网络风险是顶级业务风险的认知已深入人心,高管们都在询问自己的安全主管能做点什么来更好地应对和缓解网络风险。事件发生时再翻出事件响应计划的做法,远远满足不了当下快速发展的网络威胁态势。公司企业不仅需要坚强的事件响应能力,还需要有足够的事件准备度。为磨炼技术水平,安全团队运用各种训练来更好地预测威胁和操练响应能力。其中一种就是紫队。
最近两年,红队找漏洞发起模拟攻击,蓝队检测并响应攻击的传统网络安全演练逐渐进化,形成了紫队演练模式。虽然红/蓝队模式能帮公司企业了解漏洞预防攻击,但往往需要数周甚至几个月时间才能完成攻防对抗并总结经验教训。
与传统红/蓝对抗的战争扩展游戏不同,紫队模式是协作而迭代的。通过更透明而持续的过程,紫队模式将红蓝两队拧到一起,帮助防御者更高效地缓解来自现实世界高度复杂的攻击。攻方通告守方预定的攻击计划,执行攻击,阐明所利用的安全漏洞,然后重放攻击,以便守方能立即精炼其响应。
紫队模式旨在让公司企业可以在整个演练过程中持续提升安全态势,获得即时效益和长期价值。但参与者往往还是重度依赖手动方式执行攻防演练。在时间和预算资源都很紧张的情况下,手动方式演练的收获就很有限了。如果能用某些技术增加这些演练的频率和深度,演练的价值应该会大上很多。以下3种创新技术就能自动化并精调紫队演练活动。
1. 基础设施分析平台
很多公司企业都做不到完全了解自己的环境——网络、数据中心、云,而这一资产掌握上的缺失给了攻击者作恶的有利条件。紫队演练的第一步,就是了解公司的基础设施,或者说攻击界面。如果有个能提供非常详细明了的攻击界面视图的分析平台,公司企业就能更快更清晰地掌握自身面对的风险。通过自动化侦察和攻击映射,基础设施分析平台能帮公司企业快速定位关键资产,并给出相关威胁模型。比如说,一份包含了系统版本和补丁情况的网络资产清单,能供你将之与公共威胁及漏洞数据库相关联,快速生成网络潜在漏洞的列表。红队能用此信息设计出更成熟更复杂的攻击场景,蓝队也能用此信息更快地解决安全漏洞。
2. 应用性能管理
应用性能管理(APM)工具数年前便已出现,但早期迭代产品十分笨重且缺乏细节。更为现代的APM工具能提供可用于分析代码安全的大量信息。只要掌握了应用程序使用的对象和方法、数据流以及数据处理的位置,就可以了解攻击者可能利用的弱点。这一由内而外的应用分析方法远比手动的由外而内的方法高效,能大幅加速安全分析活动。比如说,攻击者查找Web应用漏洞时,他们会找寻那些本不该出现的网页——测试网页、失效网页或被弃用的网页。这些网页不在公司视线之内,早已被安全人员遗忘,正是攻击者找寻的脆弱点。APM工具可以自动执行侦察动作,向红队威胁建模过程揭示并添加此类细节,并为蓝队安全分析师提供强化防御所需的洞见。
3. 安全编配平台
通过自动化大量红队动作,该新技术可担起模拟网络攻击的重担,检测公司的安全事件准备度。安全编配平台可以在网络不通组件上应用设备及代理,辅助展现公司特定环境中的威胁及恶意活动的影响。红队可以之快速组织行动,比如模拟特定类型的勒索软件攻击或新闻中最新的拒绝服务攻击。蓝队则可检测自己的防御层是否正常工作,发现真正的网络安全漏洞,确定如何更好地利用手中的资源,以及安排投入重点。
紫队方法对事件准备度和事件响应大有裨益。为进一步发挥紫队方法的效果,我们需要集合恰当的人员、过程和技术,驱动前向思维和安全分析技术。以上新兴技术还只是少数几种可用于获取必要的可见性和自动化水平的技术,可帮助公司企业更加夯实事件准备度及事件响应工作。还有其他创新技术可以用于增强紫队过程。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】