構(gòu)建進(jìn)攻性的網(wǎng)絡(luò)安全防護(hù)策略
進(jìn)攻性安全(Offensive security)是指一系列主動安全策略,這些策略與惡意行為者在現(xiàn)實世界的攻擊中使用的策略相同,區(qū)別在于其目的是加強而非損害網(wǎng)絡(luò)安全。常見的進(jìn)攻性安全方法包括紅隊、滲透測試和漏洞評估。
進(jìn)攻性安全行動通常由道德黑客實施,這些網(wǎng)絡(luò)安全專業(yè)人士會利用他們的黑客技能來發(fā)現(xiàn)和修復(fù)IT系統(tǒng)的漏洞。與真正的網(wǎng)絡(luò)犯罪分子侵入系統(tǒng)竊取敏感數(shù)據(jù)或注入惡意軟件不同,道德黑客是在獲得許可的情況下進(jìn)行模擬入侵。他們不會造成真正的破壞,而是利用模擬攻擊的發(fā)現(xiàn)來幫助組織提高防御能力。
進(jìn)攻性安全策略的價值
為了理解進(jìn)攻性安全的價值,我們可以將其和防御性安全(defensive security)進(jìn)行比較。防御性安全措施包括組織為保護(hù)自身免受攻擊所做的一切努力。部署安全解決方案、制定安全策略、培訓(xùn)員工識別網(wǎng)絡(luò)釣魚攻擊以及類似的工作都屬于防御范疇。傳統(tǒng)上,由于以下關(guān)鍵原因,大公司主要依賴防御性網(wǎng)絡(luò)安全策略:
? 防御有助于降低風(fēng)險,降低網(wǎng)絡(luò)攻擊的可能性,并最大限度地減少對數(shù)據(jù)和系統(tǒng)的潛在損害;
? 法規(guī)遵從性通常要求更注重防御措施,以保護(hù)敏感信息,并與行業(yè)特定的網(wǎng)絡(luò)安全法規(guī)保持一致;
? 保護(hù)組織的聲譽,因為網(wǎng)絡(luò)攻擊會損害信任,因此防御是重中之重。此外,與違規(guī)后補救相比,預(yù)防的成本效益證明了防御方法的合理性。
不過,雖然防御性安全策略可以幫助阻止正在進(jìn)行的網(wǎng)絡(luò)攻擊,但這些方法也會給安全團隊帶來沉重的工作量。分析師必須對海量的警報和數(shù)據(jù)進(jìn)行分類,將真正的威脅與虛假警報區(qū)分開來。此外,防御性安全措施只能防止已知的攻擊媒介,使組織暴露在新的和未知的網(wǎng)絡(luò)威脅之下。
進(jìn)攻性安全是防御性安全的補充,可以為組織提供一種測試其防御和識別需要解決的安全漏洞的方法。通過模擬真實世界的攻擊,進(jìn)攻性網(wǎng)絡(luò)安全測試可以識別對組織構(gòu)成最大風(fēng)險的漏洞,使公司能夠?qū)踩顿Y和精力集中在能夠提供最大投資回報的地方。
而且,進(jìn)攻性安全策略也比防御性安全策略更具前瞻性。安全團隊可以使用OffSec策略來發(fā)現(xiàn)和響應(yīng)其他安全措施可能遺漏的未知攻擊向量。進(jìn)攻性安全措施不是在網(wǎng)絡(luò)攻擊發(fā)生時才被動做出反應(yīng),而是在攻擊者利用漏洞之前主動發(fā)現(xiàn)并解決漏洞。
簡而言之,進(jìn)攻性安全策略可以使防御性安全策略更加有效。一個成熟的網(wǎng)絡(luò)安全計劃應(yīng)該包含進(jìn)攻性和防御性的網(wǎng)絡(luò)安全活動。這種組合既可以保護(hù)組織免受網(wǎng)絡(luò)威脅,又可以使用進(jìn)攻性網(wǎng)絡(luò)安全技術(shù)來完善和改進(jìn)這些防御手段。
進(jìn)攻性安全策略的類型
進(jìn)攻性安全策略所使用的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)與攻擊者使用的TTPs非常相似。通過使用這些TTPs,進(jìn)攻性安全專業(yè)人員可以發(fā)現(xiàn)并修復(fù)攻擊者可能使用的潛在漏洞。
當(dāng)前,企業(yè)可以采用的主要進(jìn)攻性安全策略包括:
1、漏洞掃描
漏洞掃描是用于檢測組織IT資產(chǎn)中的漏洞的自動化過程。漏洞掃描程序可以搜索與特定軟件版本相關(guān)的已知漏洞。它們還可以執(zhí)行更主動的測試,比如查看應(yīng)用程序如何響應(yīng)常見的SQL注入字符串或其他惡意輸入。
黑客經(jīng)常使用漏洞掃描來識別他們可以在攻擊期間利用的漏洞。反過來,OffSec專家也可以使用相同的漏洞掃描程序來發(fā)現(xiàn)潛在漏洞,并在黑客利用它們之前關(guān)閉這些漏洞。這種積極主動的方法使組織能夠領(lǐng)先于威脅并加強防御。
2、滲透測試
滲透測試是使用模擬網(wǎng)絡(luò)攻擊來發(fā)現(xiàn)計算機系統(tǒng)中的漏洞。從本質(zhì)上講,滲透測試人員通過模仿真正的黑客來搜索網(wǎng)絡(luò)漏洞。因為滲透測試人員采用攻擊者的視角,所以他們通??梢跃_地指出惡意行為者最有可能瞄準(zhǔn)的漏洞。
網(wǎng)絡(luò)安全專家的參與有助于檢測到安全工具可能錯過的漏洞,同時減少誤報的可能性。而且由于滲透測試通常是由第三方安全服務(wù)提供的,他們經(jīng)??梢园l(fā)現(xiàn)內(nèi)部安全團隊可能遺漏的漏洞。
3、紅隊演練
紅隊演練,也被稱為“對抗模擬”,是一組專家使用現(xiàn)實世界網(wǎng)絡(luò)罪犯的TTPs對計算機系統(tǒng)發(fā)動模擬攻擊的一種演習(xí)。
與滲透測試不同,網(wǎng)絡(luò)安全紅隊是一種對抗性的安全評估。紅隊會積極利用各種攻擊向量(不造成實際傷害),看看他們能夠?qū)崿F(xiàn)多大的破壞力。紅隊還要面對一支由安全工程師組成的藍(lán)隊,藍(lán)隊的目標(biāo)是阻止他們。這使組織有機會測試其實際操作的事件響應(yīng)過程。
為了測試技術(shù)防御和員工意識,紅隊的行動可能會使用一系列的戰(zhàn)術(shù)。紅隊常用的方法包括模擬勒索軟件攻擊、網(wǎng)絡(luò)釣魚和其他社會工程模擬等。
4、社會工程測試
許多網(wǎng)絡(luò)威脅行為者在攻擊中將針對人為因素,而不是試圖識別和利用軟件漏洞。社會工程測試的重點是評估組織的員工、承包商等對其數(shù)據(jù)和系統(tǒng)的保護(hù)程度。社會工程師將使用欺騙、操縱和類似的技術(shù)來欺騙或強迫目標(biāo)執(zhí)行一些對攻擊者有利的操作,例如交出敏感數(shù)據(jù)或授予對公司應(yīng)用程序或空間的訪問權(quán)。
進(jìn)攻性安全技能和工具
為了實現(xiàn)進(jìn)攻性安全策略,安全人員需要能夠熟練使用常見的進(jìn)攻性安全工具,包括:
? Metasploit:用于開發(fā)和自動化針對IT系統(tǒng)的攻擊的框架。它主要用于滲透測試和漏洞評估;
? Kali Linux:一款為滲透測試和數(shù)字取證設(shè)計的Linux操作系統(tǒng);
? Burp Suite:一個web應(yīng)用程序安全測試工具,可以掃描漏洞,攔截和修改web流量,并自動攻擊;
? Wireshark:網(wǎng)絡(luò)協(xié)議分析器,用于捕獲和檢測網(wǎng)絡(luò)流量,幫助識別網(wǎng)絡(luò)通信中的安全問題;
? lNmap:網(wǎng)絡(luò)掃描工具,用于網(wǎng)絡(luò)發(fā)現(xiàn)、端口掃描和服務(wù)識別;
? Aircrack-ng:一套用于測試Wi-Fi網(wǎng)絡(luò)安全性的工具,具有嗅探數(shù)據(jù)包,捕獲握手和破解密碼加密的能力;
? John the Ripper:一款流行的密碼破解工具,可對密碼哈希進(jìn)行暴力攻擊;
? Sqlmap:一個自動利用web應(yīng)用程序中的SQL注入漏洞的工具;
? Cobalt Strike:可以為紅隊和對手提供后滲透(post-exploitation)能力和網(wǎng)絡(luò)操作;
? GoPhish:一款為企業(yè)和滲透測試人員設(shè)計的開源網(wǎng)絡(luò)釣魚工具包;
? Phishing Frenzy:一個開源的Ruby on Rails應(yīng)用程序,滲透測試人員可以利用它來管理電子郵件活動;
? Nessus:一個應(yīng)用非常廣泛的漏洞掃描工具;
? OpenVAS:一款高效的開源漏洞掃描和管理軟件。
參考鏈接:
https://www.helpnetsecurity.com/2024/01/11/alexander-hagenah-offensive-cybersecurity-measures/。
https://www.bitdefender.com/blog/businessinsights/going-on-the-offense-a-primer-on-an-offensive-cybersecurity-strategy。
https://www.checkpoint.com/cyber-hub/cyber-security/what-is-offensive-cyber-security/。
https://www.ibm.com/topics/offensive-security。