動態專區

首頁 > 動態專區 > 正文

九維團隊-紫隊（優化）| 紫隊劇本: 安全測試的威脅建模（八）

閱讀量：次 文章來源：安恒信息安全服務

寫在前邊

1. 本文原文為Felisha Mouchous于2020年發表的《Purple Team Playbook: Threat Modeling for Security Testing》，本文為譯者對相關內容的翻譯及實踐記錄，僅供各位學術交流使用。另出于易讀性考慮，對部分字句有所刪改。

2. 如各位需要引用，請做原文應用，格式如下所示：
[序號]Felisha Mouchous,‘Purple Team Playbook: Threat Modeling for Security Testing’, 2020.

3.因文章整體內容較長，完整內容將會在本公眾號拆分為多篇內容分別發出。本文為該系列的第八篇。

往期內容請參見合集紫隊劇本: 安全測試的威脅建模

六、紫隊劇本討論

在本節中，我們將討論紫隊劇本框架應用于安全測試場景時如何處理威脅建模中的問題，此外，我們還將討論PTP框架和其他應用程序的局限性。

6.1 紫隊劇本框架討論

在對本文進行背景研究的同時，我們發現紅隊和藍隊缺乏可在其組織內部使用的威脅建?？蚣?。紫隊劇本通過提供一個框架來解決這一問題，該框架可用于為組織提供相關的攻擊和防御數據。

PTP現在仍處于原型階段，我們已經創建了框架的數據可視化部分，并模擬了框架所需的數據饋送和數據模型。PTP正在解決一個復雜的問題，即組織擁有許多安全工具，但無法訪問集中知識庫中的所有數據，因此可能無法完全了解需要測試的內容。

在一個組織中，使用這個框架需要一些時間和內部資源才能找到合適的數據源并將其輸入紫隊數據集。同時，自動化數據饋送會使數據維護成本減少。然后，相關團隊可以訪問這些數據，他們可以使用數據可視化工具以任何方式查看數據。PTP的主要目的是提供一個框架，供內部紅藍隊使用，以確定需要測試的內容。

威脅建模的一個主要挑戰是，模型很難維護，且取決于建模用戶的能力。PTP框架不能取代專業的紅隊或藍隊測試人員的經驗；然而，它可以提供一個集中的知識庫，其中包含可用于安全測試建模的可靠數據。

我們承認，有一些工具具有類似的功能，但成本高昂，因為大多是商業工具。PTP可以被組織用作了解其安全數據的基礎。如果一個組織決定購買安全測試或自動化工具，那么他們可以根據PTP做出更明智的決定。較小的組織可能無法證明商業工具成本的合理性，因此PTP為他們提供了參考。

安全測試的一個挑戰是，在一個組織中，紅隊和藍隊之間存在脫節。PTP允許紅隊和藍隊訪問彼此的數據，以便了解已測試的內容和需要測試的內容。這鼓勵了創新，因為紅隊將知道攻擊無法成功的原因，因此他們將研究和嘗試新的攻擊手段。這也有助于藍隊制定新的防御措施，如SIEM用例，這些用例將根據攻擊者可能嘗試的技術來識別行為。

PTP還允許用戶俯瞰整個組織，以便他們判斷漏洞的影響及其對資產的影響。例如，在一次測試中發現了一個web漏洞，我們可以使用PTP來了解組織的其他web應用程序以及它們是否受到影響。

PTP解決了STRIDE模型的一些問題，在該模型中，它被認為缺乏粒度，并且沒有提供威脅緩解措施。PTP使用已建立的攻擊庫（如Mitre ATT&CK框架）提供所需的粒度級別，還提供緩解措施和跟蹤數據，以了解組織是否已解決問題。

PTP應用程序查看器解決了攻擊樹面臨的挑戰，即攻擊樹可能變得無法管理。通過PTP中殺傷鏈或Mitre框架中映射的數據，用戶可以清楚地了解已測試的內容以及組織中存在的風險。用戶還可以使用PTP作為威脅建模工具（如Seaponge）的數據源。

根據PTES，滲透測試威脅建模沒有推薦使用的現成的模型，因此PTP中的數據可以與其他模型互換使用。例如，它可以用于填充鉆石模型的數據，通過在PTP中提供高質量的數據，分析師可以將這些數據使用于其他模型，可確保他們正在正確地識別威脅。

