信息安全

刘志诚:安全控制有效性验证的发展趋势浅论

david liu

12 min read

注:国内外红队、蓝队的定义不同,本文引用图表以国外为主,与国内红蓝队定义相反。



7月骄阳似火的烘烤下汗流浃背成为常态,即使在冷气充盈的房间内,安全从业者依然难掩攻防演练的燥热。攻防演练作为检验安全控制措施有效性的重要手段,近年来已经屡获奇功,暴露了安全体系建设过程中的一系列问题,安全产品带病上岗,安全能力挂一漏万,安全配置漏洞百出,安全运营形同虚设,也传出某些企业攻防演练中关系统,拔网线的闹剧。我们在叹息安全体系建设薄弱的同时,也提出一个灵魂拷问的问题,企业如何做到安全控制的有效性自主验证,实现真正的风险驱动的安全,而不仅是事件驱动的靠天吃饭,合规驱动的形式主义。
安全有效性验证不是一个新话题,从防守者视角的风险评估,安全检测,第三方认证均是传统的安全有效性验证方式,在持续安全运营中,安全态势感知,SOC、SIEM、XDR等均通过对漏洞,威胁,事件的数据驱动关联分析中发现相关问题,进行整改,防守者视觉基于NIST的IDPRR模型建设安全能力,无论从传统的基础安全进化为安全滑尺的威胁情报和主动防御高级阶段的Gartner可持续监测的主动防御架构,尽管在自动化、智能化安全防御能力建设上建立了纵深防御的架构,在面对APT组织的高可持续性攻击场景下,是否有效,仍需要从攻击者的视角观察和检验。安全渗透测试(PT)是作为以攻击者视角验证安全建设的有效性是常见的手段之一,但渗透测试的随机性和不确定性,依赖于安全渗透测试专家团队的攻击能力,其覆盖的范围,渗透测试的结果与安全控制能力的有效性并不能划为等号,盲目的信任渗透测试的结果,未免有掩耳盗铃的嫌疑。如何能实现全面、系统、体系化的渗透测试,是个值得研究的话题。而MITRE的Att&CK的TTP框架,从攻击者视角对马丁杀伤链各阶段的战术、技术、和过程进行麦肯锡MECE的动态跟踪分析,为全面从攻击者视角评估安全控制能力有效性提供了理论基础。攻防演练的常态化,企业建设或采购第三方负责攻击者视角验证安全控制有效性的红队的安全能力是一种必然趋势,红队担负攻击者视角验证企业安全控制的有效性,需要考虑红队需要具备能力的标准化,持续化,自动化趋势。一、BAS成为当下有效性验证的热点
图一、安全运营技术炒作曲线2021年7月Gartner发布的安全运营能力技术炒作曲线中,最流行的Brach and Attack Simulation(BAS)名列炒作热度顶峰,虽然成熟周期达到了5-10年,但仍是目前最为热点的红队工具和产品。The Business research Comapy预测到2025年的复合增长率为37.17%,市场规模达到9.8亿美元。JCMR、Techruit、Data Intelo三家市场调研公司给出的主流玩家均包括Cymulate、Picus、XM Cyber公司。我们从三家公司的产品思路和宣传优势分析BAS产品的价值。Cymulate从持续测试,全自动化,杀伤链完整覆盖的功能,零影响,按需定制,自定义攻击,无需部署,SaaS服务,立即结果的特征为卖点,给出了立足邮件网关,Web网关,WAF的钓鱼感知,终端安全,安全横移,数据获取的自动化模拟攻击用例。XM CYBER从风险管理,资源管理,合规支持的安全态势可视化;云安全态势,服务、联盟、集成商合作伙伴的生态系统;漏洞扫描,漏洞优先级管理,补丁管理,IT治理等基于攻击的漏洞管理;突破和攻击,红队,自动化渗透测试的攻击模拟阐述自己的产品能力。Picus从预防结果,检测结果的验证,缓解库,降低风险的缓解,威胁库,攻击模拟,来宣传自己的产品。
图二、漏洞的综合利用从上述产品的宣传的重点和能力来看,首先,攻击模拟实现目标攻破的关键是在于实现对安全漏洞的综合利用能力,是建立在传统的Vulnerability Assessment(VA)能力,巧合的是VA能力在2021年的Gartner技术炒作能力是已经处于生产力成熟期的通用技术,具备了相应的生产条件。
图三、基于Att&CK实现杀伤链自动化编排能力其次,实现自动化的模拟,需要实现基于在杀伤链不同阶段技术应用的编排能力,在战术,技术和流程上实现自动化验证的目标。威胁狩猎(TH)作为基于情报的数据驱动的安全防守模式,同样依赖于对APT组织的攻击映射为ATT&CK的战术,技术和流程,通过模拟仿真实现标准化的Sigma的日志规则,促进威胁狩猎团队利用HELK等类似的数据驱动的分析系统实现对攻击威胁的关联分析发现,也是BAS产品推动威胁狩猎的表现。
