开展专业的红蓝演练Part.4:浅谈红队的自动化方法本章的重点内容和学习笔记希望对更多人有所帮助。在本章中,作者主要阐述了目前学术界和工业界对红队自动化的研究思路、方法和工具。并讨论了红队自动化的必要性以及相关方法和工具的不足。人类黑客演习还是自动化?虽然我们在上一章的篇幅中确实巩固了红队的目的,但对于人类黑客来说并不是很令人满意。定期在企业组织内开展红蓝演练。相信大部分领导都希望实现自动化。毕竟,每次都靠“人肉”发起演练,既费时又费力。但正如我们所见,完成红色和蓝色演习是一项艰巨的任务,而且通常代价高昂。学术界和工业界都试图用各种工具和技术来自动化或取代人类黑客。也有新兴的安全服务旨在取代红队所能提供的好处,但这些服务也需要不同的人员。阅读本章后,您无疑会理解为什么人类黑客是实施自动化红蓝演练的倒数第二个解决方案,以及为什么寻找所有类型的安全人员不能像红队那样提供主动缓解措施。关于红队创新和自动化在没有人类黑客的情况下对红队流程进行创新的动机得到了多个来源的支持。这些趋势主要集中在加快评估、使评估更容易获得或在某些情况下用更易于实施的服务取代红队。以下是对学术界和工业界道德黑客替代方案的分析。由此产生的对此类解决方案的理解很好地说明了为什么道德黑客(注:本书作者在前面的章节中多次强调红蓝演习中的红队人员必须由道德黑客组成)极其重要.重要并将继续如此。关于红队创新的最大工作来自学术界。在某些情况下,此类学术工作将自己标记为渗透测试,而另一些则标记为红色团队。同样,就本书而言,所有这些攻击性安全功能本质上都是可以互换的。学术论坛(如期刊和论文)的大部分工作都集中在使用技术来自动化红队攻击,而不是为人类黑客创新攻击性安全流程来攻击红队。原因可能是很少有学者是经验丰富的安全专家,尤其是在网络攻击方面经验丰富,或者更准确地说,大多数在网络攻击方面经验丰富的安全专家在学术方面没有太多努力。因此,这意味着学术研究人员与有安全攻击经验的人之间存在着很大的“差距”。他们不太可能从高管的角度对红队遇到的问题和挑战有实际的了解,也不太可能对流程和方法无法进行切实的改进。围绕道德黑客间谍技术的学术创新进一步复杂化,学术工作必须努力证明是合理的。学术界寻找可行的方法来测试诸如红队间谍技术、评估和受“人为”因素影响的环境之类的东西,即使不是几乎不可能,也是令人望而生畏的。因此,学术界对红队的关注主要集中在自动化技术和攻击模型上,这些技术和攻击模型可以在防御上反复测试,而无需经验丰富或昂贵的红队从业者的参与,也不需要实际参与。由此产生的技术大致分为三类:既不利用漏洞也不进行移动渗出主机操作的技术、利用漏洞但不进行移动渗出主机操作的技术以及打算同时进行这两种操作的技术。所有这些技术都有自己的优点和缺点,自动化整个事情也是如此。这并不意味着这样的解决方案不可用。这也不意味着它们足以取代人类道德黑客。不利用漏洞或不从一个目标渗透到另一个目标的建模技术听起来根本不像红队,但我认为,在学术上提出的自动化技术中,这些是最有可能以积极方式实施的技术.影响红蓝钻技术的方法。理解此类技术试图实现的目标的关键是“建模”一词。对组织中潜在目标主机之间的关系进行建模的技术将使红队非常高效地知道在红色和蓝色演习期间哪个主机是他们的目标。图2-1显示了一个例子,其中主机A是初始感染者,主机G是最差的传播者。图2-1:简化的建模结果在学术研究人员的其中一个模型中,模型所需的信息主要来自有关企业组织内目标主机的信息(例如,开放端口、IP地址、网络布局、已安装的软件)等),来自这些主机的信息被输入到自动化模型中。然后运行该模型,通过将输入数据与已知漏洞利用数据库进行比较,以提供潜在或可能的攻击路径和主机移动途径。不同的学术作者提出了不同的研究和技术,这些研究和技术具有他们自己独特的逻辑或算法,以了解他们的路径和漏洞利用是如何发生的,以及哪些主机或系统处于给定的风险级别。这些想法之间的共同点是,它们依赖于某种定义的方法来对某种形式的输入采取行动,并最终生成一个潜在链接矩阵,然后安全团队可以将其重点关注。正如学术研究人员所建议的那样,使用这些技术代替人类黑客进行红蓝演习存在一些明显的问题。这些模型在实验室环境中工作得非常好。