编者按: 以下是Cerberus Sentinel赞助的一篇博文:
又到了渗透测试的时候了. 是时候从供应商那里获得最新的报价,并在合规截止日期之前把一些东西列入计划, 但今年的结果会与去年有所不同吗? 年复一年, 渗透测试人员会发现您遗漏的东西,从而使他们能够完全控制您的网络. 你根据他们的发现进行补救,冲洗并重复. 但为什么他们总是能成功地找到通往你的关系网的途径呢, 即使在你补救之后?
作为一个有道德的黑客,我喜欢渗透测试. 好吧,这并不完全正确. 我喜欢黑客的部分. 写报告并不是每个人都迫不及待想去做的愉快的周末活动,但我离题了. 在我多年的全职渗透测试中, 我从不厌倦在人们的人际网络中寻找机会,从中挑选系统和应用程序,最终让我控制他们的整个IT运营. 感觉就像置身于数字版的《澳门赌场官方软件》(Mission Impossible)电影中, 但它也导致了与负责国防的it人员的一些奇怪的互动, 或者是“蓝队”.”
让我解释一下. 我不止一次地遇到那些认为自己刀枪不入的辩护者. 他们的网络是众所周知的诺克斯堡. 这总是让我深感困惑. 他们知道我知道的吗? 他们知道我可以下载并完全在内存中执行漏洞利用代码吗? 他们知道Windows在内存中存储了他们随机生成的20个字符的明文密码,我可以直接从那里读取它,而无需拦截或破解它吗? (注:这两个具体问题近年来大多得到了缓解).
回想起来, 我意识到有另一种方法可以为客户提供更大的价值,并将我们放在同一个团队中. 毕竟, 我们的最终目标都是帮助他们加强防御,因为我一直很关心他们的安全状况,想要支持他们.
在攻击者利用之前,向组织展示真实世界的风险确实是一种感觉良好的体验. 给他们具体的行动来提高他们的防御能力是一种支持, 但即使是我试图做到的全面, 我只是给他们提供了一些步骤,以防止我可以利用许多途径来破坏他们的网络. 我是在教他们如何停止,而不是如何停止 me. 通常来说, 如果你不能发现并阻止渗透测试人员, 你不可能阻止真正的网络攻击.
那么,道德黑客如何才能给你带来更多价值,真正发挥作用呢?
紫色团队:让黑客为你工作
紫队的训练改变了整个方程式. 与“红队”不同,“红队”的进攻是孤立的,以最大限度地减少发现和反应,而“紫队”的训练侧重于有目的地与你的防守者合作, 蓝队. 职业道德黑客与您的团队一起工作, 通过使用像MITRE ATT这样的扩展工具,带您了解整个过程&CK框架,以验证您的检测和响应能力. 这些经验丰富的专家还会介绍现实世界网络犯罪分子使用的非常规攻击途径,并帮助您实时设计和实施防御策略.
紫色团队与桌面练习有何不同?
桌面演习对于概念化整体风险和形成投资网络安全防御领域的计划非常有用, 但是有一个桌面, 你正在制定网络安全“战斗”将如何进行的战略. 问题是攻击者很少针对你的优势. 相反,他们会寻找任何可以利用的弱点. 迈克·泰森关于比赛计划的名言在这里再合适不过了——“每个人都有一个计划”,直到他们被打在嘴里.“紫色团队不同于桌面练习,因为它允许红队进行测试, 当你在主动行动中调整防御计划以应对现实世界的网络攻击时. 换句话说,攻击者和防御者在一起进行友好的对打.
想象一下,当一个勒索软件操作员和你坐在一起工作并解释他们的行为时. “我希望你在三次猜错密码后锁定账户, 所以我要试试“Spring2022”!,每一个用户账户都会收到. 我们来谈谈如何检测它.(旁注,这会通过您的密码策略吗? 因为这是我第一次尝试.) Or, “我注意到你正在运行X反恶意软件,我知道我可以绕过这个编码, 那我们的下一层防御是什么呢?“红队和紫队之间的重要区别在于,目标不是识别和修复单个攻击途径, 但是要能够检测并关闭攻击者 运营.
好处:有意义的防守改进
通过在一个紫色的团队中携手合作, 红队和蓝队在一起比单独工作的任何一个团队都能完成更多的任务. 通过学习攻击者的技术,而不是他们的结果, 防御者可以通过有意义的预防和检测控制和流程来限制网络罪犯在其环境中操作的能力,从而确定更好的策略来挫败实际的网络攻击. 紫色团队可以对任何组织的网络安全弹性产生直接影响,但在持续的基础上具有巨大的价值, 也.
网络犯罪分子不断修改和发展他们的攻击. 为了保持安全, 防御者需要及时了解新的威胁,并不断更新他们的防御策略和工具来对抗它们, 而紫色团队是确保这一点的完美方式. 紫色团队的执行成本可能更高,或者资源更密集, 但这是任何组织都可以做的最有价值的网络安全投资之一.
