在本章节中，作者提出了一种独特的安全评估模型——CAPTR。这一评估模型的主要思路就是分层思维，先圈定出组织中最为重要的资产然后从这些资产出发反向推理到外网，从而找到 APT 攻击的路径。

反红队（CAPTR teaming）是我在就读博士期间的研究和论文中提出、设计和评价的一种逆向红队方法。如前几章所述，红队在适当地模仿并适当地缓解高级持续威胁方面处于极大的劣势。当我们谈到红队演练时，模拟 APT 攻击尤其成为一种特殊的挑战，即使是最有天赋的进攻性安全专业人员也会面临这种挑战。另外，即使一个道德黑客和一个恶意黑客的技能处于一个公平的竞争环境中，现代的攻击性安全状态几乎在各个方面都倾向于实际的攻击者而不是模拟的攻击者。为了试图解决这个问题，我最终提出了一种进攻性的安全评估方法，尽管受到APT挑战的推动，但与传统的红队相比，这种方法在许多方面都是有益的。

在安全行业中，红队或渗透测试被广泛接受，甚至在组织的更大的安全机构中被有所期待。许多人甚至要求进行某种形式的攻击性安全活动，以验证和核实其他信息安全技术和活动。红蓝演练作为整个信息安全的必要机制，也很不幸的产生了副产品，许多人寻求红队或渗透测试，并需要对时间和资源的影响尽可能小;客户组织要求用很少的资源进行短时间的演练，以尝试满足任何要求攻击性安全实践的需求。

我的目标是通过对典型的红队流程进行完善来解决这些问题。真正聪明的攻击者不遵守任何规则，除了那些推动他们达成攻击目标的人。攻击者欺骗、利用漏洞并不惜一切代价破坏其目标。为什么道德黑客不应该欺骗正常程序来缓解APT呢？显然，在追求演练范围时，我们仍然必须遵循ROE，并且在此过程中不违反任何法律。然而，如果我们能够以一种有利于我们的方式来欺骗典型的演练过程，并且仍然提供攻击性安全评估的所有好处，那么欺骗当然值得考虑。如果组织打算在极短的评估窗口内节省时间和资源，我们应致力于为他们提供一种评估方法，以便在这种受限的评估环境中进行高效和有效的评估。这一需求促使我开发了一个红队流程，通过逆向和改变红队活动，在极度受限的评估中应对高级威胁。在这一章中，我将阐述 CAPTR，和我的创造这一思路的动机和灵感，并对比了它与红队的优势和一般劣势。

反红队（CAPTR）

最初，我的目标是为 APT 在特定组织中出现攻击可能导致的致命受损情况提供保护。致命的受损情况是指导致人类死亡或导致组织停止运转或无法按预期运行的攻击。我认为，保护这些目标不受APT攻击是一种值得组织自身不断强化评估过程的能力。致命的受损情况可能是失去对SCADA设备的控制，从而导致装配线工人的死亡、核电厂熔毁，或导致被攻击后出现数据丢失或泄露，从而造成不可估量的影响，以至于组织基本上走向死亡。在设计一个能够有效地解决此类攻击以缓解APT威胁的流程时，我提出了CAPTR（反红队）的概念。我还发现，尽管专门针对关键攻击的缓解进行了调整，但它在许多其他方面都是有益的，值得纳入总体进攻性安全实践。事实上，CAPTR 本质上是以极其高效和有效的方式对组织的一个子集进行优先评估，这意味着它有助于应对APT威胁，并有助于为不太可能成为APT目标但希望对目标资产进行重点评估的组织成功开展工作。这可能是一个新的应用程序、数据中心、业务部门、收购或其他需要快速有效的攻击性安全评估的特定范围。

攻击性安全评估人员应尽最大努力超越竞争对手。恶意攻击者和传统威胁模拟器都会花费大量时间和精力攻击整个组织，以搜索有价值的机器和数据。安全评估人员应利用许多技术和运营资源，确定并优先评估这些关键项。攻击性安全评估人员应该从相对较高的位置开始活动，并从高风险项开始评估，而不是在前往这些项目的路上浪费时间。正是本着这种精神，CAPTR 将作战优势从APT转移到检测和预防上。CAPTR 是一种攻击性安全评估模型，它实现了三种新的评估属性：

1、最坏情况风险分析，以确定范围

2、关键攻击初始化视角

3、使用反向跳板链进行漏洞分析和攻击

最坏情况风险分析和范围界定

CAPTR 与组织中的运营和安全人员合作，以确定评估的适当范围。CAPTR 范围是对关键项进行优先排序，这些关键项在受到攻击时会产生重大影响，而不管这种攻击的可能性如何。这种策略允许以高效和有效的方式将评估资源用于整个组织的最坏情况子集。成功识别高风险项需要目标组织职能和安全领域的利益相关者的共同参与。运营人员可能知道哪些对象一旦被攻击后可能会给组织带来毁灭性的破坏。但是，这些安全人员可能不知道网络中的设备和数据在多大程度上代表了高风险项，这对于确定尽可能完整的初始范围来说，IT基础设施和安全人员的知识同样重要。将CAPTR评估的初始范围限制在高风险对象上，允许评估人员将注意力集中在完全由重要资产组成的小型攻击面上，并防止浪费资源用于除最重要的攻击面以外的任何方面。在范围界定阶段，充分识别优先资产可以成功评估关键的受损项，从而通过缓解最坏情况下的威胁，改善总体安全态势。

