iT邦幫忙

2023 iThome 鐵人賽

DAY 26
1
Security

資安這條路:系統化培養紫隊提升企業防禦能力系列 第 26

紫隊這條路 Day 26 Purple Team Exercise Framework (PTEF) 紫隊演練框架─紫隊技術準備與執行指南

  • 分享至 

  • xImage
  •  

為什麼紫隊需要技術準備

紫隊演練會結合紅隊攻擊與藍隊防禦的模擬演練,目標是確認企業的安全防禦措施是足夠的,事前準備也需要投入技術成本,包含所使用的攻擊與防禦的工具,以及對應工具的設定與內容。

這篇文章會介紹紫隊演練的時候,針對技術應該要準備哪一些內容。

準備前提

  1. 針對需要準備的內容,很多時候會在第一次進行紫隊演練的時候,需要有較長的準備期 ==> 寫給 PM / 專案規劃者需要注意的事情
  2. PM / 專案規劃者 / 演練協調者 如果有規劃內容,必須要追蹤進度,定期進行回報

事前注意

  1. 演練環境要盡可能的模擬真實企業環境,包含系統設定、應用程式、資料(如果怕敏感資料可以塞假資料)
  2. 工具選擇:不管是攻擊還是防禦,都是需要驗證且也要確保沒有後門。
  3. 跨部門:演練涉及到多個部門,例如IT部門、資安部門、業務部門等。確保所有相關部門都瞭解演練的目的和方法,並提前做好準備,是成功進行演練的關鍵。
  4. 資料保護:演練的目的是模擬真實攻擊,但必須確保在演練過程中,真實的資料和資源(伺服器/業務範圍)不會受到傷害與影響。這可能需要提前做好資料備份和環境隔離。
  5. 持續溝通:紫隊需要有人負責溝通與協調,確保所有參與者都清楚地知道自己的角色和責任。
  6. 後期評估:在演練結束後,應該對結果進行詳細的分析和評估,找出需要改進的地方,並制定相應的計劃。

需要準備哪一些內容

目標系統

目標系統在紫隊演練中佔有核心地位,它直接決定了演練的範圍和深度。

  1. 演練目標的伺服器、網站、系統
    • 代表企業的核心資產和業務,它們是駭客最想攻擊的目標
    • 目標的安全性直接影響到企業的業務運作和客戶的信任
  2. 通常會先以業務核心重點先進行規劃
    • 確保紫隊演練最初的焦點是在企業最重要的資產上,這些資產如果遭受攻擊,可能會導致重大損失
    • 例如
      • 電商公司可能首先關注其交易系統的安全性
      • 工廠/半導體公司可能關注其研發資料的保護
  3. 可先跟主管確認目標系統,基於規劃書裡面所批准的目標
    • 確保所有相關的決策者都理解和同意演練的範圍和目標
    • 避免在演練過程中出現意外的中斷或其他問題

相似於真實環境的機器、備用機器

  1. 確保在演練過程中不會影響到真實的業務運作
  2. 確保它們真實地反映了真實環境的設定、軟體設定、資料

這些系統可能會以相似機器、備用機器來測試,但如果有把備份還原機制做好,也可以成為演練目標(但是需要非常注意內部系統的敏感資料)。

這些系統需要能「真實」呈現企業內部的環境,因為這樣的演練才是比較精準的,不然如果不真實的話,會造成浪費演練時間,無法預防駭客入企業內部。

▲ 請注意
不要只有演練核心重點的機器,因為很多時候駭客是透過其他測試機器,或是你沒有注意到的機器進入企業內部。

因此短期可以先放在業務核心系統,但是未來長期要將所有資產都進行測試,以及反覆測試都是需要的。

端點的作業系統

端點作業系統在紫隊演練中是極為關鍵的部分,端點是使用者(員工)直接互動的地方,也是最容易受到攻擊的目標,因為一旦端點被入侵,駭客可以利用這一點進一步深入到企業的內部網路。

企業內部有許多員工、工程師、管理人員會使用端點,這些端點可能會有 Windows、Linux、MacOS,甚至還有 Ubuntu、CentOS 還會有「不同版本」的內容,選擇演練目標可以注重「真實」與「多元性」。由於企業中各種不同的作業系統版本和用途,紫隊的演練應模擬所有可能的情境。

