为什么红队无法回答防守者最重要的问题

为什么红队无法回答防守者最重要的问题

时间戳记:5年2024月10日,凌晨00:XNUMX
为什么红队无法回答防御者最重要的问题 PlatoBlockchain 数据智能。垂直搜索。人工智能。

评论

1931年,科学家、哲学家 Alfred Korzybski 写道:“地图不是领土。”他的意思是,所有模型,比如地图,都会遗漏一些与现实相比的信息。用于检测网络安全威胁的模型同样受到限制,因此防御者应该始终问自己:“我的威胁检测是否检测到了它应该检测到的所有内容?”渗透测试和红蓝队练习就是试图回答这个问题。或者,换句话说,他们的威胁地图与威胁的现实有多接近? 

不幸, 红队评估 不太好回答这个问题。红队对于很多其他事情都很有用,但对于回答有关防御效力的具体问题来说,这是错误的协议。结果,防守者对他们的防守有多强并没有现实的感觉。

红队评估受到本质限制

红队评估并不能很好地验证防御措施是否有效。就其性质而言,他们只测试对手可能使用的几种可能的攻击技术的一些特定变体。这是因为他们试图模仿现实世界的攻击:首先侦察,然后入侵,然后横向移动,等等。但防守者从中学到的只是这些特定的技术和变化对他们的防守不利。他们无法获得有关其他技术或同一技术的其他变体的信息。

换句话说,如果防守者没有发现红队,是因为他们的防守不足吗?还是因为红队选择了他们没有准备好的一个选项?如果他们确实检测到了红队,他们的威胁检测是否全面?或者“攻击者”只是选择了他们准备好的技术?没有办法确定。

这个问题的根源是红队没有测试足够的可能的攻击变体来判断防御的整体强度(尽管它们以其他方式增加价值)。攻击者可能有比您想象的更多的选择。我研究过的一项技术有 39,000 种变化。另一个有2.4万!测试全部或大部分这些是不可能的,测试太少会给人一种错误的安全感。

对于供应商:信任但验证

为什么测试威胁检测如此重要?简而言之,这是因为安全专业人员想要验证供应商是否确实对他们声称要阻止的行为进行了全面的检测。安全状况很大程度上取决于供应商。组织的安全团队选择并部署入侵防御系统 (IPS)、端点检测和响应 (EDR)、用户和实体行为分析 (UEBA) 或类似工具,并相信所选供应商的软件能够检测到其声称会检测到的行为。安全专家越来越希望验证供应商的声明。我已经记不清听过多少次对话了,其中红队报告了他们闯入网络的行为,蓝队说这不应该是不可能的,红队耸耸肩说:“好吧,我们是这样做的……”辩护者想要深入探究这种差异。

针对数以万计的变体进行测试

尽管测试攻击技术的每种变体并不实际,但我相信测试其中的代表性样本是可行的。为此,组织可以使用 Red Canary 的开源等方法 原子测试,其中对每个技术使用多个测试用例单独进行测试(不作为总体攻击链的一部分)。如果红队练习就像一场足球混战,那么原子测试就像练习个人比赛。并非所有这些比赛都会在一场完整的混战中发生,但在它们发生时进行练习仍然很重要。两者都应该是全面培训计划的一部分,或者在这种情况下,是全面安全计划的一部分。

接下来,他们需要使用一组测试用例,涵盖相关技术的所有可能变体。构建这些测试用例对于防御者来说是一项至关重要的任务;它将与测试评估安全控制的效果直接相关。继续上面的类比,这些测试用例构成了威胁的“地图”。就像一张好的地图一样,它们会省略不重要的细节并突出显示重要的细节,以创建分辨率较低但总体准确的威胁表示。如何构建这些测试用例是我仍在努力解决的一个问题(我已经 写了 到目前为止我的一些工作)。

针对当前威胁检测缺点的另一种解决方案是使用 紫色队 — 让红队和蓝队合作,而不是将彼此视为对手。红蓝队之间更多的合作是好事,因此紫队服务兴起。但大多数这些服务并不能解决根本问题。即使有更多的合作,仅关注少数攻击技术和变体的评估仍然太有限。紫队服务需要发展。

构建更好的测试用例

构建良好测试用例的部分挑战(以及红蓝团队合作本身还不够的原因)是我们对攻击进行分类的方式掩盖了很多细节。网络安全通过三层视角看待攻击:战术、技术和程序 (TTP)。像这样的技术 凭证倾销 可以通过许多不同的过程来完成,例如 Mimikatz 或 Dumpert,并且每个过程可以有许多不同的函数调用序列。定义什么是“程序”很快就会变得很困难,但通过正确的方法是可能的。该行业尚未开发出一个良好的系统来命名和分类所有这些细节。

如果您希望对威胁检测进行测试,请寻找方法来构建代表性样本,以测试更广泛的可能性 - 这是一个更好的策略,可以产生更好的改进。它还将帮助防守者最终回答红队苦苦挣扎的问题。

时间戳记:

更多来自 暗读