攻击路径管理宣言

公众号正式更名为「赛博攻防悟道」，我们将以一个小组的形式正式运营！

本文翻译的是BloodHound产品架构师Andy Robbins为BloodHound企业版的第一次发布，所专门定制发表的一篇先进攻防理念宣传文《The Attack Path Management Manifesto/攻击路径管理宣言》。

虽然这篇文章的核心意图是在推销商业化安全产品，但是作者对于现代企业的安全现状进行了针针见血的评论分析，值得大家学习。

注意：本文长达1万多字，请读者耐心阅读；相关重点语句已标红，特别为「先进攻防理念讨论组」的粉丝们翻译解读 ：）

目录

---

• 什么是攻击路径？

• 目录服务：Active Directory(活动目录)

• 为什么 Active Directory 是攻击者最喜欢的目标

• 比较攻击路径管理和漏洞管理

• 为什么攻击路径具有挑战性

• 为什么当前解决攻击路径的选项不足

• 什么是攻击路径管理及其工作原理

• 攻击路径管理优势

什么是攻击路径？

攻击路径并不是什么新鲜事。基于身份的攻击路径（以下简称为攻击路径）得到了特别充分的研究。攻击路径是在计算机和用户之间创建直接/间接连接的可滥用权限和用户行为链。

微软研究院在 2009 年发表了一篇论文，将攻击路径描述为“身份雪球攻击利用登录到第一台受感染主机的用户以这些用户在其他主机上的权限发起额外攻击”。

http://alicezheng.org/papers/sosp2009-heatray-10pt.pdf

法国政府在 2014 年展示了他们的工作“……强调[Active Directory]控制路径，涉及非平凡的关系和对象链……衡量一个账户的有效权力范围”，标题为“ Active Directory 控制路径”。

http://alicezheng.org/papers/sosp2009-heatray-10pt.pdf

https://www.sstic.org/2014/presentation/chemins_de_controle_active_directory/

2016 年，我们创建了BloodHound项目，让我们作为红队队员的工作更轻松。

https://github.com/BloodHoundAD/BloodHound

虽然攻击路径不是新的概念，但现有的防御文献过于学术而缺少实用性，实用工具应当是从攻击者的角度关注攻击路径，而不是从防御者的角度。数十年来，防御者一直受到攻击路径的困扰（无论他们是否知道），但却从未能触达这些攻击路径的根本原因。

攻击路径管理（APM）的主要目标是直接解决攻击路径问题。今天，攻击路径的问题在 Microsoft Active Directory 和 Azure Active Directory 中最为明显。这些平台为攻击者提供了最大的回报，因为控制企业的基本身份平台可以完全控制该企业中的所有用户、系统和数据。

此处讨论的概念将侧重于 Active Directory（Microsoft Active Directory 和 Azure Active Directory），但也可以应用于其他身份和访问管理系统，例如 AWS 和 G-Suite。

目录服务：Active Directory(活动目录)

Microsoft Active Directory 和 Azure Active Directory 是目录服务产品，可为组织提供多项关键服务：身份和访问管理、端点管理、业务应用程序管理等等。

组织将 Active Directory 视为：

• 基础的

Active Directory 是管理端点管理服务、身份和身份验证服务、电子邮件身份验证和关键业务运营访问的基础，是各种规模的组织使用的最关键服务之一。

• 普遍的

Active Directory 是迄今为止使用最广泛的目录服务产品。银行、政府和军事机构、零售商、小型企业以及财富 500 强中的绝大多数都使用 Active Directory。这种普遍性为组织带来了许多好处，包括获得支持的丰富社区、高度成熟的 Active Directory 管理和工程培训生态系统，以及拥有数千名在 Active Directory 方面拥有多年（甚至几十年）经验的专业人士的庞大人才库。

• 强大的

Active Directory 包含多项强大的功能，可简化用户和端点管理、增加正常运行时间并简化端点用户体验。安全组委派、组策略和域信任等功能使 Active Directory 管理员能够组织和控制 IT 环境，以便最好地满足组织的要求。

攻击者将 Active Directory 视为：

• 基础的

由于整个组织都与 Active Directory 相关联，因此攻击者可以通过首先控制 Active Directory 来控制任何计算机、任何用户、任何业务流程。

