗)在今年年初,也把原來做滲透測試的團隊升級成為了可提供Red Team服務的隊伍,一方面是因為滲透測試服務市場受到了眾測服務一定程度的沖擊,另外一方面是隨著攻擊手段隱蔽性和復雜性的逐年提升,國內(nèi)Red Team服務需求會大幅上升,F(xiàn)在回過頭來看,我們的預判很準確。

最近很多文章都在強調(diào)Red Team服務攻擊能力的重要性,由于我本人長年從事安全防護產(chǎn)品研究和設計工作,所以本文將從Red Team服務促進安全體系改進提升的角度進行探討。

Red Team服務(國內(nèi)團隊也稱為藍軍)旨在通過全場景、多維度的“真實”攻擊來檢驗企業(yè)實際的安全防護水平和發(fā)現(xiàn)安全防護體系的缺陷。

Red Team服務與傳統(tǒng)滲透測試相比最大的區(qū)別在于:

1、傳統(tǒng)滲透測試目的在于盡可能找全某個系統(tǒng)的漏洞,對于漏洞的利用基本是點到為止(確認其可利用性和危害);Red Team服務的目的則不是為了找全漏洞,而是為了找到可利用的風險點,并繞過防護體系滲透到企業(yè)內(nèi)部,全面檢驗企業(yè)各個維度的安全防護能力和安全感知能力;

2、傳統(tǒng)滲透測試的攻擊手段相對比較單一,比如針對web業(yè)務系統(tǒng)的滲透測試基本就是利用web攻擊的相關方法;而Red Team服務會利用多維度的攻擊方法(如web滲透、郵件釣魚、魚叉攻擊、無線攻擊甚至物理攻擊);

3、傳統(tǒng)滲透測試一般會選用模擬測試環(huán)境進行;而Red Team更傾向于在真實環(huán)境和場景中進行真實的對抗,會有攻擊方和防守方甚至有裁判組,整個過程相對更加復雜。

我們的Red Team方案把整個攻擊鏈條總結為“從外到內(nèi)、從內(nèi)到內(nèi)和從內(nèi)到外”三個環(huán)節(jié),從這三個環(huán)節(jié)基本能完整檢驗一個企業(yè)的真實防守能力,如下圖所示:

安全狗談紅藍對抗:Red Team服務比傳統(tǒng)滲透測試好在哪?

“從外到內(nèi)”主要檢驗企業(yè)的邊界防護能力、員工的安全意識以及供應鏈上的安全風險等;這部分的攻擊方法會涉及到web攻擊、郵件釣魚、社工測試、第三方供應鏈攻擊等。

“從內(nèi)到內(nèi)”主要檢驗企業(yè)內(nèi)部安全的防護能力和內(nèi)部安全威脅感知能力等;這部分的攻擊方法會涉及到內(nèi)部的橫向滲透、系統(tǒng)提權攻擊、后門隱藏甚至會用到一些0Day漏洞,有點APT的味道。

“從內(nèi)到外”主要檢驗企業(yè)對于安全威脅感知能力和信息數(shù)據(jù)外傳泄露的檢測能力等;這部分的攻擊方法會涉及隱藏的反彈Shell(繞過防火墻)、隱蔽隧道數(shù)據(jù)傳輸?shù)取?/p>

從這個三個方面的攻擊鏈條來看,安全防護體系的縱深性、聯(lián)動性和全面感知是非常重要的。由于Red Team能檢驗的防守點很多,接下來我們結合對應的產(chǎn)品,分別從三個階段給出提升防護體系的建議。

一、從外到內(nèi)

這個階段重點推薦RASP(應用運行時自保護),這是針對web安全的縱深防護手段。目前大部分企業(yè)在邊界上都部署了云WAF、硬件WAF,但如果出現(xiàn)一個未知web中間件漏洞或應用系統(tǒng)漏洞,直接繞過邊界上的WAF是相當容易的(如各種JAVA中間件的反序列化漏洞);而如果此時web后端有個RASP模塊進行保護,就可以輕松地發(fā)現(xiàn)這些高級攻擊,如:web進程執(zhí)行命令、web進程敏感文件讀寫行為、web進程對系統(tǒng)賬號的修改行為、web進程對外網(wǎng)絡連接行為等;對這些行為再加以分析基本就可以判斷系統(tǒng)是否已經(jīng)被攻陷并快速采取處置動作。

具體的原理如下圖:

安全狗談紅藍對抗:Red Team服務比傳統(tǒng)滲透測試好在哪?

