提升事件響應準備度的3種新興技術
網絡風險是頂級業務風險的認知已深入人心,高管們都在詢問自己的安全主管能做點什么來更好地應對和緩解網絡風險。事件發生時再翻出事件響應計劃的做法,遠遠滿足不了當下快速發展的網絡威脅態勢。公司企業不僅需要堅強的事件響應能力,還需要有足夠的事件準備度。為磨煉技術水平,安全團隊運用各種訓練來更好地預測威脅和操練響應能力。其中一種就是紫隊。
最近兩年,紅隊找漏洞發起模擬攻擊,藍隊檢測并響應攻擊的傳統網絡安全演練逐漸進化,形成了紫隊演練模式。雖然紅/藍隊模式能幫公司企業了解漏洞預防攻擊,但往往需要數周甚至幾個月時間才能完成攻防對抗并總結經驗教訓。
與傳統紅/藍對抗的戰爭擴展游戲不同,紫隊模式是協作而迭代的。通過更透明而持續的過程,紫隊模式將紅藍兩隊擰到一起,幫助防御者更高效地緩解來自現實世界高度復雜的攻擊。攻方通告守方預定的攻擊計劃,執行攻擊,闡明所利用的安全漏洞,然后重放攻擊,以便守方能立即精煉其響應。
紫隊模式旨在讓公司企業可以在整個演練過程中持續提升安全態勢,獲得即時效益和長期價值。但參與者往往還是重度依賴手動方式執行攻防演練。在時間和預算資源都很緊張的情況下,手動方式演練的收獲就很有限了。如果能用某些技術增加這些演練的頻率和深度,演練的價值應該會大上很多。以下3種創新技術就能自動化并精調紫隊演練活動。
1. 基礎設施分析平臺
很多公司企業都做不到完全了解自己的環境——網絡、數據中心、云,而這一資產掌握上的缺失給了攻擊者作惡的有利條件。紫隊演練的第一步,就是了解公司的基礎設施,或者說攻擊界面。如果有個能提供非常詳細明了的攻擊界面視圖的分析平臺,公司企業就能更快更清晰地掌握自身面對的風險。通過自動化偵察和攻擊映射,基礎設施分析平臺能幫公司企業快速定位關鍵資產,并給出相關威脅模型。比如說,一份包含了系統版本和補丁情況的網絡資產清單,能供你將之與公共威脅及漏洞數據庫相關聯,快速生成網絡潛在漏洞的列表。紅隊能用此信息設計出更成熟更復雜的攻擊場景,藍隊也能用此信息更快地解決安全漏洞。
2. 應用性能管理
應用性能管理(APM)工具數年前便已出現,但早期迭代產品十分笨重且缺乏細節。更為現代的APM工具能提供可用于分析代碼安全的大量信息。只要掌握了應用程序使用的對象和方法、數據流以及數據處理的位置,就可以了解攻擊者可能利用的弱點。這一由內而外的應用分析方法遠比手動的由外而內的方法高效,能大幅加速安全分析活動。比如說,攻擊者查找Web應用漏洞時,他們會找尋那些本不該出現的網頁——測試網頁、失效網頁或被棄用的網頁。這些網頁不在公司視線之內,早已被安全人員遺忘,正是攻擊者找尋的脆弱點。APM工具可以自動執行偵察動作,向紅隊威脅建模過程揭示并添加此類細節,并為藍隊安全分析師提供強化防御所需的洞見。
3. 安全編配平臺
通過自動化大量紅隊動作,該新技術可擔起模擬網絡攻擊的重擔,檢測公司的安全事件準備度。安全編配平臺可以在網絡不通組件上應用設備及代理,輔助展現公司特定環境中的威脅及惡意活動的影響。紅隊可以之快速組織行動,比如模擬特定類型的勒索軟件攻擊或新聞中最新的拒絕服務攻擊。藍隊則可檢測自己的防御層是否正常工作,發現真正的網絡安全漏洞,確定如何更好地利用手中的資源,以及安排投入重點。
紫隊方法對事件準備度和事件響應大有裨益。為進一步發揮紫隊方法的效果,我們需要集合恰當的人員、過程和技術,驅動前向思維和安全分析技術。以上新興技術還只是少數幾種可用于獲取必要的可見性和自動化水平的技術,可幫助公司企業更加夯實事件準備度及事件響應工作。還有其他創新技術可以用于增強紫隊過程。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