• 普遍的

由于 Active Directory 的使用如此广泛，攻击者可以投入时间、金钱和精力来培养他们攻击 Active Directory 的技能，然后使用这些相同的技能和工具来攻击几乎任何组织。

• 强大的

从管理方面使 Active Directory 如此强大的功能与攻击者喜欢滥用的功能完全相同。一些用于攻击 Active Directory 的最广泛使用的工具（BloodHound、Mimikatz、Responder）不会使用漏洞，而是恶意利用 Active Directory 和 Windows 中的功能。

为什么 Active Directory 是攻击者最喜欢的目标

数十年来，攻击者一直以 Active Directory 为目标，而如今他们仍然喜欢以 Active Directory 为目标。这至少有 5 个主要原因：

原因1：无与伦比的回报

控制 Active Directory 不是攻击者的最终目标。攻击者的真正目标范围从工业/国家间谍活动到勒索软件部署，以及介于两者之间的任何地方。虽然控制 Active Directory 不是最终目标，但没有其他策略能够保证实现控制 Active Directory 所做的真正目标。为什么是这样？

当端点加入 Active Directory 时，有多种机制允许 Active Directory 的管理员控制该端点——这当然是设计使然。例如，组织使用此控件在企业中的所有端点上执行任务，例如安装防病毒软件、配置本地安全策略或控制安装在端点上的其他业务软件。启用所有这些的机制可以被滥用来控制端点。端点加入 Active Directory 后，控制端点的范围不再由端点本身控制。

但即使系统未加入 Active Directory，Active Directory 仍可用于验证有权访问该系统的用户的身份。例如像 RADIUS 或 SSO 这样的技术——Active Directory 验证系统的用户，然后系统授予用户访问权限。对于攻击者来说，这意味着获得对身份授权（Active Directory）的控制几乎意味着接管任何系统、用户、业务流程、数据等。

对于攻击者来说，无论想要实现什么，对 Active Directory 的控制都可以帮助其实现目标。这使得 Active Directory 成为对每个攻击者都极具吸引力的目标。

原因2：共同的弱点

所有 Active Directory 环境都有一个共同的弱点，这给企业的安全状况带来了灾难：Windows 和 Active Directory 几乎不可能有效和准确地审核权限。无论这意味着对 Active Directory 对象的权限，还是计算机上的本地管理员权限，甚至是授予安全组的有效权限，Windows 和 Active Directory 都不能回答诸如“有多少用户在这台计算机上拥有管理员权限”之类的问题？”

在 BloodHound GUI 中，我们可以看到 1 个组和 3 个用户属于右侧计算机上的本地管理员组

Windows 命令行类似地仅列出直接属于计算机上本地管理员组的主体

Windows 只会报告哪些主体与计算机或对象具有直接的“管理员权限”关系。

实际上，由于嵌套的安全组，一台计算机可以拥有数百、数千甚至数万个管理员。从上面的图我们可以看到，由于安全组嵌套，7 个用户在计算机上拥有管理员权限——而不仅仅是 4 个。

这种权限缺乏明确性，再加上端点防火墙的极少使用和 Active Directory 几乎无处不在，意味着攻击者可以使用相同的基本策略来攻击几乎任何组织。攻击者只需掌握一次攻击 Active Directory 的技术，然后在任何地方使用多次该技术进行攻击。

这些弱点是如此的普遍、可靠和一致，以至于它们启用了同样普遍、可靠和一致的攻击性工具——像 Mimikatz、Responder 和 PowerView 这样的攻击性安全工具。

原因3：检测难，规避容易

信息安全领域有句俗语：“防御者必须每次都正确，但攻击者只需正确一次。” 这当然是对现实的严重简化，但在谈到检测攻击路径过程中使用的恶意行为时，它确实是正确的。由于攻击者经常使用内置的合法管理工具并滥用 Active Directory 中现有的特权和权限，因此防御者很难区分“好的”管理员行为和“坏的”管理员行为。

考虑一个每周登录数十个甚至数百个系统的帮助台用户。该用户可能会使用不同的管理工具来完成他们的工作，可能会经常第一次登录系统，并且可能会在系统上执行特权任务。数以百计的登录，乘以数百个生成的事件和工件——难怪对手可以通过“在陆地上生存”而不被发现。