  • 不同版本的同一作業系統可能有不同的安全問題
  • 開發團隊可能使用Linux,而行政人員則可能使用 Windows
  • 還會有伺服器版本的問題,並且伺服器會因為不能馬上更新導致有已知漏洞

端點會是企業內部最容易被攻擊的目標,主要每天在接觸業務(每個員工的日常行為),可能會下載惡意檔案、瀏覽釣魚網站、執行惡意勒索病毒等,這些都有機會造成威脅,以及導致端點被感染,因此端點需要特別加入在演練規劃當中。

主要目的是確保了各種可能的攻擊向量都被涵蓋,從而提供了全面的保護。包括了不只是作業系統的弱點,還有應用程式、網路設定、使用的協定等其他可能的漏洞。

持續的更新和修補,作業系統應該經常更新和修補,以確保所有已知的脆弱性都得到修正。演練中應該考慮這一點,模擬在不同的修補程度下的攻擊。

資安工具

資安工具在紫隊演練中是無法或缺的。它們提供了進行測試、偵測和回應所需的必要功能。選擇和使用正確的工具可以確保演練過程的順利進行且結果有效。

不管是紅隊還是藍隊的資安工具,包含攻擊(檢測)、防禦、回應、預防都算是資安工具的細節。考慮使用如 Metasploit、Cobalt Strike 等攻擊工具,以及 Wireshark、Suricata、Elastic Stack 等防禦和偵測工具。

很多攻擊工具可能會被其他駭客埋後門,這也是一種資安相關的威脅,因此如果需要進行紅隊演練等相關內容,也需要特別注意。

而藍隊相關的工具,舉凡防火牆、IDS、IPS、防毒軟體,甚至還會有次世代防火牆、EDR、XDR、MDR 都是企業可以選擇的防禦軟體,主要要選擇「企業真的用的到」、「真的會用」、「真的看得懂」、「真的可以用來偵測威脅」的工具。

針對工具的更新,可以確保能夠偵測和利用最新的漏洞。定期檢查更新和修補,並定期進行工具的健康檢查和性能調整。

建議中小企業可以先從開源資安工具著手,在慢慢補齊相對應的資安防禦工具,以免花費過大。

  1. 選擇適合的工具:根據企業的需求和預算,選擇合適的工具。對於初創企業或中小企業,開源工具是一個很好的起點,例如Wireshark、Snort、Bro等。模擬不應只限於網路攻擊,還應該包括如社交工程和物理入侵等多種攻擊向量。
  2. 工具的驗證與測試:在使用任何攻擊工具之前,確保從可靠的源頭下載,並在隔離的環境中測試,以確定它們沒有被植入後門或其他惡意代碼。
  3. 持續的培訓與學習:確保資哀團隊瞭解所使用的所有工具的功能和限制,並定期參加培訓和工作坊,學習最新的技能和知識。

在演練期間,及時監控工具的輸出並進行分析,這可以提供有關系統漏洞和攻擊模式的資訊。完成演練後,整理和分析結果,制定改進計劃。

目標系統的帳號/憑證

紫隊演練的過程當中,會有不同的伺服器、端點、網路服務、存取目標,不同的帳號可能會有不同的權限,每一個權限所造成的威脅都不同。

一個被忽視或管理不善的帳號可以成為駭客的進入點,甚至可能是他們深入企業網路的跳板。

比如管理員的權限如果一旦被取得就會造成重大威脅。

也許有時候只是小小員工的帳號被取得,駭客還是有機會可以拿到更高的權限,因此演練的過程當中可基於演練的目的,要讓演練人員拿到「真實使用」、「測試使用」的帳號,但最大的前提就是不要影響真實業務內容。

  1. 制定帳號管理政策:建立並維護一個帳號清單,其中列出了所有的系統帳號、權限級別和對應的負責人。
  2. 使用最小權限原則:確保每個帳號只有完成其工作所需的最小權限,以減少由於帳號被竊取所帶來的風險。
  3. 帳號審查:定期審查帳號和權限,確保沒有不必要或過時的帳號仍然使用中。監控帳號的活動,特別是具有高權限的帳號。確保所有登錄和活動都被記錄,並且可以追溯時間與用途。
  4. 多因素驗證:在重要且關鍵系統和資料實施多因素認證,以增加對帳號的保護。
  5. 緊急備案:如果在演練中發現帳號被不當使用,應該有一個緊急響應計劃,迅速採取行動,如重設密碼或隔離系統。

