CISA沉默之盾SILENTSHIELD攻防演练总结

2023 年初，网络安全和基础设施安全局 (CISA) 对联邦民事行政部门 (FCEB) 组织进行了 SILENTSHIELD 红队评估。在 SILENTSHIELD 评估期间，红队首先对国家网络行动进行无通知的长期模拟。该团队模仿复杂威胁行为者的技术、技巧和行为，并测量行为者在网络上的潜在停留时间，从而对组织的安全态势进行现实评估。然后，该团队直接与组织的网络防御者、系统管理员和其他技术人员合作，以解决评估期间发现的优势和劣势。该团队的目标是协助组织改进其检测、响应和搜寻能力——尤其是搜寻未知威胁。

CISA 与被评估组织协调发布了此网络安全咨询 (CSA)，详细介绍了红队的活动和策略、技术和程序 (TTP)；相关的网络防御活动；以及经验教训，为网络防御者提供改善其组织检测能力和网络态势的建议。

在第一阶段，SILENTSHIELD 团队利用受害者 Solaris 区域中未打补丁的 Web 服务器中的已知漏洞获得了初始访问权限。尽管该团队完全攻破了该区域，但由于缺少凭据，他们无法进入网络的 Windows 部分。在并行攻击中，该团队通过网络钓鱼获得了对 Windows 网络的访问权限。然后，他们发现了不安全的管理员凭据，使他们可以在整个 Windows 环境中自由切换，从而导致整个域被攻破并访问零层资产。然后，该团队发现该组织与多个外部合作伙伴组织有信任关系，并且能够利用该漏洞并转向外部组织。在整个第一阶段，红队一直未被网络防御者发现。

红队的发现强调了纵深防御和使用多样化保护层的重要性。 该组织只有通过对所有数据源进行全面诊断，才能充分了解红队的入侵程度。这涉及分析基于主机的日志、内部网络日志、外部（出口）网络日志和身份验证日志。

红队的调查结果还证明了使用与工具无关且基于行为的入侵指标 (IOC) 以及对网络行为和系统应用“允许列表”方法（而不是“拒绝列表”方法）的价值，因为“拒绝列表”方法主要会导致难以管理的噪音。红队的调查结果为网络防御者提供了以下关于如何降低和应对风险的经验教训：

• 经验教训： 被评估的组织没有足够的控制措施来防止和检测恶意活动。

• 经验教训：该组织未能有效或高效地收集、保留和分析日志。

• 经验教训：官僚程序和分散的团队阻碍了组织的网络防御者。

• 经验教训： “已知不良”检测方法阻碍了替代 TTP 的检测。

为了降低类似恶意网络活动的风险，CISA 鼓励组织应用本公告缓解措施部分中的建议，包括以下所列的建议：

• 通过使用多层安全措施应用纵深防御原则，确保全面分析和检测可能的入侵。

• 使用强大的网络分段来阻止网络的横向移动。

• 建立网络流量、应用程序执行和帐户身份验证的基线。使用这些基线来强制执行“允许列表”理念，而不是拒绝已知的不良 IOC。确保监控和检测工具和程序主要基于行为，而不是以 IOC 为中心。

CISA 认识到不安全的软件是导致这些已发现问题的原因之一，并敦促软件制造商采用 安全设计原则并实施本 CSA 缓解措施部分中的建议（包括下列建议），以加强客户网络抵御恶意活动的威胁并降低域名被入侵的可能性：

• 消除默认密码。

• 免费提供日志记录。

• 与安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应 (SOAR) 提供商（与客户一起）合作，了解响应团队如何使用日志来调查事件。

美国网络安全和基础设施安全局 (CISA) 进行了一次关键的红队演习，称为 SILENTSHIELD，以评估联邦民事行政部门 (FCEB) 组织的网络安全准备情况。这次演习模拟了类似于民族国家对手策划的复杂网络攻击，旨在识别漏洞并评估组织内的防御能力。

CISA 红队采用的策略与高级威胁行为者类似，首先利用了组织 Solaris 区域内未打补丁的 Web 服务器中的已知漏洞。这一初始漏洞促成了未经授权的访问、特权升级和网络横向移动。

他们演示了如何利用泄露的凭证和弱密码深入渗透到敏感的网络区域，凸显了访问控制和凭证管理方面的缺陷。

深入了解 CISA 红队 SILENTSHIELD

据CISA称，红队 (SILENTSHIELD) 利用 SSH 隧道和远程访问工具，浏览了该组织的基础设施，访问了高价值资产，并通过 cron 作业和类似机制建立了持久性。这表明该组织在检测和缓解网络对手采用的未经授权的横向移动和持久性策略方面存在漏洞。

红队还利用网络钓鱼媒介入侵 Windows 域，暴露了域管理和密码安全方面的漏洞。这种入侵使他们能够访问敏感数据并入侵域控制器，凸显了与信任关系相关的风险以及强大的域管理实践的重要性。

此次演习凸显了该组织面临的系统性网络安全挑战。已知漏洞的修补延迟暴露了关键系统，这凸显了主动补丁管理协议的必要性。密码策略不完善和身份验证机制薄弱导致未经授权的访问和权限提升。此外，日志记录和监控能力不足使红队得以不被发现地行动，危及该组织的整个网络基础设施。

使用红队 SILENTSHIELD 缓解网络威胁

针对这些报告，CISA 提出了有针对性的改进措施，以加强组织的网络安全态势。他们建议实施多层安全控制，以降低风险并检测各个阶段的入侵。加强网络分段以限制跨网络的横向移动并增强访问控制被认为是至关重要的。 

还建议强调基于行为的指标而不是传统方法来增强威胁检测能力，同时实施强密码策略，消除默认密码，并实施多因素身份验证 (MFA) 来加强凭证安全。

在整个演习过程中，CISA 与组织的技术团队和领导层密切合作。他们提供了实时反馈和可操作的见解，以便及时解决漏洞，在组织内培养了积极主动的网络安全文化。这种协作方法旨在弥合进攻性和防御性网络安全行动之间的差距，确保全面防范复杂的网络威胁。

CISA 的 SILENTSHIELD 红队演习强调了强大的网络安全实践对于保护敏感政府网络至关重要。通过解决补丁管理、凭证卫生和检测功能中的漏洞，组织可以增强其对在线威胁的抵御能力。

报告下载地址：https://www.cisa.gov/sites/default/files/2024-07/csa-cisa-red-team%27s-operations-against-a-fceb-organization-highlights-the-necessity-of-defense-in-depth_0.pdf

原文始发于微信公众号（独眼情报）：CISA“沉默之盾”SILENTSHIELD攻防演练总结