纵观隐藏在雷达下的简单战术，整个世界都有防御性规避技术。从通过更改一些代码来规避静态哈希检测，到禁用端点安全解决方案——攻击者可以使用非常广泛的策略来规避检测，无论检测方式多么复杂。

原因 4：深度持久性选项

无论是朝着短期目标还是长期目标努力，攻击者都需要在网络中保持持久性，以避免运营中断。由于权限级别较低，攻击者的持久性受到限制，并且被迫使用更容易被发现的选项。但随着特权级别的提高，持久性变得更大，并且防御者更难发现和消除。

在保证持久性时，攻击者不需要将自己限制为“域管理员”。域管理员意味着对每个系统的控制，而对系统的控制意味着对内核的控制。如今，大多数防御者已经在努力检测商品级持久性机制，如恶意计划任务，并且绝大多数防御者没有资源或配备人员来处理内核级持久性机制。

为了使检测工作更加复杂，对 Active Directory 的控制意味着控制每台加入域的机器上的操作系统，包括域控制器。由于大多数检测和威胁搜寻系统都依赖于从操作系统返回的信息，因此控制操作系统本身的对手可以通过一种简单的策略击败一些检测和威胁搜寻工作：撒谎。更具体地说，通过控制操作系统，攻击者可以使防御者查询的相同操作系统部分报告一切正常。

原因 5：无限重试

SpecterOps红队有幸面对一些世界上最好的安全运营中心 (SOC)、数字取证和事件响应 (DFIR) 以及威胁追踪团队。这些是世界一流的专业防御者，他们在检测和响应对手的战术、技术和程序 (TTP) 方面处于最前沿。当然他们也必须是，因为他们每天每个小时都被专门针对和攻击。

但是没有一个组织拥有完美的安全性，而且我们经常发现资金充足的 SOC 部分是为了弥补更大 IT 安全图景中的其他弱点。对于攻击者而言，这意味着获得对此类组织的初始访问权限可能很简单，但攻击者最轻微的 OPSEC 错误，例如即使将打了签名的二进制文件写入磁盘，几乎可以保证也会被捕获并被踢出局。这是否意味着攻击者永远被拒之门外？当然不是。

每次攻击者重新获得对防御良好的网络的访问权时，都能够了解有关网络的更多信息并绘制攻击路径图 - 攻击路径每天都在增长并且仍然看不见且不受管理。攻击者可能只需要一到两轮攻击路径数据收集就可以发现通往其目标的攻击路径。虽然攻击者不喜欢重建网络钓鱼、有效负载托管以及命令和控制基础设施，但攻击者值得一试的是获得并使用无限重试来攻击 Active Directory。

比较攻击路径管理和漏洞管理

在过去的二十年中，漏洞管理 (VM) 已经成为企业 IT 安全的关键支柱。2000 年代和 2010 年代软件漏洞数量众多，因此需要创建漏洞管理平台和漏洞管理程序，以验证组织修补和安全配置实践的有效性。

攻击路径管理 (APM) 是针对与漏洞管理 (VM) 不同组问题的不同解决方案。

补丁与权限

一直以来，软件漏洞是一个大问题。虽然供应商在生产软件时，错误越来越少，但他们永远不会生产无错误的代码——也不应该期望他们这样做。但新软件并不是这里唯一的风险，旧软件，或新软件在其上编写的旧代码，也可能存在等待被发现的可利用漏洞。出于这个原因，组织必须能够通过测试、部署和审计补丁来对软件漏洞做出反应，并降低无法部署补丁的系统上的风险。

漏洞管理 (VM) 解决方案使用通用漏洞评分系统 (CVSS) 提供特定的漏洞风险。虽然漏洞是对手箭筒中的一支箭，但它们是有代价的。首先，每个漏洞都会留下防御者可以找到的面包屑；潜在地冒着对手的网络访问、利用或两者兼而有之的风险。其次，开发、聚合和维护漏洞利用对攻击者来说非常耗时。最后，利用漏洞在网络中枢转/移动通常很耗时。

相比之下，精通攻击 Active Directory 的对手可以获得特权并在攻击路径上自由移动，从而将防御者发现的风险降至最低，实现持久性并获得王国的钥匙。出于这个原因，攻击者更喜欢仅在必要时使用漏洞，并且默认使用攻击路径。

