关注公众号,回复“河南等保1101” 获取“Metasploit渗透测试指南:修订版”PDF版
1、渗透测试:前期交互阶段(Pentest-standard)
渗透测试:威胁建模
常规
本节定义了正确执行渗透测试所需的威胁建模方法。该标准不使用特定的模型,而是要求所使用的模型在威胁的表示,其能力,根据被测试组织的资格以及重复应用于具有相同结果的未来测试的能力方面保持一致。
该标准侧重于传统威胁建模的两个关键要素 - 资产和攻击者(威胁社区/代理)。每个都分别细分为业务资产和业务流程以及威胁社区及其功能。
至少,在每次渗透测试中都应清楚地识别和记录所有四个要素。
在对攻击者端进行建模时,除了威胁社区(主要是语义上的,可以绑定回组织的业务SWOT分析)和功能(主要是技术性的)之外,还应提供动机建模的其他方面。这些附加点基本上考虑了目标公司可用的不同资产的价值,并与收购成本相结合。作为一种补充模型,还应为组织执行影响建模,以便更准确地了解围绕每个已识别资产的损失事件的“假设”情景。这应考虑到资产的“净”价值、其内在价值以及与损失事件相关的其他间接成本。
任何渗透测试参与的威胁建模阶段对于测试人员和组织都至关重要。它提供了组织的风险偏好和优先级的清晰度(哪些资产比其他资产更重要,哪些威胁社区比其他资产更相关?)。此外,它使测试人员能够专注于提供密切模拟攻击者的工具,技术,功能,可访问性和一般特征的参与,同时牢记组织内的实际目标是什么,以便对更相关的控制,流程和基础架构进行测试,而不是IT元素的清单列表。威胁模型应尽可能与被测试的组织协调构建,即使在测试人员没有任何组织先验信息的完整黑匣子情况下,测试人员也应根据攻击者的观点与与目标组织相关的OSINT创建威胁模型。
该模型应明确记录,并作为最终报告的一部分提供,因为报告中的调查结果将引用威胁模型,以创建特定于组织的更准确的相关性和风险评分(而不是通用的技术评分)。
高级威胁建模过程
1.收集相关文档
2.识别和分类主要和次要资产
3.识别和分类威胁和威胁社区
4.针对主要和次要资产绘制威胁社区地图
例
根据PTES评估,内部托管的CRM应用程序可能在范围内。存储在后端数据库中的客户信息是易于识别的主要资产,因为它直接链接到范围内的应用程序。但是,通过查看数据库服务器的技术设计,还可以确定存储在同一后端数据库服务器上的HR数据库是次要资产。攻击者可以使用 CRM 应用程序作为获取员工信息的垫脚石。在基本威胁建模练习中,某些威胁社区在映射到 CRM 应用程序时可能会被标识为不相关,但是通过识别次要资产,威胁态势会突然发生变化。
高级建模工具
有多种工具可用于识别目标并映射攻击媒介。这些通常集中在业务资产(要针对哪些系统)和业务流程(如何攻击它们)上。根据参与度,渗透测试团队可以在没有客户输入的情况下执行这些练习;或者他们可能会花费大量时间与客户利益相关者一起确定感兴趣的目标。以业务资产为重点的工具通常需要定量输入来描述每个潜在目标的测试重要性。输入也可能是定性的,例如客户 CIO 描述系统是关键任务。专注于业务流程,信息流和技术架构的工具用于识别潜在的攻击媒介,并选择最有可能成功或最有可能被特定类别的对手使用的工具。
商业资产分析
在威胁建模练习的业务资产分析部分,将对所有资产及其支持的业务流程(包括在范围中)采取以资产为中心的视图。通过分析收集到的文档并采访组织内的相关人员,渗透测试人员能够识别最有可能成为攻击者目标的资产,它们的价值以及它们(部分)损失的影响。
组织数据
政策、计划和程序
内部策略、计划和过程定义了组织开展业务的方式。这些文档特别令人感兴趣,因为它们可以帮助确定组织内的关键角色以及保持公司运行的关键业务流程。
产品信息(例如商业秘密、研发数据)
产品相关信息包括任何专利、商业秘密、未来计划、源代码、直接影响产品市场价值的支持系统、算法以及组织视为此类产品业务成功的关键因素的任何其他信息。
营销信息(计划、路线图等)
促销,发布,产品变更,定位,合作伙伴关系,第三方提供商,与组织内外活动相关的业务计划的营销计划。此外,公关相关数据,如合伙人、记者、咨询公司的详细信息,以及与这些实体的任何通信,也被认为是一个备受追捧的目标。
财务信息(例如银行、信贷、股票账户)
财务信息通常是组织拥有的最受保护的信息之一。这些信息可以包括银行账户信息、信用卡账户信息和/或信用卡号以及投资账户等。
技术资料
