蓝队成功的6个最佳实践

admin 2022年11月30日09:41:11评论27 views字数 2747阅读9分9秒阅读模式

蓝队成功的6个最佳实践

如今的安全团队如同彩虹一般,有红队、蓝队、以及紫队。虽说每个团队都有其独特的视角和任务,但蓝队的任务被公认为是最为关键的部分。他们保护着组织免受网络安全威胁和漏洞的伤害。

为此,蓝队必须对组织的业务需求、任务需求、存在的相关威胁、数字足迹以及相关漏洞都有所了解。从这些方面下手,蓝队可以通过实施安全控制和补救措施来解决最为紧迫的威胁,从而加强组织的安全态势。

正如,Aquia公司的高级安全工程师兼紫队领袖,Maril Vernon对紫队的评价那样:蓝队的组成部分远不止SOC分析师和IT运营部门。从商业信息安全官(Business Information Security Officer ,BISO)到网络威胁情报(Cyber Threat Intelligence,CTI)团队,再到企业风险和业务连续性计划(Business Continuity Plan,BCP)的专业人员,他们都属于蓝队的范畴。并且,甚至红队也是在为蓝队的工作而提供服务。每个组织在努力去主动改善组织的安全性,并试图通过某种方式来验证。在紫队的练习中,最关键并且最重要的部分就是识别出合适的蓝队成员,将其整合到一起,并真正意义上地将对抗的目标、心态以及谍报技术传授给他们。蓝队在不同级别上分别构成了第一、第二以及第三道防线,组织并不想冒险地去完全相信其中任何一个的能力。通常,安全事件发生得突然,并不会给我们过多的反应时间去识别、纠正以及控制。谁都不想与对手进行公平的竞争,而蓝队的成熟就是组织创造优势的方式。

为了执行关键的任务,以下是蓝队可以采取的6个最佳实践: 

1、采用网络安全架构

每当提到网络安全框架,想必一定会有人感到不屑。但是如果没有安全框架,组织就很难成功地去制定和实施一个连贯的网络安全计划。如今市面上不乏一些现成的网络安全框架,其中NIST的CSF(Cybersecurity Framework)和RMF(Risk Management Framework)被引用得最为广泛。  

例如,NIST的 CSF供了一个降低组织网络安全威胁的指导方针,其中涵盖了识别、保护、检测、响应以及修复等基本方面。每当风险与威胁出现时,组织都会多次经历这些阶段。CSF的独特之处就在于它支持使用配置文件,这有助于组织对CSF进行优化,从而使其与行业和组织保持一致。并且CSF还具有若干个示例配置文件可供组织进行选择。

2、对需要保护的资产有一个清晰的意识和了解

如果对需要保护的资产没有清晰的意识和了解的话,那么所有的网络安全程序都会失去其效用价值。这就是为什么多年以来,对于硬件和软件资产库存的控制一直是CIS安全控制的基础内容。

组织无法保护那些自己看不到的或者未意识到的东西,这是网络安全领域的一个基本事实。在当今云驱动的环境中,传统的资产正逐渐变得由软件定义,并存在于云服务提供商(Cloud Service Provider,CSP)的环境中。并且随着虚拟端点的普遍应用,这一点也同样适用于终端。另一方面,可视性适用于组织中所有类型的资产,无论是物理资产还是虚拟资产。

3、降低噪音

如今的蓝队面临着无数的工具、平台和资源,以覆盖他们所需要监控和保护的环境。这就意味着会有一系列繁杂的预警与通知来分散蓝队的注意力和认知能力,甚至耗尽他们的士气。要使蓝队发挥其最大价值就必须尽可能地减少误报、重复的预警以及非增值的通知,这些都会将蓝队的注意力从真正紧要的威胁和风险上分散开。为了做到这一点,蓝队可以合理应用工具组来消除重复的预警,并确保团队能够接收和响应高保真的数据。

4、选择团队能够掌握并有效利用的工具

网络安全团队的领袖能够意识到有必要去采购并实施各种工具来抵御相关的威胁和风险,这是完全正确的选择。因为确实存在着大量的风险,正在威胁着组织的安全。根据相关研究,尽管安全工具的数量正迅速增长,但有关指标却显示,这些工具并未产生预期的效果。例如,Ponemon的报告显示,每个组织都平均在使用40多种安全工具,然而安全团队的成员却表示自己并不清楚这些工具的真实效果。Market Cube的一项研究指出,团队增添工具的速度要远快于有效使用它们的速度。

更讽刺的是,维护这些工具的负担正不断危害着对威胁的响应以及最终的安全态势。每一种工具的引入都会增加整个团队的认知负荷。学习和了解这些工具、条例并对其进行配置都需要花费时间,并且后续还需要对其进行监控,以切实地利用其遥感技术。

网络安全中的倦怠与认知超负荷是一个值得关注的问题,不仅因为它们会消耗团队的精力与士气,并且,处理太多的工具就意味着用来优化工具和降低组织风险的时间也会随之减少。因此,工具的扩张并非可以降低威胁,反而是加剧了组织的安全风险。另一方面,这些工具本身也属于组织攻击面的一部分,通常情况下会存在着一些可被恶意分子利用的高级权限。  

5、站在对手的角度看待问题

在网络安全行业,安全团队的专业人士时常会提及这么一个比喻:“要像黑客一样思考。”该比喻非常直观,要抵御对手的攻击,就需要了解敌人的真实想法。想要做到这一点,最好的办法就是站在他们的角度来看待问题。

这意味着需要花一些时间来从攻击的角度进行练习,对于蓝队的专业人员来说着是很有价值的。了解攻击者所使用的相关工具、策略与程序可以帮助蓝队的专业人员搞清楚该如何进行防御活动。一些人认为可以通过获取一些实际的攻击经验,来更好地站在攻击者的角度来思考问题。然而,并不是说要去正式地成为一名黑客,或着是针对真实存在的目标来进行攻击。通常情况下,这些可以通过攻防演练或参加CTF来实现。

6、像训练一样战斗

二战时期的美国将军乔治•巴顿曾说过:“要像训练一样战斗。”在强压之下,组织或个人并不会奇迹般地崛起,反而是会回归到他们训练时的水平。这解释了为什么说定期的严格训练如此重要。并且训练不仅仅是指桌面练习或书面练习,它更多指的是真正的红队训练与经验。这是一种成熟的方法。它迫使组织不仅要预测自己在事件检测、恶意行为预防以及最终的攻击抵御等方面的准备程度,而且还需要去验证这些准备是否充足。战斗训练可以更好地对组织的安全团队进行武装,从而为面临现实世界的威胁做充足的准备。

数世点评

网络安全技术的本质是对抗。红蓝攻防演练是一个持续的过程,是攻击技术手段同防御技术策略同步升级发展的过程。随着新的攻击技术和攻击手段的层出不穷,以及攻击规模和组织性程度的不断升级,防守方也应在管理、技术以及运行等多方面构建起协调一致、全面联合的实战化安全体系,从而在防守过程中争取到更多的优势与主动权。



参考阅读
五大类渗透测试
攻防演练场景下的加密流量概况
为什么我们需要多倾听蓝队的声音
浅谈软件供应链安全治理与应用实践

原文始发于微信公众号(数世咨询):蓝队成功的6个最佳实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月30日09:41:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝队成功的6个最佳实践http://cn-sec.com/archives/1434348.html

发表评论

匿名网友 填写信息