读红蓝攻防：技能与计谋02网络安全挑衅

1.       网络安全挑衅

1.1.         并非全部行业都会面对相同范例的网络安全挑衅
1.2.         旧技能

• 1.2.1.           网络钓鱼邮件
  
  
  
  • 1.2.1.1.            仍然是当前网络安全挑衅的一部分
    
  
  
• 1.2.2.           勒索软件
  
  
  
  • 1.2.2.1.            钓鱼邮件仍然是勒索软件的头号投递工具
    

    1.2.2.1.1.             要为用户提供引导，以降低通过社会工程本领成功利用人为因素的可能性，并实验严格的技能安全控制步伐进行保护和检测
    

    
    
  
  
• 1.2.3.           利用窃取的凭据
  
  
  
  • 1.2.3.1.            数据外泄(data exfiltration)
    
  • 1.2.3.2.            另一个属性是持续访问目的网络的时间是非
    

    1.2.3.2.1.             其目的是继续在整个网络中横向移动，损害不同的系统，直到达到目的
    

    
    
  
  
• 1.2.4.           错误设置
  
  
  
  • 1.2.4.1.            糟糕的网络卫生基本上意味着客户没有做足功课来改正安全发起，包括薄弱的设置甚至错误的设置
    
  
  

1.3.         最大的挑衅之一是，在攻击者已经进入网络时如何识别他们

• 1.3.1.           传统的检测系统，如入侵检测系统(Intrusion Detection System，IDS)，可能不足以对发生的可疑活动发出告警，特别是在流量被加密的情况下
  

1.4.         加密和勒索软件是新兴且不断增长的威胁，为组织和网络安全专业人员带来了全新的挑衅

• 1.4.1.           2017年5月，史上最大规模的勒索软件攻击WannaCry震惊环球
  

1.5.         威胁形势的转变

• 1.5.1.           通过增强安全态势，确保你拥有更好的安全卫生，并持续监控工作负载非常重要
  
• 1.5.2.           须要不断努力，确保组织在默认情况下是安全的，换句话说，你已经做了功课，保护了你的资产，培训了你的员工，并不断增强你的安全态势
  

2.       增强安全态势

2.1.         你不能利用旧的安全方法应对今天的挑衅和威胁
2.2.         有须要通过提高相应过程的有效性来快速相应攻击，从而紧缩感染和遏制之间的时间
2.3.         发起执行自我评估，以从工具的角度确定每个支柱中的弱点

• 2.3.1.           保护
  
• 2.3.2.           检测
  
• 2.3.3.           相应
  

2.4.         零信托

• 2.4.1.           有须要建立一个零信托架构(Zero Trust Architecture，ZTA)
  
• 2.4.2.           ZTA的最终供应商无关的来源是NIST 800-207零信托标准
  
• 2.4.3.           在ZTA中，不存在可信网络，甚至企业内部网络也不完全可信
  
  
  
  • 2.4.3.1.            这是一个重要的原则，因为其思想是总假设威胁举动者存在并积极地试图攻击企业以获取其资产
    
  
  
• 2.4.4.           很多装备将位于公司网络上，并且很多装备不归公司全部
  
  
  
  • 2.4.4.1.            随着自带装备的增长，假设用户将利用各种各样的装备，而公司不一定拥有这些装备，这一点至关重要
    
  
  
• 2.4.5.           资源的可信性无法继承
  
  
  
  • 2.4.5.1.            这符合第一个原则，但能扩展到任何资源，而不仅仅是网络基础办法
    
  
  
• 2.4.6.           跨公司和非公司基础办法移动的资产应具有一致的安全计谋和状态
  
  
  
  • 2.4.6.1.            保持资产安全计谋一致和拥有资产安全警察是确保接纳ZTA的关键原则
    
  
  
• 2.4.7.           从网络的角度来看，实现零信托网络的一种常见方式是利用装备和用户的信托声明来访问公司的数据
  
• 2.4.8.           组成部分
  
  
  
  • 2.4.8.1.            身份提供者
    
  • 2.4.8.2.            装备目录
    
  • 2.4.8.3.            条件计谋
    
  • 2.4.8.4.            利用这些属性授予或拒绝对资源进行访问的访问代理
    
  
  
• 2.4.9.           最大优点在于，与同一用户正在利用另一装备并且从他们可以访问的另一位置登录时相比，当用户从特定位置和从特定装备登录时，可能无法访问特定资源
  