有关组织和组织运营的技术信息是渗透测试人员的独特兴趣。此类信息通常不是渗透测试的预期可交付成果,但是,它通过将有价值的信息提供给其他领域来促进测试过程;基础设施设计信息可以为情报收集过程提供有价值的数据。
基础结构设计信息
基础结构设计相关信息与用于运行组织的所有核心技术和设施有关。构建蓝图、技术布线和连接图、计算设备/网络设计以及应用程序级数据处理都被视为基础架构设计信息。
系统配置信息
系统配置信息包括配置基线文档、配置清单和强化过程、组策略信息、操作系统映像、软件清单等。此信息可以帮助发现漏洞(例如通过了解配置错误或过时的软件安装)。
用户帐户凭据
只要存在身份验证手段(例如VPN,Web门户等),用户帐户凭据就有助于在非特权级别上促进对信息系统的访问。
特权用户帐户凭据
特权用户帐户凭据有助于在更高的访问级别上促进对信息系统的访问,只要存在身份验证方法(例如VPN,Web门户等)。获取特权用户帐户凭据通常会导致正在测试的信息系统受到威胁。
员工数据
在这里,员工数据被分析为攻击者获取或破坏任何可能对组织产生直接影响的数据。必须遵守某些合规性的组织会对此类数据的丢失或暴露处以罚款,这显然是这种直接损失效应的候选者。此外,员工可能被视为关键资产的组织也可能受到此类审查(特定政府机构,与商业秘密相关的专业员工/部门等)。以下列表提供了个人数据的信息域的示例,这些数据可能被视为威胁建模的业务资产。
国民身份证号码(SSN 等)
个人身份信息 (PII)
受保护的健康信息 (PHI)
财务信息(例如银行、信贷账户)
客户数据
与员工数据非常相似,当客户数据将对组织造成直接/间接损失时,客户数据在威胁建模过程中被视为业务资产。除了监管/合规需求(基于罚款)之外,当此类数据可用于进行欺诈时,另一个因素在这里发挥作用,其中组织可能要对与欺诈相关的损失负责或起诉(基于丢失导致欺诈发生的客户信息)。以下列表提供了此类信息域的示例,这些信息域可能包含相关的客户数据,为了进行威胁建模,应将其视为业务资产
国民身份证号码(SSN等)
个人身份信息 (PII)
受保护的健康信息 (PHI)
金融账户(如银行、信贷、股权账户)
供应商数据
与被认为对组织至关重要的供应商相关的信息(例如关键组件制造商、与供应商签订的可能是商业秘密一部分的协议、所提供组件的成本分析)以及可能用于通过其供应商影响组织业务运营的任何数据都被视为业务资产。
合作伙伴数据
“云”服务帐户信息
人力资产
在识别组织中的人力资产时,我们必须记住,上下文是使此类资产成为破坏组织的更大努力的一部分。因此,被标识为业务资产的人力资产是那些可以用来泄露信息、纵以做出对组织产生不利影响或使攻击者能够进一步破坏组织的决策或行动的资产。人力资产不一定是公司层次结构中的最高层,但更常见的是与先前确定的业务资产相关的关键人员,或者能够访问此类资产。此列表还可以包括通常与访问受限制的公司资产无关的员工,但可能能够向公司授予物理访问权限,从而促进违反安全或程序。以下列表提供了此类资产的一些示例,应根据要测试的组织进行调整。
执行管理层
行政助理
中层管理人员
行政助理
技术/团队主管
工程师
技术人员
人力资源
业务流程分析
如果一个企业不赚钱,它就不是企业。发生这种情况的方式是让原材料或知识通过各种过程来增强它们并创造附加值。这会产生收入。业务流程和支持它们的资产(人员、技术、资金)构成了价值链。通过映射这些流程,识别关键与非关键流程并最终发现其中的缺陷,我们能够了解业务如何运作,是什么使它们赚钱,并最终使特定的威胁社区如何使它们赔钱。
在业务流程分析中,我们区分关键业务流程和非关键流程。对于每个类别,分析都是相同的,并考虑了相同的元素。主要区别在于来自关键业务流程的威胁与非关键业务流程的威胁分配的权重。然而,必须记住,一些非关键业务流程的聚合可以组合成一个场景,该场景基本上在元素/流程中形成一个关键缺陷。还应在此阶段识别此类威胁方案,并绘制出以供以后在渗透测试中使用。
技术基础设施配套流程
由于业务流程通常由IT基础设施(例如计算机网络,处理能力,用于输入信息和管理业务流程的PC等)支持,因此必须识别和映射所有这些元素。这种映射应该足够清晰,以便稍后在将威胁模型转换为漏洞映射和利用时在流程中使用。
信息资产支持流程
与技术基础设施相反,信息资产是组织中现有的知识库,用作参考或支持材料(决策,法律,营销等)。此类资产通常已在业务流程中标识,应与技术基础结构以及支持信息资产本身的任何其他技术基础结构一起映射。
人力资产支持流程
