介绍
本文是分享就如何建立和运营红队提供实用建议以及我的经验。实际上,我指的是一群人应该执行的日常活动,才能被视为有效的安全团队。
为了节省您的时间,我不说一些极端情况,而是提供最重要的技巧,您可以根据组织的具体情况对其进行扩展。
红队有两个部分:运营和基础架构。
运营是一组规则,用于管理团队如何选择其目标,定义范围,执行任务以及进行操作以实现其目标。
基础设施是命令和控制中心,恶意软件,协作工具,服务器,内部文档和外泄数据存储的总称。
运作方式
任务
红队的任务是通过从对抗性的角度查看组织的行为和技术业务职能,以改善组织的安全状况。
技术方面是测量和提高检测范围。通过模仿已知的对手或为虚构的对手创建配置文件,红队正在帮助组织了解其检测和响应的运行状况,例如“我们能否看到MacOS的持久性”,“我们是否能够捕获渗透”通过AirDrop”,“密码重用是一个问题”。
行为方面是在人们与组织交互的方式中理解问题。业务逻辑,策略和程序是这些操作的目标,例如“在招聘过程中是否有机会伤害组织(例如让申请人不受监督),“我们如何与供应商合作”,“我们将能够发现一个由国家赞助的代理商从内部收集数据”。
范围
鉴于任务说明的广度,团队必须具有非限制性范围。在最佳情况下,这意味着暗示同意测试组织可以合法测试的所有功能。
如果团队的行动与组织的其余部分一样受到约束,则团队将无法有效运营并实现其目标。红队从根本上讲是一门艺术,而创造力不能在有限的环境中蓬勃发展。
有一些灰色区域,例如员工的个人计算机或手机,生产数据库,供应商拥有的设备等。总的来说,如果使用系统执行业务功能,则除非法律明确禁止,否则该系统属于范围内。
目标
目标必须是业务功能,而不是孤立的系统或流程。
对于组织而言,一个常见的错误是将范围限制在应用程序或服务器上,从而通过将其转变为代码审查或渗透测试来破坏实践的价值。团队必须可以自由地在所有个人计算机,服务器和其他设备之间横向移动,只要它们未被捕获或处于活动状态即可。
目标选择过程必须由领导层,DFIR,威胁情报,检测和监视以及任何其他对组织的业务职能和对手的胃口有深刻了解的团队来告知。
威胁情报团队提供的有关攻击组织的真实对手及其意图的信息尤其重要。红队的职责是将这些信息纳入自己的行动设计中。但是,关于目标和范围的最终决定必须掌握在进攻安全团队及其主管的手中。
红队必须保持选择自己目标的独立性,尽管设计与业务威胁概况无关的对手或其他程序已经很好涵盖的攻击系统是浪费的。
指挥链
理想情况下,进攻性安全主管必须直接与CISO或其他负责组织安全性的执行官一起工作,并且是进攻性安全能力的强有力宣传者。如果组织的领导层不对红队表示大力支持,那么创建一个团队将会浪费资源。
红队还必须完全独立地执行其目标。
在团队内部,应将角色划分为适用于团队和组织规模的角色。
至少您需要有一名主管,一名操作员和一名工程师。如果资源允许,您应该扩展团队,以包括更多专业人士向中级领导或负责级别的团队成员进行报告。
主管根据团队当前的技能差距定义专业。拥有专业知识可以防止职责混淆。
操作员的职责是利用他或她对进攻性安全技术的了解进行操作。他们是研究目标,发现和利用弱点并针对目标采取行动的人。
工程师的作用是为操作员提供技术能力,例如漏洞研究和利用,恶意软件编写,命令和控制基础结构,硬件设备,网络连接等。
主任的职责是与其他团队合作,以收集有关范围的意见,并以尽可能最具成本效益的方式帮助弥补弱点,使团队免受通常与组织红队有关的文书工作负担(例如编写报告),并倡导团队,以他或她的远见支持和指导团队。
交战规则
到目前为止,运营红队最重要的部分是树立正确的心态。可以将红队的交战规则直接从《提供救济的行动交战规则》中:
“We are not at war. Treat all persons with dignity and respect.”
