写在前边
1. 本文原文为Felisha Mouchous于2020年发表的《Purple Team Playbook: Threat Modeling for Security Testing》,本文为译者对相关内容的翻译及实践记录,仅供各位学术交流使用。另出于易读性考虑,对部分字句有所删改。
2. 如各位需要引用,请做原文应用,格式如下所示:
[序号]Felisha Mouchous,‘Purple Team Playbook: Threat Modeling for Security Testing’, 2020.
〇、整体内容摘要
信息安全的现状是我们无法完全减轻攻击者进入我们网络的威胁。然而,组织可以通过了解攻击者的攻击运作方式来掌握他们如何准备和应对攻击者。威胁建模和安全测试提供了一种方法,首先识别威胁,然后再模拟攻击。为了充分了解威胁,分析人员需要努力全面了解攻击者的能力,以便尽可能做到积极主动地防御。要做到这一点,一个组织中的红队(攻击方)蓝队(防守方)必须协同工作,在模拟攻击的同时测试组织的防御能力。
在本文中,我们首先探讨了可用的威胁模型,以及组织应该如何在安全测试中应用它们。基于我们进行的研究和自身对安全测试的了解,我们创建了一个紫队剧本框架。该框架的目的是让组织能够利用现有的威胁数据、攻击技术、防御和资产数据,以便他们可以让红队和蓝队协同工作。
通过使用此框架,组织将可以有效地识别其防御中的漏洞,以及识别如何模拟攻击者的行为,以评估他们如何解决这些安全漏洞。为此,我们制定了概念验证场景以展示该框架如何在组织中使用,以及它如何帮助应对威胁建模和安全测试的挑战。
一、介绍
据《2019年Verizon违规报告》报道,69%的攻击者是组织外部攻击者,71%的违规行为是出于财务动机,52%的违规行为是由黑客直接造成的。今年,卡巴斯基的研究人员还报告称,他们在一家公司发现了一种全新的攻击框架,“泰姬陵Taj Mahal”,在某一家公司已经五年没有被发现。由于该框架的复杂性,他们认为这些攻击者也可能破坏了其他组织,但这一点尚未确定。这强化了这样一个事实:即组织需要不断发展其测试和防御能力,以试图跟上这些攻击者的步伐。
这篇论文强调了了解组织面临的威胁以及如何使用安全测试更好地保护自己免受不断演变的威胁的重要性。根据我们在大型组织中的安全测试经验,我们发现,要获得有关组织面临的威胁所需的所有信息并不容易。这使我们处于劣势,因为我们可能无法模拟正确的攻击者行为,并且在我们的测试中会出现差距。我们还发现很难获得组织中所有安全控制的信息,这会影响我们如何测试以及如何判断发现的影响面。
为了解决这些问题,我们创建了一个紫队剧本(PTP)框架,该框架本质上是一个大型知识库,它利用现有数据来帮助组织威胁模型中的红队和蓝队。这使组织能够了解他们现在所处的位置,包括已经测试的内容以及他们拥有的防御措施,使他们能够确定他们需要在哪里加强他们的安全态势。
OWASP将威胁模型描述为“影响应用程序安全的所有信息的结构化表示。本质上,它是通过安全眼镜查看应用程序及其环境”。威胁建模的另一个定义是,它是一种“使用模型发现安全问题”的方法。使用模型意味着抽象出大量细节提供更大的图景,而不是代码本身。通过识别应用程序面临的威胁,我们可以更好地了解如何防御。如果不使用模型记录威胁,我们将面临影响组织的未知风险。
威胁建模在整个软件开发生命周期中都很重要,因为它“可以导致主动的架构决策,从而从一开始就减少威胁”,这将减少开发完成后修复安全问题的成本和时间。但是,这只适用于较新的系统开发;遗留系统的开发可能当时没有考虑到安全性,因此还需要在现有系统上使用威胁建模,以确保有办法降低风险。威胁在不断变化,因此需要在系统的整个生命周期中进行威胁建模。
威胁建模可能是一个非常主观的过程,因为不同类型的应用程序会有不同类型的威胁,同事,建模过程也取决于创建模型的用户的经验。例如,政府部门可能更关心来自其他国家政府的攻击。商业组织将更关心窃取知识产权的竞争对手或影响利润的犯罪分子。如果创建威胁模型的人被误导或缺乏经验,某些威胁可能未被记录在案。模型的使用应作为指南或工具来帮助组织识别威胁。研究威胁建模的另一个问题是很难像攻击者一样思考,如果我们这样做,它可能会对我们看待威胁的方式产生负面影响,并可能出错。