业务流程中涉及的人力资源的识别应与流程分析本身(无论是否记录在案)一起进行,并且具有任何类型参与的每个人(即使它与特定信息资产或技术基础架构元素无关)都应记录并映射在流程中。此类人力资源资产通常是审批子流程、验证子流程甚至参考(如法律建议)的一部分。这些类型的资产(特别是那些与信息资产或技术基础设施无关的资产)稍后将被映射到本质上更具社会性而不是技术性的攻击向量。
第三方集成和/或使用/按流程
与支持流程的人力资产类似,任何与业务流程相关的第三方也应进行映射。此类别可能很难绘制,因为它可能包含人力资产以及信息/技术资产(例如SaaS提供商)。
威胁代理/社区分析
在定义相关威胁社区和代理时,应根据位置(组织内部/外部)、位置内的特定社区以及有助于为特定威胁/社区建立能力/动机配置文件的任何其他相关信息来提供威胁的明确标识。在可能的情况下,应确定特定的药物。否则,应该概述一个更普遍的社区,以及任何支持材料和情报。威胁代理/社区分类的一些示例如下:
|
内部 |
外部 |
|
员工 |
商业伙伴 |
|
管理层(执行,中级) |
竞争 对手 |
|
管理员(网络、系统、服务器) |
承包商 |
|
开发 人员 |
供应商 |
|
工程师 |
民族国家 |
|
技术人员 |
有组织犯罪 |
|
承包商(及其外部用户) |
黑客主义者 |
|
一般用户社区 |
脚本小子(娱乐/随机黑客) |
|
远程支持 |
员工
根据兼职或全职合同直接为公司工作的人员。一般来说,他们不被视为构成严重威胁,因为他们中的大多数人都依赖公司。为了谋生,并假设他们受到良好对待,倾向于保护公司而不是伤害公司。经常涉及数据丢失事件或意外泄露。在 在极少数情况下,他们可能受到外人的动机来协助入侵,或者他们可能自己从事恶意行为(例如流氓交易者)。虽然技能水平可能会有所不同,但通常很低 到中等。
管理层(执行,中级)
如上所述,直接为公司工作的员工。鉴于他们在公司中的地位和职能,他们通常可以访问特权信息,并且可能
威胁能力分析
一旦确定了威胁社区,还必须分析该社区的能力,以便构建准确的威胁模型,以反映此类社区/代理成功对组织采取行动并破坏它的实际概率。这种分析既需要技术分析,也需要机会分析(如果适用)。
分析正在使用的工具
此处将包含已知可供威胁社区/代理使用的任何工具。此外,应分析可能免费提供的工具,以确定所需的技能水平,以便能够利用它们的潜力,并在威胁能力中进行映射。
相关漏洞利用/有效负载的可用性
应根据威胁社区/代理获取或开发与组织相关的环境漏洞利用的能力来分析威胁社区/代理。此外,在此分析中还应考虑通过第三方,业务合作伙伴或地下社区访问此类漏洞/有效载荷。
通信机制
应分析威胁代理/社区可用的通信机制,以评估针对组织的攻击的复杂性。这些通信机制的范围从简单且公开可用的技术(如加密)到专业工具和服务(如防弹托管、使用投递站点以及使用已知或未知僵尸网络来执行攻击或屏蔽源信息)。例如,作为测试的一部分,我们进行测试以查看组织的整体攻击面从外部是什么。但是,还有另一个完整的组件经常被遗漏。利用后可能存在哪些类型的威胁?这属于检测渗漏通道的范畴。巧合的是,渗透测试人员具有独特的地位,可以测试组织检测当今现代恶意软件的命令和控制通道的能力。当这符合范围时,我们建议测试人员创建一系列恶意软件样本,以增加用于隐藏 C2 的混淆级别。目标是创建易于检测的恶意软件,然后将混淆增加到不再进行检测的程度。
可及性
威胁参与者能力分析的最后一个要素是它们对组织和/或相关特定资产的可访问性。在考虑可访问性分析的同时完成上述配置文件将使渗透测试能够创建与组织风险相关的明确方案。
动机建模
应注意威胁物剂/社区的可能动机,以便进一步分析。攻击者的动机在不断变化,这可以从匿名和Antice等组织对黑客活动品牌攻击的增加中看出。基于每个组织和/或垂直市场的独特动机会有细微的差异,一些常见的动机包括:
利润(直接或间接)
黑客主义
直接的怨恨
乐趣/声誉
进一步访问合作伙伴/连接系统
查找相关组织的相关新闻
为了提供完整的威胁模型,应提供与同一行业垂直领域的其他组织的比较。这种比较应包括与这些组织有关的任何相关事件或新闻及其面临的挑战。这种比较用于验证威胁模型,并为组织提供基线以与自身进行比较(考虑到此公开信息仅代表比较组织实际面临的实际威胁和事件的一部分)。
原文始发于微信公众号(河南等级保护测评):3、渗透测试:威胁建模(Pentest-Standard)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论