为什么攻击路径具有挑战性

数十年来，攻击路径一直困扰着组织。SpecterOps观察到数百个组织机构中出现了几种模式，这些模式解释了为什么他们历来无法管理攻击路径：

最小特权白日梦

当人们谈论“外强内柔”时，他们通常指的是这样一个事实，即虽然外围控制得到加强并给予适当的关注，但外围的情况依旧十分非常糟糕（即充满攻击路径）。最常见的是，这是因为组织机构失去了对 Windows 和 Active Directory 权限的控制，这些权限创建了关键的攻击路径，将环境中的每个用户和计算机链接到最敏感的系统和高度特权的主体——一组资产在分级管理模式中被称为零级。

Microsoft 的企业访问模型https://docs.microsoft.com/en-us/security/compass/privileged-access-access-model

输入最小权限——绝对没有人实施的基本安全控制。但这并不是因为缺乏尝试或管理员的任何专业缺点。由于几个原因，最小特权在历史上一直遥不可及。为什么？因为在 Windows 和 Active Directory 中授予权限的方式非常不透明，而且这种不透明性如何阻止最有才华的管理员大规模有效地审核权限。为了让管理员有效地实现最小权限，他们必须完全理解环境中存在的每个权限的以下所有元素：

问题 #1：这是否是一种可滥用的特权？

回答：对#1 的回答总是“我不知道”、“是”或“否”。但随着新的攻击路径研究不断出现，最后一个“否”几乎也可能是“还没有”。要针对数千、数万甚至数十万资产的数十种特权回答这个问题，需要适当的、最新的工具——管理员过去无法使用或根本不存在的工具。

问题 #2：谁被授予了这项特权？

答：由于安全组嵌套，#2 的答案可能非常具有欺骗性。具有特权的安全组由一个特权表示。但实际上，该安全组可能通过安全组嵌套添加了数十、数千甚至数十万个主体。手动展开这些组成员身份一次就足以让大多数管理员完全放弃审计权限的整个想法。更糟糕的是，用户、计算机和组一直在添加和从组中删除，因此手动组展开过程的成果很快就会过时。

问题 #3：是否需要此特权？

答：最难的问题是#3。询问任何软件供应商他们的软件是否真的需要本地管理员权限，他们几乎总是会告诉你，“是的”。询问任何 IT 管理员或业务应用程序所有者他们的服务帐户是否真的需要特定权限，他们几乎总是会告诉你同样的事情。但正如我们许多人所知，授予这样的自由权限是“让它工作”的简单方法。尽管如此，提供不需要特定特权实际上说起来容易做起来难。证明你不会通过删除某个特权来破坏某些东西实际上是非常困难的。没有多少组织机构愿意实施可能削弱业务关键应用程序的安全“修复”。

这种无休止的非起始者循环阻止了绝大多数组织机构真正实现有效的最小特权执行。是的，一个组织可以在一组特定的系统上获得最低权限，或者使用逻辑网络规则来减少权限滥用。然而，现实情况是，攻击路径会持续存在、增长并且不受管理 - 几乎与一个组织的所有最低权限的成就背道而驰。

红队评估：缓解攻击路径的错误工具

SpecterOps 定义的红队评估的目标是测试组织机构的检测和响应能力（人员、流程和技术）。红队评估并非旨在识别组织机构内的攻击路径。然而，红队评估在专业服务领域是独一无二的，因为它们能够揭示组织机构的防御者如何应对现实的、具有威胁代表性的攻击。当红队报告开始传阅时，经常会有组织会很兴奋。也许是有史以来的第一次，该组织看到了攻击者从无法访问到完全控制企业所采取的完整的确切步骤。他们还清楚地看到了组织的应对措施不足以阻止它的领域。

接着便会出现一些熟悉的问题：“在第 2 步中，您使用用户 X 的密码转到计算机 5。但如果用户 X 在那里没有管理员权限，您将无法做到这一点，对吧？” 这种想法非常普遍——通过采取特定的先发制人的行动，组织将没有攻击路径，因此是安全的。这是一个令人欣慰且被误导的想法。原因如下：

一个拥有大约 1,000 个端点的“小型”组织通常会拥有数百万甚至数十亿条攻击路径。试图修复红队评估提出的特定攻击路径就像试图通过移除圣路易斯的一个街区来阻止某人从西雅图开车到纽约市。它对驾驶员实现目标的能力没有影响，并且可能会浪费资源。