尽管有对抗性的心态,但红队对组织并不具有对抗性。业务各个部门之间的协作对于团队的成功至关重要。应避免捍卫者花时间追赶红队的情况。
升级程序可能会根据操作而有所不同,但总的来说,领导者应该了解操作并使其与现场人员保持秘密,以此作为对付对手的机会。通信通道应该是开放的,因此当安全事件升级时,领导者应该能够快速验证其起源,而不会在实际事件中造成延迟。
在发生冲突的情况下,双方都必须了解解决方案,即如果系统崩溃了,则它是其设计的一部分。领导层必须加强“没有人过错”的观念,任何人为的意外伤害都不应归咎于任何人。否则,进攻性安全工作可能被视为对绩效或工作威胁的审计。
整治
红队间接负责其他团队的教育。每个操作都应以对结果的深入根本原因分析以及有效且切合实际的补救计划作为结论。
该计划不仅要解决错误或创建票证。有时,最明显的补救措施可能不是最合乎逻辑的补救措施,例如,修复错误与更改流程以使开发人员更轻松地编写安全代码。团队应仔细考虑该计划的所有二阶影响,并决定是否需要更改政策,进行额外的培训或购买新工具。
进攻性安全主管或专职人员应负责领导和共享分析工作。
培训与会议
由于获得成本,红队技能昂贵。一个强大的红色团队通常是一个将大量时间投入到研究和自我教育中的人。需要一套独特的生活环境,智慧,好奇心和毅力,才能将进攻技能培养到对组织有价值的水平。
组织必须了解这一点,并向红队提供无偿培训和出席会议的奖励。团队成员必须以最小的组织负担自由回馈社区。这包括在会议上发言,使用开放源代码工具以及进行和参加培训研讨会。
适当的会议出席和建立网络的副作用是招募业内最优秀的人才(否则这是一个重大挑战)。
指标
由于工作的创造性,没有可靠的量化指标可用于计算团队绩效。
诸如发现的所有错误之类的常用指标本质上是错误的,并且与红队的任务无关。
就是说,定性地查看结果应该可以很好地说明团队的表现。您可以比较已完成的操作数量,目标的复杂性和重要性,已实现的结果以及已交付的有意义的更改。
行动的起点
起点因操作而异。一些内部团队通常认为他们可以访问其中一台内部计算机,而其他一些则更喜欢每次都突破边界。这两种方法都有好处,每次重新启动都会使您的边界受到控制,而从内部重新启动可以节省时间和金钱,从而可以使您更多地关注组织的内部。
操作日志
团队必须在操作过程中保留详细的事件日志,包括日期,时间,采取的行动,执行的命令,执行的位置等。这将有助于检测小组将其在传感器上看到的事件与进攻性安全小组的行动相关联。 。
与组织的检测团队合作非常重要,因为有时由于来自传感器的数据量很大,很难找到红色团队生成的事件。
时间
参与多少次以及持续多长时间取决于参与的复杂性,业务规模和团队规模。手术时间限制为两个月至三个月。红队的参与度不得少于三周。
基础设施
安全审查
经营一支红色团队的挑战之一是在不与公司网络过于分离的情况下,切实地模仿对手。
在某个时候,团队的网络将可以直接访问组织的重要服务器和个人计算机,并且必须受到保护。
泄露的数据必须进行加密传输,并存储在安全的地方。屏幕截图,操作说明,发现的秘密以及红色团队参与的其他产品也必须得到适当保护。
基础架构可以通过云和本地功能的组合来构建,例如,主命令和控制可以托管在组织的数据中心内部,而流量代理可以部署在云中。该团队应由适当的安全团队审查其基础结构设计或“基础结构即代码”。
必须信任团队来部署他们自己的基础结构,以允许灵活性和独立性来针对任何特定的操作或对手情况进行调整,并且应该为他们提供安全地这样做的资源。
Appsec团队还可以检查恶意软件代码的安全漏洞,但是,需要达成协议,避免在检查过程中信标及其通信协议的指纹。
另一个重要方面是采购不受组织管理的专用运营商笔记本电脑。如果必须擦拭硬盘驱动器,使用它们将有助于保持机密性并允许重新成像。
预算
预算可分为两个领域:可预测的年度预算和运营支出。人员,设备,培训和研发是年度团队预算的一部分。营业费用是指每项单独操作产生的费用。这些可以包括采购专用工具,云基础架构,源代码等,以实现运营目标。
对我来说,运营费用的批准流程需要简单而有效的流程,因此团队不会在等待数周之久才能获得所需工具的过程中陷入困境。
协作工具
根据您计划红队拥有多少隐私和真实性,您可能希望将其协作工具与组织的其他部分分开。
虽然完全保密不是协作环境中的主要关注点,但是某些操作可能会更加敏感,并且需要使用组织其余部分无法访问的工具,例如,在并购,内部威胁模拟,针对首席执行官或董事会办公室的操作中董事。
对于日常运营,可以使用公司的企业协作软件,例如云存储,聊天或类似的工具,用于记笔记,报告和其他业务活动。
密码破解装备
该团队可能需要密码破解功能。他们可能选择使用云提供商的GPU实例或构建密码破解装备。如果团队也在进行漏洞研究,他们将需要专用的模糊服务器。
信息泄露
运营期间收集的信息可以大致分为两类:漏洞和商业秘密。
漏洞是团队进一步进行操作的手段,例如有关错误配置,错误,密码等的信息。可以将漏洞安全地保存在注释中。
商业秘密是如果被盗可能对组织造成损害的数据。被窃取的数据只能通过加密的通道传输,并存储在安全的位置。一些组织可能选择泄露相同大小的随机数据以证明这一点而不会危害组织的秘密或根本不泄露任何东西。
结论
攻击性安全是组织保护其专有信息和客户的工作的重要组成部分。虽然红队不是很复杂,但他们需要领导的支持和理解才能有效地执行。
*参考来源:medium,FB小编周大涛编译,转载请注明来自FreeBuf.COM
来源:freebuf.com 2019-11-01 09:00:25 by: 周大涛
请登录后发表评论
注册