关键初始化视角

初始化视角是攻击性安全评估开始扫描和枚举漏洞的起点。常见初始化视角的示例来自Internet（组织外部）或组织内的不同位置。初始化视角的位置会影响安全评估的许多属性，例如首先评估的攻击面类型、模拟的威胁类型以及已识别的漏洞等。

从基于互联网的威胁、受损的DMZ服务器，甚至是成功的网络钓鱼攻击内部用户机器的初始化角度出发，对一系列高风险项进行评估可能会阻碍评估的进展和成功。为了最有效地解决APT针对关键项可能利用的漏洞，必须做出让步，使这些威胁已经或将能够穿透组织的外围和后续防御层。确定影响较大的受损对象并创建范围后，CAPTR评估模型开始对优先风险项本身进行评估。这被称为“利用关键初始化视角”，允许CAPTR评估对高风险受损对象执行即时评估，而不是首先花时间预先确定它们的路径。

反向轴心链

反向轴心链是一个由两部分组成的过程，用于识别对最初确定范围的受损对象影响最大的发现。对每个范围内的受损项进行局部评估。然后，利用这些受损对象作为对宿主组织进行外部评估的关键初始化视角。这种外部评估是以一种非典型的、有针对性的、不引人注目的方式进行的，它确定了通信者的分层级别及其与初始范围的关系。这些关系最终代表了一个风险链网络，它从优先的高风险项向外传播。

反向轴心链描述了风险链接网络中的威胁关系，该网络将关键受损项置于中心位置。即使无法远程利用第一层或更多外部通信，通信链路仍会被识别为具有与其潜在风险相关的适当风险等级，从而使攻击者能够访问关键的受损对象。这些信息对于授权组织缓解和监控CAPTR 发现的威胁至关重要。这一风险链网络是进攻性和防御性安全团队之间以评估结果为基础开展合作以改善安全态势迈出的独特一步。

对比

当一个人仅仅依靠传统的红队评估来评估网络安全和减轻APT的影响时，有几个存在缺陷的原因。这些问题是不断演变的威胁形势的结果。评估期间暴露的漏洞列表可能在测试结束后的几天内过期。另一个原因是，典型的红队活动侧重于模拟攻击者，而不是内部威胁的所有方面。鉴于传统红队在这些和其他情况下与CAPTR的潜在优势形成鲜明对比的劣势，应在很大程度上巩固CAPTR方法在已规定实践中的地位。

零日漏洞

零日攻击是利用零日漏洞的代码。零日漏洞是软件制造商或安全供应商未知的漏洞。在演练过程中，红队扫描漏洞，并试图利用漏洞访问组织。这里的一个问题是，这个过程可能不会包含零日漏洞利用，因为它们尚未被披露或发现。可以保守地假设，在红队完成渗透测试后，有可能在几天后，一个武器化的漏洞作为对组织的新威胁就出现了。

还必须有一个假定的概念，即红队无法访问的网络部分可能存在无法评估的高危漏洞，因为评估人员在这些设备与无法访问的网络之间没有发现漏洞。在这种情况下，如果红队无法评估的设备易受新的零日攻击，那么攻击者可以使用这些高危漏洞产生前所未有的影响。这通常是红队的公认部分，未评估的部分可能也包含了漏洞。显然，零日漏洞转化为零日漏洞 Exp 的可能性表明防御中存在漏洞，无法进行分析。CAPTR 方法允许在一定程度上缓解新零日漏洞对评估有效性的影响。考虑图9-1，这里给出了一个简化的红队演练的例子：

在这个图中，红队攻击面向互联网的web应用程序服务器，然后在web应用程序管理器登录到服务器进行检查时，在捕获凭据并识别IP地址后，从那里转到web应用程序管理器的个人计算机。接下来，红队试图深入网络，发起致命的攻击，在本例中，这是一个控制生物危险废物分配的SCADA设备。不幸的是，Windows 2012网关位于红队的轴心点和致命受损目标之间，目前还没有已知的远程代码执行漏洞。在本例中，红队从未列举SCADA控制器以确定其是否易受常见远程代码执行漏洞（如MS08-067）的攻击。评估后不久，互联网上披露了MS17-010零日漏洞和漏洞 Exp，一名APT攻击者通过网络钓鱼入侵了网络中的另一个用户，并利用它访问Windows 2012网关。现在，APT攻击者可以轻松利用易受攻击的SCADA控制器，并最终利用SCADA设备本身进行攻击，因为该设备容易受到称为semtex的权限提升漏洞的攻击，这使得隐形攻击者能够造成巨大的灾难。

全系列文章请查看：https://www.4hou.com/member/dwVJ

本文由作者“丝绸之路”整理发布，如若转载，请注明原文地址