• 2.4.10.      基于这些属性的动态信托概念增强了基于访问特定资源的上下文的安全性
  
  
  
  • 2.4.10.1.        完全改变了在传统网络架构中利用的固定安全层
    
  
  
• 2.4.11.      实验零信托网络是一个漫长的过程
  
  
  
  • 2.4.11.1.        确定资产，如数据、应用程序、装备和服务
    

    2.4.11.1.1.         这一步非常重要，因为这些资产将帮助你界说业务流程，换句话说，这些资产将如何通讯
    

    
    
  • 2.4.11.2.        界说计谋、日志记录级别和控制规则
    
  • 2.4.11.3.        界说主动监视这些资产和通讯的系统
    

    2.4.11.3.1.         这样做不仅是为了审计，也是为了检测
    

    2.4.11.3.2.         假如正在发生恶意活动，那么你必须尽可能快地意识到这一情况
    

    
    
  
  
• 2.4.12.      每个供应商可能有不同的办理方案，当有一个异构环境时，你须要确保不同的部分可以协同工作来实现该模型
  

2.5.         云安全态势管理

• 2.5.1.           Cloud Security Posture Management，CSPM
  
• 2.5.2.           当公司开始迁移到云环境时，由于引入了新的工作负载，威胁环境发生了变化，因此公司在保持安全态势方面面对的挑衅会增长
  
• 2.5.3.           理想情况下，你应该在开始迁移到云之前评估你的云提供商的云原生安全工具
  
• 2.5.4.           三个主要功能：可见性、监控和合规保证
  
• 2.5.5.           CSPM办理方案的考虑因素
  
  
  
  • 2.5.5.1.            合规评估
    

    2.5.5.1.1.             确保CSPM 盖公司利用的法规标准
    

    
    
  • 2.5.5.2.            运营监控
    

    2.5.5.2.1.             确保你可以或许相识整个工作负载，并提供最佳实践发起
    

    
    
  • 2.5.5.3.            DevSecOps 集成
    

    2.5.5.3.1.             确保可以将该工具集成到现有的工作流和业务流程中
    

    2.5.5.3.2.             假如不能，请评估可用选项以自动执行和协调对 DevSecOps 至关重要的任务
    

    
    
  • 2.5.5.4.            风险识别
    

    2.5.5.4.1.             CSPM 工具如何识别风险并推动你的工作负载更加安全?
    

    
    
  • 2.5.5.5.            计谋实验
    

    2.5.5.5.1.             确保可以为你的云工作负载建立中心计谋管理，并且你可以自界说并实验它
    

    
    
  • 2.5.5.6.            威胁防护
    

    2.5.5.6.1.             如何知道你的云工作负载中是否存在活动威胁?
    

    2.5.5.6.2.             不仅要保护(主动工作)，还要检测(被动工作)威胁
    

    
    
  
  

2.6.         多云

• 2.6.1.           多云的接纳有所增长，客户关注的是冗余和劫难恢复，并制止供应商锁定
  
• 2.6.2.           一个新的挑衅，即如何从一个会合的位置保持对整个多云的可见性和控制力
  
• 2.6.3.           在接纳多云的情况下，你的大部分资源将位于一个云提供商处，而其他一些资源将在不同的云提供商处
  
• 2.6.4.           办理方案
  
  
  
  • 2.6.4.1.            可以或许为每个云提供商和工作负载创建定制评估
    
  • 2.6.4.2.            随着时间的推移，安全态势进度的可见性，以及将影响安全态势增强的安全发起的优先级
    
  • 2.6.4.3.            跨基于计算的工作负载的漏洞评估
    
  • 2.6.4.4.            将安全控制与合规标准对应起来的能力
    
  • 2.6.4.5.            每种工作负载范例创建威胁检测
    
  • 2.6.4.6.            通过工作流自动化集成事件相应
    
  
  

3.       红队和蓝队

3.1.         红队与蓝队演练并不是什么奇怪事

• 3.1.1.           最初的概念是在第一次世界大战期间引入的，与信息安全领域的很多术语一样，这个概念起源于部队
  
• 3.1.2.           1932年，海军少将哈里·E.亚内尔(Harry E.Yarnell)展示了袭击珍珠港的结果
  
  
  
  • 3.1.2.1.            九年后，日军偷袭珍珠港
    
  
  