6.2 POC討論

在前文中，我們研究了兩種安全測試場景，并在測試的威脅建模階段使用PTP框架。出于這些場景的目的，我們只查看了測試的威脅建模階段，并使用數據可視化工具“Tableau”查看PTP數據。

在第一個測試場景中，我們進行了一個web應用程序的傳統滲透測試，在這樣的常規測試中，測試人員將使用他們自己儲備的測試知識以及從相關業務人員處獲得的數據。根據我們自己的經驗，測試所需的相關數據將來源于不同的地方，例如之前的測試結果、資產數據和威脅數據。

此外，在傳統的滲透測試中，藍隊通常不會參與，因此我們不知道應用程序的所有安全控制措施。PTP允許測試人員在集中知識庫找到測試所需的所有相關數據，他們還可以查看藍隊數據，這增加了測試的價值。因為這是一個正常的滲透測試，所以目標更多的是確保應用程序是安全的，因此測試范圍僅限于應用程序和支撐基礎設施。

總的來說，我們認為PTP可以幫助傳統的滲透測試，因為它為所有用戶提供了一個集中的數據源，這應該確保每個用戶在PTP中定義威脅時以一致的方式建模。

在第二個場景紫隊測試中，我們遵循紫隊測試流程。作為測試的一部分，紅隊和藍隊可以會面查看PTP，以了解哪些已經測試，哪些需要測試。在這個場景中，我們專門研究了APT用于進入金融機構的魚叉釣魚技術。

PTP提供了已經測試的數據以及已經有藍隊防御控制的相關數據，這定義了本次所需要的測試內容。我們發現，PTP還可以讓我們了解用戶點擊網絡釣魚鏈接的內部威脅，因為我們可以存儲網絡釣魚模擬數據。這為測試增加了價值，因為我們可以發現哪些技術有效，以及深刻了解如果有大量用戶點擊釣魚電子郵件對組織的風險。我們在模擬測試時發現，關聯內部數據可以讓我們預測攻擊者未來的行為。這些小型測試場景旨在展示PTP如何為普通滲透測試以及紫隊測試增加價值。

在本文的威脅建模簡介中，我們談到了在威脅建模時讓用戶像攻擊者一樣思考的困難。PTP 可以通過測試攻擊者技術來幫助紅隊和藍隊測試人員獲得相關經驗，隨著時間的推移，他們將開始注意到行為模式。這應該有助于鼓勵組織中的創新，因為測試人員可能會想到其他方法來攻擊。這對組織有利，因為他們可以幫助在內部培訓他們的測試人員，這樣他們就不那么依賴第三方測試人員，并且組織會更好地檢測到攻擊行為。

6.3 限制

為了使 PTP 正常工作，需要有一種方法可靠地從現有系統中獲取數據并確保數據格式正確。這會產生數據不兼容的問題。大型組織有許多數據源，因此可能無法從我們需要的每個來源或幾乎所有來源獲取數據。在這種情況下，需要做出決定，優先考慮某些數據源的重要性以及它將如何幫助PTP整體。

此外，某些系統可能會出現安全問題，因為需要適當識別和管理訪問權限，因此需要關注誰可以訪問 PTP 數據。用戶訪問藍隊數據也可能存在問題，組織希望將這些安全控制的知識僅限藍隊掌握，因為組織擔心“內部”攻擊者。為了使框架發揮作用，應該培養紅隊和藍隊之間的良好關系，以便他們之間建立信任。

此外，組織需要在執行層面參與框架建立，以確保有資金和時間來建立框架。有經驗的人員還需要監督框架的設置，以確保獲得正確的數據并將其轉換為數據庫，并且有足夠的訪問控制機制。

鑒于我們只測試了PTP的概念驗證版本，這并不能真實地說明該框架將如何在真正的組織中實施。我們在POC中使用了有限數量的模擬數據，PTP還需要在真實組織中作為POC進行測試，以了解框架的限制在哪里，以及是否需要對框架進行更改。

當然，每個組織的工作方式都不同，因此PTP可以作為一個指南，以實現紫隊威脅建模的目標。就PTP的有效性而言，我們承認劇本中可能有太多的信息，這可能會讓用戶信息過載。在使用攻擊庫時也是如此，因此有必要仔細使用劇本中需要的數據建模。