图四、可视化BAS报告最后,实现自动化攻击模拟结果的可视化报告,为后续的复盘,整改,安全策略的优化和调整提供依据。二、EASM推动的红队有效性验证CART
图五、FireCompass有效性验证的演进Gartner从深度和广度两个维度,对攻击角度的有效性验证的演进进行了划分,漏洞验证(VA)作为单点的缺陷,攻击的有效性在广度和深度上受限,渗透测试(PT)的成功存在偶然性,其覆盖度存在缺陷,自动化攻击模拟(BAS)基于Att&CK自动化模拟攻击从企业红队视角实现了验证,如何常态化建立可持续的自动化红队,对企业的攻击面进行全面管理,成为企业攻击者视角能力建设下一阶段的命题。
图六、红队格局从Gartner2021年的安全运营技术炒作曲线来看,这个命题尚处于起步阶段,在热度和成熟期上而言,仍有漫长的道路要走。FireCompass在Gartner的Autonomous Penetration Testing and Red Teaming和External Attack Surface Management(EASM)的基础上抽象为Continuous Automated Red Teaming(CART),相对于BAS作为红队自动化入侵与攻击模拟的能力,构建可持续性的自动化攻击能力需要从漏洞验证(VA)的代码视角关注扩展攻击面的基础设施视角。EASM的能力为BAS充分发挥全面的安全控制措施的验证提供了基础,从模拟到真实世界攻击的自主红队攻击。
图七、EASM用例Gatner给出的EASM用例中,在传统渗透测试(PA)和漏洞验证(VA)领域的重心修复漏洞和减少利用只是7个用例之一,云安全治理,数据泄漏检测,分支机构安全评估,供应链和第三方合作伙伴评估,并购风险评估,数据资产发现和存储等用例对企业数字化发展过程中的数字资产,数据,云基础设施带来的攻击面,以及在企业生态环境中的子公司,合作伙伴,业务并购所带来的攻击面进行统一管理,在攻击的内容领域和边界上进行了扩充。2020年开始,我一直在各种分享场合倡导两个观点:一是,跳出企业安全的领域,关注到2C、2B、2G的企业生态安全,这也是数字化发展过程中,企业边界的生态环境发展的必然,安全的薄弱环节往往出现在生态领域内,但目前看来,大部分安全厂商关注的仍是企业内部的安全,产品的场景适应性不足;二是,安全不要局限在传统的系统,网络,主机,应用的范畴,应改关注数据、业务领域,从技术风险的维度来全面考量企业的网络信息安全风险,这两点与Gartner提出的EASM有异曲同工之妙。三、可持续化红队是有效性验证的核心趋势
图八、安全体系建设与安全控制有效性验证安全体系的建设从安全框架与安全控制措施的体系化能力构建和运营开始,通过风险评估,安全策略构建,安全能力部署和实施,以数据驱动的安全运营保障企业的网络信息安全,数据驱动的安全运营中,对资产的全面梳理,对漏洞,威胁,事件的检测,监测,关联分析能力构建了蓝队防守的主要能力。有效性验证首先是度量指标的设计,基于蓝队视角,从资产安全属性准确有效基础上的安全基线的配置核查以及相应度量,仍是必不可少的管理手段与措施,可以有效的避免安全策略的配置错误和失效。从攻击者视角的有效性验证,需要多维度的独立的验证模式,实现有效性验证的多样性,渗透测试、攻防演练作为传统的验证方式,仍是借助第三方力量实现有效性验证的必要手段,但是,渗透测试和攻防演练的黑盒模式带来的信息不对称,攻击面的全面性和有效性对安全验证的体系化、系统化、全面性、覆盖度不足。企业内部需要以红队思维构建基于全量攻击面管理信息的攻击向量,持续自动化对安全控制进行红队模式的有效性验证,以实现面对真实世界攻击时的防御能力提升。当然,无论BAS还是EASM基础上的CART,技术的成熟度,以及工具建设和能力平台,仍面临着巨大的挑战,如何适应日新月异的技术与业务环境,构建出完整的面向企业实际场景的全面攻击向量,仍需要无数安全人的持续努力。但是CART作为未来有效性验证的趋势显然势不可挡。----------------------------------------------------------------


本篇文章来源于微信公众号:                 君哥的体历

Read more