當然這類產(chǎn)品優(yōu)點雖然很明顯,但缺點也很突出,就是侵入性太強。對于業(yè)務連續(xù)性要求很高的行業(yè),一般不敢輕易嘗試。從我們實際部署的經(jīng)驗看,可以考慮從一些邊緣的系統(tǒng)開始測試,穩(wěn)定后逐步覆蓋到關鍵系統(tǒng)。在部署安裝的時候可利用多節(jié)點負載備份和選擇非工作時段,同時要求RASP安全策略和自身模塊支持熱更新模式,無需重啟服務。

二、從內(nèi)到內(nèi)

從去年的某大型攻防演練中可以看到,很多大型企業(yè)內(nèi)部防護基本是空白的(大部分單位認為內(nèi)部網(wǎng)絡隔離就是安全的),因此今年企業(yè)對這方面也特別重視。這個階段重點推薦兩種類型產(chǎn)品:

第一類是 (云)服務器主機EDR產(chǎn)品。EDR(終端檢測和響應)是Gartner針對終端安全提出的下一代產(chǎn)品,連續(xù)四年進入Gartner的年度安全技術榜單。筆者在實際的產(chǎn)品研究過程中發(fā)現(xiàn)EDR的能力要求更適合(云)服務器主機環(huán)境:

EDR要求Agent輕量化:很多甲方客戶不敢在服務器上裝安全Agent,就是擔心安全Agent占用資源影響到業(yè)務,由此導致內(nèi)部主機大面積裸奔的情況,而EDR的Agent輕量化正好符合服務器場景的要求;

EDR要求檢測能力:PC終端安全的大部分問題在于容易感染病毒,而服務器主機更多問題在于如何發(fā)現(xiàn)入侵和違規(guī)行為,因此服務器場景對于檢測能力的要求高于殺毒能力,所以EDR的檢測能力非常適合在服務器場景上應用;

EDR要求快速響應能力:主機Agent可以滿足阻斷、隔離、還原等快速響應的要求。

綜上,服務器主機EDR產(chǎn)品在內(nèi)部安全威脅檢測中可以起到很好的效果,既可以彌補內(nèi)部檢測能力的不足,同時也很適用于云的場景,不受網(wǎng)絡區(qū)域限制。

安全狗談紅藍對抗:Red Team服務比傳統(tǒng)滲透測試好在哪?

第二類是欺騙防御產(chǎn)品。欺騙防御系統(tǒng)也是這幾年比較新興的一種產(chǎn)品品類,由原來的蜜罐產(chǎn)品升級而來,但又不同于傳統(tǒng)意義上的蜜罐。我們認為欺騙防御產(chǎn)品是對安全檢測體系一個很好的補充,很適合在一些特殊的內(nèi)網(wǎng)進行部署。

欺騙技術分為不同層次,需具備真實網(wǎng)絡的所有特征,包括真正的數(shù)據(jù)和設備。這種欺騙技術可以模仿并分析不同類型的流量,提供對賬戶和文件的虛假訪問,更為神似地模仿內(nèi)部網(wǎng)絡,同時還要求可以自動部署,讓攻擊者被耍得團團轉,陷入無窮無盡追逐更多信息的循環(huán)中。欺騙防御產(chǎn)品按既定意圖運作時,黑客會真的相信自己已經(jīng)滲透到了受限網(wǎng)絡中。

三、從內(nèi)到外

這個階段對于數(shù)據(jù)外傳的檢測是相當重要的,這里重點推薦流量威脅檢測類型的產(chǎn)品。不少人認為流量威脅檢測產(chǎn)品是IDS的下一代升級版,這樣認為有一定道理(都是旁路流量檢測)但又不完全準確,筆者認為好的流量威脅檢測產(chǎn)品須具備以下特性:

不依賴威脅情報情況下對于反彈外聯(lián)的檢測能力(依賴檢測算法);

依賴威脅情報對于C&C的快速檢測能力;

依賴AI模型對于隱蔽傳輸通道的識別能力;

元數(shù)據(jù)的采集、存儲和分析能力,同時能對接給態(tài)勢感知平臺;

威脅事件的溯源取證能力(存儲原始的package)

安全狗談紅藍對抗:Red Team服務比傳統(tǒng)滲透測試好在哪?

當然,介紹了這么多的防護產(chǎn)品,最終還是需要聯(lián)動起來才能發(fā)揮作用,這就要依靠安全大數(shù)據(jù)分析和響應平臺(也就是大家常說的態(tài)勢感知平臺或安全大腦)。在缺乏有效的全局安全威脅情報共享聯(lián)動作支撐的情況下,不同廠商、不同類型的傳統(tǒng)安全產(chǎn)品難以協(xié)同,容易發(fā)生安全威脅和整體態(tài)勢研判誤報、漏報的現(xiàn)象。

而依托安全大數(shù)據(jù)分析和響應平臺,部署的各類防護軟件和系統(tǒng)既可以針對目標進行實時防護,同時又可將攻擊數(shù)據(jù)匯總至態(tài)勢感知平臺,全面展示安全態(tài)勢,實現(xiàn)對全局的安全風險可視和可預測,為安全決策提供可靠的依據(jù)和手段,這也是我們發(fā)展此類平臺的重要意義。

“九層之臺起于壘土”,安全防護體系的建設也需要一個過程,這個過程中,既考驗甲方的安全規(guī)劃和安全運營能力,也挑戰(zhàn)乙方的產(chǎn)品能力和服務能力。相信隨著國內(nèi)網(wǎng)絡安全產(chǎn)業(yè)不斷地向前發(fā)展,我們整體的安全防護水平也會不斷提升到新的高度。

聲明: 本文系OFweek根據(jù)授權轉載自其它媒體或授權刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負責,如有新聞稿件和圖片作品的內(nèi)容、版權以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號