攻擊的基礎建設

紅隊建立,用來模擬真實攻擊者的行為與策略的環境,此時會有更多資安攻擊與檢測的工具於此使用包含使用 SCYTHE 建立 C2伺服器、payload 產生器、Domain 相關的攻擊與紅隊技術等。

可以參考:https://howto.thec2matrix.com/c2/scythe

  1. C2伺服器

    • 使用 SCYTHE,可以快速部署和管理多個C2伺服器,並在整個演練過程中保持與目標系統的通訊內容
    • 可以參考:https://howto.thec2matrix.com/c2/scythe
  2. Payload 產生器(攻擊程式的程式碼)

    • 有效的 payload 產生器可以確保成功滲透目標系統
    • 使用 Metasploit或Cobalt Strike 的工具,可以根據目標系統的特點自訂 payload。
  3. 域名和網路基礎建設

    • 購買或租用域名,看起來像合法的網站或服務
    • 確保網路流量模擬真實的使用者行為,避免引起目標的警覺
  4. 紅隊技術

    • 除了常見的攻擊技術,紅隊應該掌握一些進階攻擊策略和技巧,如横向移動、權限提升、進階滲透等手法
  5. 隱蔽性和反檢測

    • 確保攻擊行為能夠在不引起目標注意的情況下進行,這可能需要使用加密、流量篡改、隱蔽技術等手段來避免被偵測
  6. 持續的研究和學習

    • 紅隊成員應該不斷地學習新的攻擊技術和策略,以保持與最新的威脅內容
  7. 清理和回報

    • 演練結束後,紅隊應該確保所有部署的工具和payload都被清理乾淨,並提供詳細的報告,說明其在演練過程中發現的漏洞和建議

外部的基礎架構

企業外部所使用的系統與服務,包含

  1. 委外資訊/業務系統
  2. 雲端系統

演練的目的多半於外部模擬攻擊,因為外部服務是攻擊者的第一道防線,一旦被突破,企業內部網路會受到威脅。

如何執行

  1. 風險評估:首先,對所有外部系統進行風險評估,確定它們可能的脆弱點。例如,對外部資訊系統、業務系統以及雲端系統的安全性進行檢查。
  2. 選擇模擬工具:根據你的目標選擇相應的紅隊工具,例如Metasploit、Nmap、Burp Suite等,來模擬外部攻擊。
  3. 模擬攻擊:利用工具模擬常見的外部攻擊,如:釣魚攻擊、SQL注入、跨站腳本攻擊等,測試企業的外部系統是否能夠抵禦此類攻擊。
  4. 測試雲端安全:對於使用雲端服務的企業,應該特別關注雲端安全。模擬如何突破雲端保護機制,並試著獲取儲存在雲端的敏感資料。
  5. 佈署防護機制:建立適當的防護機制,如 WAF (Web Application Firewall)、DDoS保護等,以保護外部系統。
  6. 監控和報告:在整個模擬攻擊期間,使用適當的工具和技術持續監控,並確保將所有發現的漏洞和脆弱點詳細記錄在報告中。
  7. 後期檢討:模擬攻擊結束後,與紫隊、紅隊和藍隊成員一同檢討,找出系統中的脆弱點,並制定相應的改進計劃。

內部的基礎架構

企業內部的系統和資源,專門用於模擬和測試已位於企業內部的攻擊者或內部威脅的行為。

對於許多企業來說,內部威脅(例如內部人員的惡意行為或沒有更新的系統或不小心點到惡意網址)可能與外部攻擊者一樣危險,因此,模擬和測試這些內部威脅是非常重要的。

  1. 在企業的私有雲或資料中心中佈署專用的測試環境。
  2. 建立和佈署內部的命令和控制(C2)伺服器,用於模擬攻擊。
  3. 設計內部威脅的模擬工具和軟體,模擬資料竊取、權限提升和內部散播惡意程式的行為。

參考資料


上一篇
紫隊這條路 Day 25 Purple Team Exercise Framework (PTEF) 紫隊演練框架─紫隊演練的規劃
下一篇
紫隊這條路 Day 27 Purple Team Exercise Framework (PTEF) 紫隊演練框架─利用網路威脅情報進行紫隊演練
系列文
資安這條路:系統化培養紫隊提升企業防禦能力30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言