开展专业的红蓝演练 Part.11:演练规则(上)
导语:演练规则(下文简称:ROE, 是 Rules of Engagement 的缩写)规定了在评估工作形成阶段完成后,完成评估范围内定义内容所涉及的“方式”。红队在进行评估时所采取的所有行动的合法性均由 ROE 批准。客户和供应商必须确认并签署一份公认的ROE文件。
前言
阅读这本独特的书籍,能够让你在进行进攻性安全交战时利用多种高阶技术。你将了解实际的谍报技术、操作指南和进攻性安全最佳实践,来开展专业的网络安全交战,而不仅仅是漏洞利用、执行脚本或使用工具。
本书将向你介绍基本的进攻性安全概念。重点说明了评估和道德黑客的重要性,并讨论了自动化评估技术。现代进攻性安全的现状以及面临的挑战。
这本书的作者是奥克利博士(Dr. Jacob G. Oakley),他曾在美国海军陆战队工作七年多,是美国国家安全局(NSA)下属的海军陆战队网络空间司令部作战兵种创始成员之一,之后担任海军陆战队的高级操作员和一个师的技术主管。入伍后,奥克利博士撰写并教授了一门高级计算机操作课程,最终回到米德堡的任务支持中心。后来,在解除政府合约后,他在一家私人公司为商业客户提供威胁仿真和红蓝对抗服务,并担任渗透测试的主要负责人以及渗透测试和网络运作的主管。他目前是一名政府客户的网络安全专家。奥克利博士在陶森大学(Towson University)完成了信息技术博士学位,主要研究和开发进攻性网络安全方法。他是迈克·奥利里(Mike O 'Leary)所著《网络行动,第二版》(Cyber Operations, second edition)一书的技术评论员。
系列文章目录:
开展专业的红蓝演练 Part.7:进攻性安全面临的挑战(上)
开展专业的红蓝演练 Part.8:进攻性安全面临的挑战(下)
在前一章中,作者详细介绍了演练范围的评估,到此时,我们还没有真正开始执行成功的红蓝演练。也许在技术流的同行眼中,“红蓝演练”是一个技术性问题,的确,参与红蓝演练的人员必须具备网络攻防的专业技能。但笔者认为,“红蓝演练”是一个流程或管理问题更为合适,因为在与客户达成提供红队服务后,需要做大量的准备才能真正开始执行评估演练。准备工作是否足够充分往往决定了服务质量及客户满意度。在这一章中,作者就详细阐述了红队评估演练需要遵守的规则,特别是有不少法律方面的注意事项和评估过程中可能发生的客户非预期的情况,需要提前与客户表明风险和责任。
演练规则(下文简称:ROE, 是 Rules of Engagement 的缩写)规定了在评估工作形成阶段完成后,完成评估范围内定义内容所涉及的“方式”。红队在进行评估时所采取的所有行动的合法性均由 ROE 批准。客户和供应商必须确认并签署一份公认的ROE文件。如果不这样做,则可以认为道德黑客的攻击性安全行动违反了《计算机欺诈和滥用法案》(简称 CFAA),该法案在美国构成联邦犯罪;在其他国家,也有类似的可起诉法律。话虽如此,本章的内容既不能完整代表特定安全评估应包括的 ROE 的所有方面,也不能全面定义此类文档的法律要求。起草 ROE 时必须涉及法律建议,并且任何同意ROE的客户组织在签署之前也应该进行法律咨询。
除了在执行安全评估时不违反联邦、州或国际法规的法律基础之外,ROE 还有三个主要目的。首先,它建立了适当的批准,让评估人员在开始安全评估工作时不必担心他们会因联邦犯罪而被起诉。ROE的副本应该 由评估人员和供应商共同维护。在不太可能发生的情况下,客户组织对供应商产生敌意,并想要破坏ROE案件的判决,并对评估人员提出指控,此时手头上的这份文件可以免罪。事实上,作为一名安全评估人员,除了你所在的供应商组织可能维护的内容外,你还应该亲自为你执行的每个项目维护 ROE 的副本,以避免发生不必要的麻烦。
第二,同样地,ROE 可以保护提供服务的个人,也可以保护整个供应商公司免于因安全评估造成损害而承担不当责任。对于有机红队来说,这不是什么大问题。但是,在任何进攻性安全活动中,都有可能会发生服务中断或设备被破坏,从而给客户带来财务成本的事情。如果在评估期间确实发生了这种不太可能发生的事件,那么客户要求供应商公司偿还这种损失是不现实的。这就引出了最后一点,ROE 也可以保护客户组织。