3.2.         总的想法是通过模拟来演示攻击的有效性
3.3.         虽然军事中“红队”的概念更广泛，但通过威胁模拟的方式进行情报支持，与网络安全红队所要达到的目的相似
3.4.         红队

• 3.4.1.           在网络安全领域，接纳红队方法也有助于企业更安全地保护资产
  
• 3.4.2.           红队必须由训练有素、技能各异的人员组成，他们必须充分相识组织所在行业当前面对的威胁环境
  
• 3.4.3.           红队必须相识趋势，相识当前的攻击是如何发生的
  
• 3.4.4.           在某些情况下，根据组织的要求，红队成员必须具备编程技能才能构建漏洞利用，并对其进行自界说，以便更好地利用可能影响组织的相关漏洞
  
• 3.4.5.           红队将执行攻击并渗透环境以发现漏洞
  
  
  
  • 3.4.5.1.            这项任务的目的是发现漏洞并加以利用，以便得到对公司资产的访问权限
    
  
  
• 3.4.6.           主要指标
  
  
  
  • 3.4.6.1.            平均失陷时间(Mean Time To Compromise，MTTC)
    

    3.4.6.1.1.             从红队发起攻击时起，直到成功攻陷目的的那一刻
    

    
    
  • 3.4.6.2.            平均权限提升时间(Mean Time To Privilege scalation，MTTP)
    

    3.4.6.2.1.             从与前一个指标相同的时间点开始，但是一直到完全失陷，也就是红队对目的拥有管理权限的时刻
    

    
    
  
  

3.5.         蓝队

• 3.5.1.           蓝队须要确保资产的安全，假如红队发现漏洞并加以利用，那么蓝队须要迅速调停并将其记录为经验教训的一部分
  
• 3.5.2.           蓝队成员也应该有各种各样的技能，并且应由来自不同部分的专业人员组成
  
• 3.5.3.           保存证据
  
  
  
  • 3.5.3.1.            当务之急是在这些事件中保存证据，以确保你有有形的信息可供分析、合理化，并在未来采取步伐来减轻影响
    
  
  
• 3.5.4.           验证证据
  
  
  
  • 3.5.4.1.            不是每一个告警或者这种情况下的证据都会让你发现有效的入侵系统计划
    
  • 3.5.4.2.            假如它真的发生了，就须要将其作为一个失陷指示器(Indicator Of Compromise，IOC)进行分类
    
  
  
• 3.5.5.           使任何所需人员参与其中
  
  
  
  • 3.5.5.1.            在这一点上，蓝队必须知道如何处理这个IOC，以及哪个小组应该知道失陷这件事
    
  • 3.5.5.2.            让全部相关小组参与进来，这可能会根据组织的不同而有所不同
    
  
  
• 3.5.6.           对事件进行分类
  
  
  
  • 3.5.6.1.            有时蓝队可能须要执法人员参与，或者他们可能须要逮捕令才能进行进一步观察，但通过得当的分类来评估案件并确定谁应该继续处理将对这一进程有帮助
    
  
  
• 3.5.7.           确定破坏范围
  
  
  
  • 3.5.7.1.            有充足的信息来确定破坏的范围
    
  
  
• 3.5.8.           创建调停计划
  
  
  
  • 3.5.8.1.            应该制定调停计划，以隔离或驱逐对手
    
  
  
• 3.5.9.           执行计划
  
  
  
  • 3.5.9.1.            一旦计划完成，蓝队就须要严格执行并修复漏洞
    
  
  
• 3.5.10.      主要指标
  
  
  
  • 3.5.10.1.        估计检测时间(Estimated Time To Detection，ETTD)
    
  • 3.5.10.2.        预计恢复时间(Estimated Time To Recovery，ETTR)
    
  
  

3.6.         假定入侵

• 3.6.1.           从预防破坏到假定入侵
  
• 3.6.2.           防止入侵的传统方法本身并不能促进正在进行的测试，要应对当代威胁，你必须始终完善防护
  
• 3.6.3.           假定入侵验证了保护、检测和相应，以确保它们得到正确实验
  
• 3.6.4.           但要将其付诸实验，你必须利用红队与蓝队演练来模拟针对其自身基础办法的攻击，并测试公司的安全控制步伐、传感器和事件相应流程
  
• 3.6.5.           这不应该是一次性的演练，而是一个持续的过程，随着时间的推移，将通过最佳实践进行改进和完善
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。