删除任何一条路线不会抑制从一个点移动到另一个点的能力。

问题不在于红队评估没有价值。红队评估对培训或验证组织的检测和响应能力而言有着巨大的价值。问题在于试图将红队评估用于不适宜的方面：理解、量化、消除或减轻攻击路径。这可能会给红队专业人士及其客户带来令人沮丧的结果，因为攻击路径年复一年地被发现和执行——它可能开始感觉像是在追你的尾巴。

确定问题的大小：攻击路径之未知的未知

至少有三种类型的问题会给组织带来风险：

已知的已知问题——组织机构可以通过工具和方法轻松确定其面临的问题。对于成熟的组织，补丁管理属于这一类，因为组织知道补丁的重要性，并且可以衡量他们在补丁管理方面的有效性。

已知的未知数——组织机构努力确定其面临的众所周知的问题。这些是组织承认存在风险的问题，但无论出于何种原因，都无法衡量他们保护自己免受这些风险影响的程度。许多组织对“标准”安全控制的感受最为深刻，这些控制实际上在现实世界中难以部署和维护——例如资产管理、最小权限和分层管理。

未知的未知数- 此列表中最危险的风险类型。这些是组织不知道的问题，也无法衡量他们如何有效地保护自己免受这些问题带来的风险。攻击路径适合大多数组织。

未知的未知数不是受影响组织的错——不能指望组织机构管理他们不知道且无法衡量的问题。对于那些意识到攻击路径问题的组织，大多数组织缺乏使用准确和有意义的统计数据来衡量他们在攻击路径中的暴露程度的能力。对于无法衡量的问题，您无法管理或取得真正的进展。幸运的是，攻击路径管理方面的进步现在可以将企业的攻击路径从“未知未知”转变为“已知已知”。为了解释这种转变，必须详细探讨为什么攻击路径目前是“未知的未知数”，以说明攻击路径管理的工作原理及其提供的好处。

为什么当前解决攻击路径的选项不足

简而言之，目前处理攻击路径带来的风险的选项不足，因为它们：

• 不要或不能衡量问题的严重程度。

• 攻击症状而不是问题。

• 最终未能提供切实可行的方法来解决风险。

今天，组织机构尝试以三种不同的方式处理攻击路径：

最佳实践往往是不切实际的实践

从理论上讲，组织机构可以使用两种特定的方法来非常有效地降低攻击路径带来的风险：分层管理和最小权限。但是对于绝大多数组织来说，这些方法是遥不可及的。

分层管理在纸面上听起来很简单：将您的管理员和端点分成不同的“层”，并且只允许同一层中的主体和系统相互访问。有效部署，这有望消除层之间的横向移动，因此控制较低层主体或系统的攻击者无法转向较高层。

最小权限访问听起来更简单：只给用户和其他主体他们完成工作所需的权限，没有更多的权限。但是有几个因素会阻止组织部署分层管理或最低权限访问：

1. 不透明和令人困惑的权限使得很难理解针对任何特定系统或对象的有效权限。如果您无法轻松审核谁有权访问某个系统或对象，则无法确定是否存在层分离违规，或者用户或主体是否具有所需的最少权限。

2. 从历史上看，有效实施和维护分层管理需要对几个基本服务进行架构更改，包括身份和访问管理、端点管理，甚至网络架构。这是更多组织没有部署微软现已弃用的ESAE（也称为红森林）的最大原因。

3. 从历史上看，没有办法准确预测分层管理或最小权限访问对消除攻击路径的真正好处。由于无法证明风险降低，分层管理、最小权限和许多其他“基本”安全控制充其量是不切实际的最佳实践，最坏的情况是行业流行语。

产品

我们已经看到一些产品对攻击路径有影响，即特权访问管理 (PAM) 类别中的那些产品。而其他一些产品，如防病毒 (AV) 和端点检测和响应 (EDR)，可以对阻碍对手在攻击路径中执行特定步骤的能力产生积极影响。然而，攻击路径继续增长，红队和对手继续执行攻击路径。归根结底，当对手执行攻击路径时，PAM、AV 和 EDR 更像是减速带，而不是路障。为什么是这样？