给定类似结构的数据并针对最新的漏洞数据运行,这些模型实际上可以产生可行的利用路径和风险点,但仅限于数据所代表的快照。此快照取决于从目标收集数据的时间以及上次更新漏洞数据库的时间。如果在算法运行后更改主机上的端口,模型输出可能会非常不准确,并且新的武器化漏洞可能会完全改变模型的结果。我无法想象现实世界中存在这样的应用程序,因为我们输入算法的信息无法完整准确地表示整个企业组织。将人类用户和管理员置于不断影响的变量组合中,似乎不可能在实验室或类似实验室的环境之外利用数据。虽然这项技术显然无法取代人类黑客,但为攻击者提供一些快速分析目标的方法绝对是这项技术的亮点所在。既不利用漏洞也不移动渗透主机的技术与通过建模技术实现自动化的想法相反,我们对攻击性安全领域有更熟悉的知识——漏洞识别和利用——但仍然没有在受感染的系统中做到这一点或在组织内进行深入研究(图2-2)。图2-2:既不利用漏洞也不渗透主机的技术学术界对此类技术的研究确实有多种目标。从纯粹专注于特定类型软件(例如数据库或网页)的技术,到自动尝试对整个网络执行表面级别的漏洞评估。这些技术是一种不需要道德黑客参与的解决方案。精通IT的人可以简单地在线下载漏洞利用工具包,填写他们想要执行安全评估的目标,然后点击“开始”。此类别中的一些工具试图反复绕过安全机制并在数据库或网页上执行漏洞利用,然后将发现的任何漏洞报告给使用该工具的人。其他技术包括自动扫描技术,它能够评估执行位置范围内的任何内容。当谈到替换红队技术时,一种实施起来不太痛苦的技术是运行漏洞扫描器。在学术界,漏洞扫描器被许多学者用作自动化红队的技术。仅漏洞扫描的问题是双重的。首先,它不代表对组织的实际攻击,甚至不模仿实际攻击的效果。其次,它只评估从实施点到目标主机的漏洞,这可能会使网络环境中的大部分攻击面得不到评估。此类中最好的解决方案是那些分发到网络中所有终端的解决方案。虽然这并不代表攻击或其影响,但这些解决方案确实提供了对部署环境的深入评估。其中一些技术是安装在CD或USB驱动器上的小型操作系统,因此它们可以通过网络进行物理移动,以从不同角度收集漏洞详细信息;有些更像是跨多个系统安装的分布式端点安全产品。即使是这些系统也很少真正受到攻击者的损害,并且他们都没有试图利用已经受到损害的系统或应用程序通过真正的攻击进一步传播。除了实施这种方法的学术努力外,还有一些此类行业示例。OffensiveSecurity提供了db-autopwn自动利用工具。同样,其他付费安全框架也有自动执行漏洞利用选项,通常依赖或模仿并构建在db-autopwn上。这些技术提供了在扫描主机后对主机执行攻击的额外功能,但仍然无法在主机受到威胁后对其进行移动渗透(图2-3)。图2-3:在不移动被渗透主机的情况下进行利用;利用和移动被渗透主机的技术这些技术尝试执行攻击,然后使用通过攻击获得的访问权限自动扫描并移动到其他计算机。听起来像虫子?,那是因为它本身就是一个蠕虫。相信有些读者见过这样的安全工具。这些技术依赖于前两类学者建议的红队替换工具的概念。他们需要漏洞评估能力以及关系建模能力。这些概念的组合允许第三种技术识别漏洞,利用已识别的漏洞获得对系统的访问权限,然后从新识别的角度继续进行漏洞评估——所有这些都是以一种自动化的方式,由选择建模的关系目标逻辑驱动基于的攻击(图2-4)。这些类型工具的功能在很大程度上依赖于用于识别漏洞的算法以及它们如何在整个网络中传播。这些工具的危险在于它们的行为就像自动蠕虫一样,如果配置错误或未正确监控,可能会对正在评估的系统造成实际伤害或系统降级。有一百万种可怕的情况可能会出错,并且可能有许多解决方案可以使用内置逻辑来避免它们。但是,您在自动化开发框架的决策矩阵中构建的逻辑越多,它就会变得越繁琐和依赖于人为干预。这种对这些技术的依赖很快就会超过它们提供的好处,因为它们需要太多的保姆或使用太多的计算资源来提供比道德黑客更高的成本效益。在红队创新方面,第三类工具——利用漏洞和移动渗透主机——通过使用自动化取代真正的人类黑客,使红队在竞争中遥遥领先。这是我在解释对道德人类黑客的需求时重点分解的能力类型。本文由作者“丝路”整理发布。如需转载请注明原文地址