针对组织的威胁建模,有几种开源和商业的工具和模型。在第2章中,我们将探讨这些工具和模型,并展示如何使用它们来为组织引出威胁信息。
安全测试是指评估组织安全态势并尝试发现其安全弱点和漏洞的活动。涉及的活动包括安全代码审查、漏洞评估、渗透测试和红队测试。漏洞评估包括对范围内的资产进行扫描并提供漏扫报告,以确定它们是否缺少安全补丁或配置错误。
渗透测试(Pen Test)由测试人员进行,该测试人员尝试模拟攻击者的行为,“测试人员不仅发现攻击者可能使用的漏洞,还可以在可能的情况下利用漏洞,以评估攻击者在成功利用漏洞后可能获取什么”。组织出于各种原因进行安全测试,主要是因为需要遵守标准或审计要求,以证明其系统是安全的。标准的一些示例包括PCI合规性、ISO 27001、CBEST。
图 1: 渗透测试执行标准阶段
有几种方法和标准可用于指导如何进行渗透测试, 比如OSSTMM、ISSAF、PTES和 OWASP。作为渗透测试的一部分,每个安全公司或测试人员都有自己的方法,但通常与渗透测试执行标准(PTES)保持一致。该标准包括七个阶段,见图1。
第一阶段是预接触阶段,讨论需求并商定测试范围。下一阶段可以是情报收集阶段; 客户可以为范围内的系统提供文档,或者测试人员将对目标搜集开源情报以执行侦察。下一阶段通常是威胁建模阶段,该阶段侧重于范围内的目标资产以及涉及的攻击行为。通过这两条信息,测试人员可以对可能存在的潜在威胁进行建模,然后在渗透测试期间进行验证。攻击树模型可用于绘制攻击者行为图,并标明他们实现目标的不同方式。对攻击者行为建模后,可以建立基于场景的测试。这时组织可以规定他们希望测试人员模拟的特定场景,测试特定靶标或目标。
威胁建模之后的阶段是脆弱性分析。此阶段与漏洞评估相同,测试人员通常会运行自动扫描程序来查找漏洞或错误的配置。脆弱性分析之后是漏洞利用阶段。测试人员将利用上一阶段发现的漏洞来提供该漏洞影响的证据,并利用该漏洞获得尽可能多的访问权限。在此阶段,测试人员需要保持控制影响范围,如果被测系统存在被损害的风险,通常会要求测试人员不要进一步利用此漏洞。下一阶段是后渗透阶段,测试人员将了解失陷机器的价值,并在测试后清理失陷环境。测试的目标取决于客户定义的内容,例如,如果他们想查看HR数据库是否存在脆弱性,测试人员会将该系统标识为高优先级。最后一个阶段是报告,测试人员需要确保所有测试结果和漏洞证据在报告中,并且建议的补救措施需要足够清晰以便客户理解。
CVSS评分用于通过使用每个人都能理解的标准格式来传达问题的严重性。在渗透测试过程中,将会定义测试的类型以及测试人员事先可以掌握的信息,例如,在“白盒”测试中,测试人员将可以直接访问系统文档和获得相关访问凭证。“灰盒”测试中,测试人员将事先获得有限的信息,例如部分访问凭据和部分系统文档。在“黑盒”测试中,测试人员事先没有任何关于目标的信息,这种类型的测试最适合红队测试。
本文有四个主要目标:一是评估现有开源和商用的威胁建模工具和模型。第二是探讨安全测试过程中威胁建模的重要性。第三是设计紫队剧本框架,该框架可用于安全测试中的威胁模型。最终目标是创建概念验证场景,将框架应用于这些场景,并评估框架的有效性。
为了实现这些目标,我们将利用自己的经验以及相关的研究材料。由于威胁建模和安全测试都是很庞大的主题,我们将在本文中介绍的模型和工具中有所选择。
本文共七章。在第二章中,我们将探讨当前可用的威胁模型和工具,并研究各种安全测试主题和工具。在第三章中,我们将研究其他人如何尝试解决威胁建模和安全测试的问题。第四章讨论了本论文的主题,即设计一个可用于威胁建模和安全测试的紫队剧本框架。第五章将概念验证框架应用于一组模拟场景,以确定该框架适用于威胁建模和安全测试。第六章将讨论紫队剧本如何运作以及它是否解决了本文开头提及的挑战。最后一章总结了论文,并讨论了紫队剧本未来可以优化的部分。
因文章整体内容较长,后续完整内容将会在本公众号拆分为多篇内容分别发出。关注“安恒信息安全服务”,精彩内容不走丢~
— 往期回顾 —
原文始发于微信公众号(安恒信息安全服务):九维团队-紫队(优化)| 紫队剧本: 安全测试的威胁建模(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论