现有产品不能解决攻击路径问题的最大和最明显的原因是什么？它们的设计初衷并非如此。现有类别中的每个产品都经过设计、构建和维护，以解决信息安全领域中的一个或几个特定问题。但正如攻击路径管理解决方案无法解决端点上运行的恶意软件问题一样，EDR 解决方案也无法解决攻击路径问题。

向前迈出一步：免费和开源软件 (FOSS) — BloodHound

几乎在BloodHound发布后，FOSS BloodHound 的创建者和许多其他人就意识到，该工具在防御方面的潜力远比在进攻方面更具吸引力。许多组织已经使用 BloodHound 来识别和消除自己网络中的攻击路径，并取得了不同程度的成功。

但是使用 FOSS BloodHound 作为攻击路径管理解决方案存在几个问题：

1. 在 FOSS BloodHound 之上使用自定义脚本和方法构建需要全职承诺并致力于掌握图论概念、图数据库管理、Cypher 查询语言以及 Active Directory 安全概念方面的现有专业知识。

2. FOSS BloodHound 无法生成有意义的统计数据或测量值。这排除了随着时间的推移跟踪进度或在进行补救之前展示攻击路径减少的可能性。

3. FOSS BloodHound 的数据收集架构旨在促进在离散时间跨度内进行的攻击性安全评估。它不是为连续数据收集而设计的，也不支持连续数据收集。这意味着数据库中的数据很快就会变得不准确且无法使用。

虽然包括 SpectreOps 在内的一些组织已经成功地从 FOSS BloodHound 中获得了防御价值，但它本身还不够好，也无法有效地管理攻击路径。

什么是攻击路径管理及其工作原理

攻击路径管理是一种完全不同的独特方法，旨在帮助组织了解、凭经验量化影响并消除攻击路径风险。为了实现这一目标，攻击路径管理基于三个基本支柱：

定义的攻击路径管理和 APM 的基础支柱

攻击路径管理是对 Active Directory（本地和 Azure）攻击路径阻塞点的持续发现、映射和风险评估。组织可以使用 APM 消除、缓解和管理攻击路径，最终实现有效的分层管理和最小权限，并显着减少 Active Directory 呈现给对手的攻击面。APM 不需要基本的架构更改，并帮助组织实现上述好处，而无需无休止地追查错误配置、漏洞和危险的用户行为。为了实现这些目标，APM 基于三个基本支柱：

• 支柱 1：连续、全面的攻击路径映射

连续映射

企业网络不是静态的。特权用户每天登录不同的系统（留下可能被对手滥用的令牌和凭据），新应用程序需要新授予的权限，并且安全组成员资格会更改以适应业务需求。这些单独的更改和事件不仅影响直接涉及的主体和对象——它们对攻击路径的创建具有深远的影响。以巴拿马运河为例。运河以最简单的形式连接着两大洋。然而，它为遥远的国家和经济体开辟了道路。

因为形成攻击路径的连接和行为是不断变化的，攻击路径本身也必须不断映射。

综合测绘

在不断映射攻击路径时，必须绘制每个关系/连接。从域控制器等关键服务器到单个端点，关系和连接的全面枚举可以全面了解对任何给定对象、计算机、用户等的真实权限，还可以对任何特定连接进行经验性的测量和影响。

此外，正在进行的研究产生了滥用合法特权的新技术。这些新技术也必须包含在攻击路径映射中。通常，在攻击路径图中引入一种简单的技术可以揭示一直存在但隐藏了数年甚至数十年的攻击路径。

想象一下 Active Directory 是一个不断变化的路径的迷宫。它必须不断地、全面地映射。

• 支柱 2：攻击路径阻塞点的实证影响评估

有许多解决方案将指向特定配置并提供对该特定配置的主观风险评估。同样无益的是，顾问指导他们的客户广泛地“做最小的特权”是很常见的。攻击路径管理不同。通过持续全面地映射目录服务环境中存在的所有攻击路径，攻击路径管理可以凭经验衡量任何特定权限或用户行为对环境整体安全状况的影响。例如，您家门前的车道（特定特权）不仅将您的房子与街道连接起来，还将您的房子与汽车可以穿越的所有其他起点连接起来。

每个特权都会启用新的攻击路径。

阻塞点识别

攻击路径阻塞点被确定为那些常见的特权和用户行为，例如通往您家的车道，将环境的其余部分连接到资产或资产集合。例如，与零级资产集合的任何连接都是零级阻塞点——攻击者必须滥用特权或用户行为才能破坏零级资产。无论对手最初从哪里开始或他们采取的路径到这一点，都有一组有限的连接到零层，将对手与他们的目标分开。连续、全面的映射列举了这些阻塞点。

阻塞点代表阻止最大数量的路径/攻击路径的最佳位置......

