BAS入侵和攻擊模擬實踐

語言: CN / TW / HK

一、前言

在2017年Gartner定義了BAS入侵和攻擊模擬這個類別。在Gartner的定義中,BAS(Breach and Attack Simulation)是通過不斷模擬針對不同資產的攻擊,驗證安全防護的有效性。

目前,經過幾年的發展,國外BAS技術已經相對成熟,在2021年Gartner釋出的安全運營技術成熟度曲線中,BAS仍處於高市場預期的熱門賽道。近兩年,國內BAS廠商也不斷湧現,隨著技術的不斷成熟,BAS未來或將成為主流的安全風險檢測技術。

二、背景

1、什麼是Breach and Attack Simulation (BAS)?

Breach and Attack Simulation (BAS)翻譯過來就是入侵與模擬攻擊Gartner 將 BAS 稱為“頂級安全和風險管理趨勢”,BAS 是一項新興技術,它可以按需自動模擬企業的複雜網路來進行攻擊,幫助測試企業系統的安全。 它不像普通的自動化滲透測試工具,BAS可以自動模擬資料洩露、對組織電子郵件系統的網路釣魚攻擊、對端點的惡意軟體攻擊,甚至是網路內的橫向移動等,它可以執行各種破壞和攻擊模擬。

2、我們為什麼要做BAS?

    a. 紅隊安全的預模擬階段通常是最漫長和最重要的部分。首先需要考慮多久執行一次紅藍對抗它們可以每年、每六個月、每季度、每月或其他頻率舉行一次,而且這種紅藍隊測試需要安排大量人員,那麼時間、人員、金錢上會消耗大量成本。如果通過BAS進行ATT&CK模擬入侵,這樣在人員、時間、金錢上可以節省很多成本。

    b. 在紅藍對抗中是有規定靶標資產,實際的對抗攻擊需要不斷的去探索下一個突破口,這難免會探測到我們靶標以外的資產,BAS可以通過下定點的方法,P2P進行攻擊。

    c. 隨著資料安全法的釋出,資料安全也成為重點關注問題,在ATT&CK攻擊時可能會導致我們的憑據和資料的洩漏,BAS可以在內網中部署執行,這樣可以避免資料洩漏的情況。

    d. 隨著近5年資訊保安建設工作的有序推進,我司資訊保安防禦水平有較大提升,公司部署大量安全裝置,進行模擬攻擊可以來檢驗安全運營的有效。因為安全系統需要不斷升級以應對新的和高階的安全威脅,並且必須定期對這些升級後的系統進行測試,來檢驗它們是否甚至可以對抗潛在的網路安全威脅。

    e. 隨著組織遷移到雲或考慮替代本地基礎架構,作為一項新技術,bas可以部署到大多數基礎設施或網路段。

    f. 防止第三方紅藍對抗人員不講武德。

三、 實踐

1、確認風險點

a.BAS 工具及其頻繁的測試(包括突襲模擬)會增加安全警報的數量。這會使他們難以區分非常重要的警報和 BAS 測試生成的警報。

b.模擬攻擊觸發的響應操作可能會使生產系統離線或減慢操作速度。

2、針對風險點的防禦措施

a.記錄好模擬的ip地址,在模擬之前提前報備ip,防止產生沒必要的響應。

b.在每個模擬的位置新增虛擬靶機,實現點對點無害模擬。

3、怎麼去模擬

對於場景也區分為內網場景和公網場景。

1)針對外網

a.模擬作業系統、應用軟體、Web應用、中介軟體、元件等漏洞利用場景,每種場景至少包含5種繞過手法。

a.通過郵件、社交軟體等平臺模擬社工投遞病毒樣本的釣魚場景,每種場景至少包含3種繞過手法。

2)針對內網

a.模擬突破邊界後上傳webshell、記憶體馬、後門等黑客工具等場景,每種場景至少使用3種繞過手法。

b.模擬突破邊界後建立隧道場景,至少使用3種協議建立隧道。

c.模擬作業系統、應用軟體、Web應用、中介軟體、元件等漏洞利用場景,每種場景至少包含5種繞過手法。

d.使用內網掃描工具模擬內網埠掃描、資產發現、口令掃描、漏洞掃描等場景,每種場景至少包含3種繞過手法。

e.模擬內網資訊收集場景對內網的wiki,磁碟,瀏覽器、郵箱等進行上傳或下載等資訊收集動作,每種場景至少包含3種繞過手法。

f.模擬內網釣魚場景,至少使用3種以上內網釣魚場景,每種場景至少包含3種繞過手法。

g.模擬對程式碼倉庫程式碼上傳、下載、篡改等場景。

h.模擬批量指令下發場景,至少使用3種命令繞過手法。

i.至少模擬5種橫向滲透攻擊場景,每種場景至少包含3種繞過手法。

j.模擬訪問跨域場景。

四、 最後

每個公司都有自己不同的需求點,我這邊僅是根據公司想要的需求進行模擬。 首先是鎖定需要模擬的安全裝置,然後根據覆蓋率,健康度,有效性三方面去開展。歡迎留言共享想法:bulb: