洞见RSA2022 | 基于ATT&CK的自动化渗透及合规性评估体系

RSA大会以“Transform(转型)”为主题,充分体现了近年来,随着科技、文化等领域的不断发展,新兴科技手段不断涌现,推动着企业加速向“数智融合“转型,给人们的生活也带来了翻天覆地的变化。同时,受疫情、国际经济,以及复杂局势在内的多方面因素影响,关键领域或企业在快速转型中,网络安全问题越来越突出。

在2022年RSA大会上,关于渗透测试框架、红队战术及新型攻击方法等都有很多讨论,从各方讨论中可以看出,面对当前严峻的网络安全形势,以及蓬勃发展的高新技术,黑客组织无论是在攻击手段还是在攻击战略都有很大的转变。处于防守侧的关键领域或企业,大多采用常规的静态防御方式,通过购买安全设备,招聘网络安全人才,制定相应安全规范等措施来达到有效防御的目的,但由于新的漏洞不断出现,攻击战术持续升级,设备、规范、人能否及时随之升级以高效应对新型网络攻击,同时看似完美的防御体系又是否会真的有效,依然是一个很大的问号。2022RSA大会上,介绍了一种新型钓鱼攻击方法,一种基于威胁的合规性评估方法,以及诸如Atomic-Red-Team、Pentesting的自动化渗透测试框架。

New Phishing Attacks

RSA中分享了一种由于滥用OAUTH认证而产生的新型钓鱼手法,这种手法可完美绕过了域名或URL过滤的防御策略及多因子认证,而且可实现大范围的内网漫游,同时在目标系统中被记录的日志信息极少,访问请求很难阻断。

以微软office365和Azure示例,用户通过OAUTH方式登录Azure系统。攻击者伪造的登录页面嵌入了office365的OAUTH登录页面,被攻击者进行了office365登录授权,此时攻击者得到了Azure API的访问凭证,对Azure进行访问,钓鱼攻击成功。

在整个攻击过程中,服务商具备防火墙及MAF策略,攻击者成功绕过了所有的防御措施。

基于威胁的合规性评估方法

RSA分享中还介绍一种基于威胁的合规性评估方法。其中威胁模型是基于ATT&CK模型,ATT&CK模型最新版本V11已于今年4月发布,本次发布的版本中一如既往的更新了企业、移动和ICS的技术、组和软件。在ATT&CK for Enterprise中共包含了14中战术、191种技术、386种子技术、134个组织以及680种软件。

构建合规性评估之前,首先基于ATT&CK模型体系,将NIST 800-53与其进行能力映射,形成防御体系映射能力图。

再从面对可能的威胁角度,将可能的攻击工具,攻击链路进行ATT&CK映射,通过指标评估体系,最终形成基于威胁的合规性评估报告。

绿盟科技建议

对于一个企业或组织的安全防御体系构建,绝不仅仅是购买几款安全产品,招聘一些安全人才就可以的,安全已经贯穿与企业运营的各个环节,甚至需要全员参与。企业在安全建设的合规性上加大了投入,是否能够达到有效防御的目标需要检验。俗话说“是骡子是马,拉出来溜溜”,一些关键领域和组织对渗透测试,红蓝对抗的需求如雨后春笋般增长。因此设计了一种“基于ATT&CK的自动化渗透及合规性评估体系”。

  • 规范标准体系融合国际、国家、行业、组织等各种规范要求,分别于ATT&CK进行映射对应,进行标准化管理。
  • 自动化渗透体系基于ATT&CK矩阵模型,集成涵盖武器库、渗透引擎、武器编排、攻击路径智能分析、暴露面绘制等多种引擎能力,可能形成特定规范的红队检测能力矩阵。
  • 指标评估体系对规范要求,以及渗透测试过程、结果等维度指标进行分析,形成最终的多维度合规性报告。

结合自动化安全合规评估体系,设计了一款可以落地应用的系统软件-基于ATT&CK的自动化渗透及合规性评估系统,其主要功能模块如下:

目标空间构建主要应用在目标侦察阶段,引擎接收种子数据,通过社工引擎、情报收集等能力收集目标的包括人员、产品、运营等多维度全方位的信息构建及关联,形成知识存入知识库。

攻击路径编排引擎及AI智能决策引擎能结合情报和知识库信息,对目标进行弱点分析,自动决策最优的攻击路径,在武器研制阶段,协助武器生产产出最优武器。在载荷投递阶段,可协助选择最优的投递方式。社工引擎可将载荷有效投递。

自动化渗透引擎则在渗透利用阶段发挥关键作用,利用目标漏洞获取更好的权限。并进行控制程序的安装实施。

目标控制引擎则将和目标后门程序建立链接进行命令传递等,控制目标系统。

指标评估则收集自动化渗透过程中的各个环节指标,结合知识库内容,对目标进行最终的合规性研判。

与传统的合规性检查相比,前者主要关注目标组织或企业是否具备相应的安全设备、管理规范等等,而自动化渗透及合规性评估则更注重企业或组织是否具备风险防御的综合能力,在当前安全人才紧缺的时代背景下,自动化渗透及合规性评估不仅能够在组织缺少专业红队人才情况下,实时检测自身安全有效性。同时可加强企业人员的安全意识培养,让企业具备更强更专业的防御能力。

绿盟科技实践

T-ONE CLOUD(简称T-ONE)是绿盟科技“智慧安全3.0”理念的全新实践,旨在以云的思路重构安全运营体系,为用户提供弹性敏捷的安全闭环保障能力。

绿盟轻量化渗透测试服务已随T-ONE CLOUD全面发布,主要针对互联网非核心资产的快速渗透测试服务,通过平台实现云端全流程管理,快速完成主被动扫描和人工测试、漏洞验证,报告生成,帮助用户解决测试量大、上线急的问题,实现快速上线和安全运行。

未来,绿盟科技还将凭借多年的技术和产品积累,结合全球领先的渗透测试服务理念,不断探索创新,面对复杂的网络环境,为企业在向“数智融合“转型的过程中保驾护航。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author