尽管 ROE 并未涵盖可能导致客户组织蒙受损失的典型道德黑客行为所造成的损害,但ROE确实定义了重大过失的情形。ROE 是对评估方不适当或不称职的活动的总括,这些活动会对客户造成损害,范围很广,从未能保护客户数据到有目的或无知的黑客活动都会对组织资产产生负面影响。一个易于证明的重大过失案件的例子是,如果一个红队成员在他们的计算机上保存了一份未加密或其他未受保护的漏洞报告副本,并且该报告被泄露或被真正的黑客使用。另一方面,证明一个道德黑客行为超出了适当的交易范围,因此很难证明重大过失。ROE还定义了客户和供应商组织之间的预期保密协议,以便评估人员在法律上有义务在与评估团队或客户组织以外的任何人交谈时不讨论或披露组织的漏洞。ROE还涵盖了客户在评估期间和评估之后认为有必要的任何客户数据保护的要求。
活动类型
ROE 使得有效评估范围的活动可能出现具有令人生畏的多样性。每种进攻性安全活动对红队参与的方式都有其自身的影响,因此需要在ROE中进行具体考虑。红队的评估可以涉及以下一种、几种或所有独特的评估活动类型:
· 物理环境
· 社会工程学
· 外部网络
· 内部网络
· 跳转攻击
· 无线网络
重要的是要将进攻性安全评估按照上述活动类型进行分解,并明确说出来,然后在ROE中定义其参数,以便客户明确了解红队将要进行的活动类型,确保双方都没有意外。
物理环境
物理环境的进攻性安全活动对评估人员和客户来说都是最危险的,而且通常不会包含在安全评估中。这也是一个公平的声明,尽管许多红队成员愿意被批准尝试并进入目标物理设施,但很少有人具有这样做的专业经验。评估中的物理活动引入了对组织资产的实际物理损害的风险,甚至是潜在的损害,这一事实也使得将其包括在大多数活动中变得难以证明。
一般有三种类型的物理活动:
1.非技术型
2.低技术含量
3.高技术含量
在ROE中调用特定类型的已批准的红队实体活动实际上可以增加某些评估的真实性,同时降低一些相关风险,并可以向组织提供有价值的反馈。
在ROE中标明被批准的物理红队活动的特定类型实际上可以增加某些评估的真实性,同时减少一些相关的风险,并可以为组织提供有价值的反馈。 非技术型的物理活动包括不需要使用任何工具(电子工具或其他工具)以使评估员能够攻击组织的行为。典型的例子是肩上冲浪,在这个过程中,评估人员只是试图从目标个人的屏幕或办公桌上的文档中读取信息,或者看着他们键入一个密码短语或键盘上的代码。还有尾随,在尾随过程中,评估人员可能会试图跟随授权人员进入某个安全的地方,方法是尾随他们溜进办公区域,并且无需任何身份验证。
属于非技术型物理活动的通常做法是在关门时不上锁,下班后再回来进入某个设施。在评估过程中,可以使用非技术活动来支持其他活动类型。这些活动类型还突出了本组织在遵守和设计政策和程序方面的弱点。讨论中提到的无技术行为和其他一些行为也通常是低风险的,即使它们是一种物理活动。但有一个明显的风险,即当某个物理安全机制被禁用,以便测试人员可以稍后返回的这种做法,可能一个真正的罪犯会使用这种访问方式。红队也可以缓解这种风险。
低技术含量的物理活动是指那些涉及低技术援助以获得成功的物理评估行动,比如使用物品,例如使用撬锁或其他简单工具等物品打开设施门、文件柜、车门或其他可能存放认证物品(如徽章或有价值信息)的地方。诸如切断安全系统的电线以测试组织对中断的响应,以及像切断围栏和破坏安全机制这样的行为。即使是最不具侵入性的操作(如开锁)仍然会对失败的机制产生永久性影响。这种对系统造成持久的物理损坏的倾向以及这些低技术活动总体上均是高风险,使得它们很难销售给客户。事实上,很少有红队客户可能需要,更不用说想要执行这种评估活动。大多数组织认为,低技术含量的物理威胁可以通过实施法律和执法人员的存在,从外部加以缓解和处理。 高技术含量的物理行动包括通过硬件按键记录仪、音频监听设备和网络监听等设备发动电子攻击,以获取信息并使红队能够进行下一步的行动。