我們發現有許多論文涉及威脅建模和自動化安全測試，PTP可以從自動化的紫隊活動的安全測試部分中受益。例如，一個組織可以購買一個自動化工具，使其能夠進行紫隊測試，并將PTP用作定義測試的數據源。

6.4 其他應用程序

PTP可以用于其他目的，而不僅僅是安全測試。它可以用于教育目的，例如紅隊和藍隊培訓。開放式攻防平臺為模擬網絡攻防實戰提供了一個開源平臺。PTP可以為該平臺提供數據，以便在該平臺中模擬藍隊的用戶可以獲得有關環境當前狀態的一些信息。

從本質上講，這將是一個劇本，他們可以在模擬攻防實戰時使用、參考來重新強化自己的學習。它還可以用于培訓新員工，因為當他們查看PTP，可以很好地了解組織面臨的威脅和攻擊者技術的信息。

PTP中的數據也可用于識別風險領域，例如，它可以顯示員工的各種屬性。這可用于識別高風險員工，例如，如果他們具有訪問關鍵系統的高權限，則需要特別注意他們的密碼合規性，或者查看他們是否接受了最新的安全培訓。如果組織希望將某些安全流程自動化，也可以使用它來幫助組織。我們研究了一些安全測試工具，例如，PTP數據可以被輸入到“Vectr”工具或“Caldera”工具中，用以自動化測試。

七、結論和未來的工作

在本節中，我們將評估如何實現本文一開始設定的目標，我們還將研究未來工作。

7.1 結論

在本文中，我們開始探索當前的威脅建模方法和工具，以及威脅建模和安全測試之間的關系。我們發現，沒有推薦的安全測試模型，完全取決于組織使用哪個模型來確定其威脅。在我們的研究過程中，我們還發現在紫隊和威脅建模領域沒有很多學術研究。這是一個組織中的紅隊和藍隊合作測試其系統的方法。

因此，我們著手設計一個紫隊劇本框架，該框架利用組織現有數據進行安全測試。由于組織可以使用任何模型和工具進行威脅建模，因此我們必須建立一個包含有效建模所需所有數據的框架。此外，通過利用現有數據，從長遠來看，這可以提高成本效益。

在本文中，我們還研究了PTP在傳統滲透測試和紫隊測試中的幫助。我們發現，通過擁有這個集中的知識庫，我們能夠很容易地發現測試中的差距，并了解我們的防御措施目前的程度。我們還可以以更有效的方式將數據與其他數據源關聯起來，例如通過使用員工網絡釣魚培訓記錄來了解網絡釣魚攻擊風險的影響。PTP需要在一個真實的組織中作為POC進行測試，以便我們充分了解它將帶來的好處，以及是否需要進行優化。

我們已經實現了我們在本文開始時的目標，即讓組織中的紅隊和藍隊一起工作。正如我們在介紹中所討論的，我們面臨的威脅在不斷演變，組織很難跟上攻擊者的所有技術和戰術。

通過允許兩個團隊共享數據，我們相信這也鼓勵了創新，因為員工將能夠找到新的方法來嘗試和規避防御，并提出新的防御能力。這只會使組織受益，因為他們需要員工像攻擊者一樣積極主動，以便保護組織免受攻擊者的侵害。我們還介紹了組織可以用來了解其威脅的威脅模型和工具。我們的 PTP 框架補充了這些工具和模型，并為用戶提供數據，以便進行威脅建模。

7.2 未來的工作

我們打算在實際組織中實施PTP，以提高安全測試能力。通過使用 PTP 框架設計，目標是確定我們需要的適當數據，并將 PTP 用作正常測試過程的一部分。這將有助于我們在組織中建立內部紫隊能力，并將幫助我們提高進攻和防御能力。如本文所述，我們可以使用 PTP 作為理解安全數據的基礎。

在本文中，我們創建了PTP查看器，為用戶提供一個易于使用的應用程序，他們可以使用它來代替數據可視化工具。還可以將本文中討論的威脅建模工具應用于我們的安全測試計劃。PTP 的應用程序視圖將通過在殺傷鏈視圖中顯示數據來幫助我們將測試結果傳達給技術水平較低的用戶。我們希望將PTP 框架和查看器應用程序用于教育目的，例如培訓新員工，以及幫助現有員工建立有關攻擊者技術的相關知識。

（完）