…保护组织的关键系统、数据和资产免受恶意访问。

阻塞点影响评估

攻击路径管理必须评估和描述（用简单的语言）任何特定阻塞点的影响。这是通过全面追溯攻击路径来完成的，以了解有多少用户和计算机可以访问每个阻塞点以及有多少路径。一个阻塞点可能使 100% 的用户能够访问零层，而另一个阻塞点只能使 2% 的用户访问零层——这使得优先级和紧迫性立即变得清晰。

• 支柱 3：实用、精确和安全的修复指导

攻击路径管理的主要目标是帮助组织消除关键阻塞点，从而使攻击者不再值得对手尝试枚举或执行该组织网络中的攻击路径。考虑到这一最终目标，攻击路径管理生成实用、精确和安全的补救指南至关重要，组织可以轻松实施。

实际的

攻击路径给每个组织都带来了巨大的风险，但每个组织都必须自己选择以管理攻击路径的名义花费多少时间、金钱和政治资本。出于这个原因，攻击路径管理必须提供符合四个标准的实用补救指导：

1. 补救措施不应要求对环境的目录服务架构进行重大更改

2. 补救措施不应要求组织从一个目录服务平台迁移到另一个

3. 补救行动不应需要专家级知识来实施

4. 补救措施应该有预期的结果，补救措施和预期结果都应该是可验证的

精确的

任何不准确或不完整的指导都有可能无法消除预期的攻击路径或影响关键业务流程。由于真实权限对任何给定对象、计算机、用户等的复杂关系和联系，攻击路径管理阻塞点补救指导必须准确和全面。

安全的

由于攻击路径管理受限于特权和用户行为，因此补救指导侧重于删除、更改或以其他方式减轻这些特权和行为。删除特权可能是一种特别引起焦虑的行为，因为可能不清楚哪些关键业务流程可能因此失败。攻击路径管理解决方案生成的每个补救指南都必须包含有关如何确定是否实际需要这些权限的说明。

攻击路径管理优势

攻击路径管理为企业提供了保护 Active Directory 的途径，将 AD 作为攻击者最喜欢的目标剥离，同时恢复对 AD 作为企业身份权威的信心。更准确地说，企业将获得以下收益：

消除“创可贴”修复

攻击路径管理允许组织在精确的阻塞点直接解决攻击路径的风险，而不是应用数千个不会阻碍对手前进的表面“改进”。

显著改善的安全态势

攻击路径管理提供有意义、透明的测量，揭示攻击路径造成的真正风险，并能够跟踪组织的 AD 安全态势随时间的进展。

清晰的 Active Directory 可见性

攻击路径管理可明确 Active Directory 结构，促进更好的架构设计（针对 AD 和应用程序），提高 IT 和安全团队的工作效率，并杜绝滥用渗透测试结果导致乏味、无效率的配置更改。

不切实际的最佳实践变得实用

分层管理、最低特权访问和身份凭证健康一直是最佳理论最佳实践，但仍然遥不可及。攻击路径管理提供的可见性和清晰性使任何人都可以触手可及这三者。

所有人的 Active Directory 安全性

使用攻击路径管理持续映射、测量和消除高风险攻击路径阻塞点的最终结果是，您已经强化了 Active Directory 以防止滥用，增强了目录服务的可用性，并保护了“通往王冠的钥匙”。此外，攻击者被迫转移到其他地方或使用比现在更困难且回报更少的不同策略。

下一步是什么？

攻击路径管理是我们对组织如何通过实际和精确实施最佳实践（如最小特权、分层管理和身份凭证健壮）最终解决攻击路径问题的愿景，并通过对这些补救措施如何减少关键攻击路径和改善整体安全状况的经验评估来衡量。

攻击路径管理是 SpecterOps 的第一个商业产品 BloodHound Enterprise 采用的方法。

微信长按二维码加入我们讨论先进攻防理念～

原文始发于微信公众号（赛博攻防悟道）：攻击路径管理宣言