这类活动的子集还包括使用物理访问来做一些其他的事情,比如在可移动媒体上使用 live Linux 操作系统引导一台 Windows 机器,先挂载机器的硬盘驱动器,然后从硬盘驱动器上抓取域凭据。与前面提到的低技术含量活动相比,这类行动的风险也较低。与测试个人是否遵守尾随等策略的“非技术型”活动不同,“高技术含量型的活动”实际上允许对网络安全策略进行评估。虽然物理操作启用了硬件键盘记录器,但将其插入到一个开放的USB端口可以测试USB安全策略或配置是否有效。类似地,尝试将 Windows 硬盘驱动器挂载到 live Linux CD 上会测试与硬盘驱动器加密等相关的策略或配置。 显然,对于大多数测试来说,并非所有的物理活动都是合适或可行的。也就是说,ROE 规定的非技术型活动和高技术含量型的活动可以提供一种全面的方法来测试组织可能使用的不同安全机制,而这种方式无法通过典型的网络入侵手段获得。
社会工程学
社会工程的概念非常简单:你想操纵或愚弄目标,使其泄露信息或执行使组织进一步受到危害的行动。在安全评估中实施社会工程活动可能非常复杂。无论是试图通过实际的社交媒体应用程序、电子邮件还是电话或短信等途径来瞄准组织人员,复杂的因素是投递。 下面的场景说明了在红队评估中执行无懈可击的社会工程活动所面临的挑战。假设你通过恶意电子邮件试图让用户在他们的机器上安装恶意软件。这种活动(称为钓鱼)允许你评估基于主机的安全系统、电子邮件过滤或扫描以及用户对电子邮件策略的遵从性。你将受感染的电子邮件发送到组织域内的电子邮件地址,而该电子邮件地址仅存在于组织大楼内的物理设备上。白天,你在组织的电脑上成功安装了几次恶意软件,然后,到了下午,你又收到警报,说你的恶意软件从某人的手机上回了电话。由于这个私人电话不在评估范围内,因此现在评估人员已经犯罪了。 事情是这样的,一个用户把他们的工作邮件转发到他们的个人账户,他们下班后在手机上打开了转发的恶意邮件。现在,如果组织有反对这种做法的政策,并且有让系统用户同意接受安全评估的政策,那么评估人员就没有错。如果不是这样,你可能会发现自己处于一个棘手的法律境地。在起草 ROE 时,绝对有必要锁定社交媒体活动的规则和指导,并确定相关的组织政策。即使你包含了这些规定,也很难让客户组织同意,如果社会工程活动利用了某人的个人设备,他们或他们的用户应该承担责任。评估员也不应同意这种责任。
除了偶然的利用,使用社会工程还有其他的复杂之处。网络钓鱼的方法多种多样,其中一种被称为“鱼叉式网络钓鱼”,以小群体或个人为目标,并针对目标进行了充分研究。另一种是“鲸钓”,指的是在一个组织中专门授权的人,如高管或管理人员。在任何情况下,人们都可能非常反对这类测试,因为受害者要被操纵和欺骗去做一些事情。如果高管或安全人员是此类活动的目标,他们可能会影响红队和客户关系,从而对整体的评估工作产生负面影响。在起草ROE时也应该考虑这些类型的社会工程攻击。也许这些与社会工程相关的活动不应该用来保持评估的有效性。即使是将这种接触限制在典型用户身上,也会在公司内部引起愤怒,如果红队是有机的,这种情况就会导致一种敌对的工作环境。 在我被允许进行社会工程活动的少数几次红队评估中,团队实际上惹恼了不少人。尽管评估演练很成功,但事后看来,这可能是不明智的。作为一家大型商业组织的红队成员,我的团队负责在财务协议最终敲定之前对被收购的公司进行评估,以确保我们的客户不会因不安全的收购而产生巨大的、未知的财务负担和风险。实际上,我们知道收购公何时会提前向目标组织的员工公布。 假设被收购的公司名为Temp Agency,电子邮件域名为@tempagency。我们注册了域名“ternpagency”,并使用电子邮件用户名hr@ternpagency。我可以告诉你,在许多字体中,“rn”和“m”看起来很相似,尤其是快速浏览时。在目标公司内部宣布收购消息后,我们立即发送了标题为“收购信息”的电子邮件,其中带有几个被恶意软件感染的文件附件,其中包括薪水变化和其他有趣的标题。我们通过搜集商业网络站点和使用其他开源技术来收集目标电子邮件地址。你可以想象,许多感兴趣而又紧张的员工点击并打开了我们的恶意链接和文件。
发表评论
提供云计算服务