快捷搜索:  人生百相  巫山  传球  森林  创意文化园  郑州  鲁能队  租客

逆熵科技(www.ipfs8.vip):开展专业的红蓝演练Part.16:重中之重——若何编写并汇报演练效果(二)

本文节选自《Professional Red Teaming》一书。

手艺型破绽

手艺性破绽是指操作系统或应用程序中由于糟糕的开发实践或改善的破绽行使实践而存在的任何破绽。区分这类破绽和其他类型的破绽是很主要的事情,由于组织内部存在这类破绽可能不是组织的错。若是你发现在客户组织内允许使用的某个软件存在远程代码执行破绽,而该破绽在一周前才被公然披露,那么关于这一点一定要在讲述或摘要中与客户举行讨论,这异常主要。相反的情形是,当组织使用的软件存在已公然多年的破绽时,应以差其余方式举行处置,而且可能需要更多的缓解和解救措施来确保整体平安,而不是简朴地安装该软件的最新和最平安版本。在这种情形下,可能会发现有关于补丁治理、系统设置完整性或其他问题的单一发现。

非手艺型破绽

我们现在检查另一种类型的破绽:那些与代码中的缺陷无关的破绽。它们可能是装备设置错误、设置失败(默认密码),甚至是缺少战略或流程。这些破绽可能对组织造成严重影响,甚至更大的影响,由于它们可能影响的不仅仅是具有特定代码破绽的一个或多个装备。缺少补丁治理之类的器械可能会影响整个组织,而且应该被视为比允许在网络中存在的代码缺陷更为严重。优越的红队演练可以发现与战略缺失或糟糕的战略执行相关的平安问题。若是在评估时代,平安职员在组织中发现了红队的流动,而且平安职员没有实践或实行事宜响应程序,这就突出了组织平安态势中一个异常主要的非手艺性破绽。

纪录评估效果

既然我们已经讨论了评估中发现的差异类型的平安问题,那么让我们集中讨论一些在讲述中纪录它们的好方式。除了见告客户在组织中发现了什么以外,评估讲述提供的下一个最主要的内容是,这种发现对组织的严重性。若是讲述受众无法从讲述中获得每个发现的数目级,那么他们将难以确定适当的解救战略。该讲述在为本组织提供成本效益方面也极为主要。若是客户不能很容易地确定哪些破绽要先修复,哪些要修复,哪些要以其他方式减轻或接受,那么纵然准确纪录了破绽的细节也没有什么用处。

评估效果总结

在讨论每一个详细的评估效果之前,许多讲述都包罗了评估流动所发现的平安问题的摘要信息。有一个简朴的条形图来转达发现的破绽数目及其严重性(如下图所示),这是一种异常有用的典型方式。


图表是一种简朴易懂的方式,可以表达已识其余破绽数目及其严重性。我在这个图表中遇到的问题是,通常情形下,破绽严重性是基于特定的某个评估效果对发现它的系统的危险水平,而纷歧定是基于评估效果对组织的危险水平。总结评估效果的一个更好的方式是,既要说明发现系统懦弱性的危险性,又要说明系统被入侵对整个组织的危险性。远程代码执行破绽可能会对系统造成危险,但若是在客户组织办公点大厅的访客终端盘算机上发现了该破绽,而且该破绽未毗邻到其他装备,则在组织平安态势的总体方案中,该破绽现实上并不主要。将资源用于解决不主要系统的“高危”破绽,对于降低总体风险来说,成本效益很低。

那么,我们该若何辅助客户领会哪些平安问题应该首先解决呢?我发现可以做的最好的事情之一是提供一个基本没有任何平安问题的主机列表,然后要求客户将它们分类为低风险、中等风险或高风险。然后,作为评估职员,你需要将这些数据和发现出现在上图所示的图表上,该图表(如下图所示)显示了组织内高、中、低风险系统中存在的高、中、低平安破绽。

上面的图表可以从左上角的平安问题(低风险机械上的低风险破绽)到右下角的平安问题(高风险机械上的高风险破绽)中鉴别出这些平安破绽所带来的真正风险。该图表中所包罗的信息以及单一的平安问题(破绽危害品级)允许评估职员为客户提供尽可能多的偏向,以制订优越的威胁缓解和解救战略。

单一破绽形貌

那么,在提供摘要信息之后,在讲述中展示单一发现的最佳方式是什么?我喜欢把它们从影响最大的到影响最小的举行排序,并为发现的每一个平安问题包罗如下所示的内容。

问题1:Foxit Reader 9.0.0.29935 版本中的破绽

破绽品级:高 

破绽信息1:CVE-2018-9979 敏感信息泄露


破绽信息2:CVE-2018-9981 随便代码执行

上述破绽有助于识其余攻击流动:内部网络攻击和枚举

,

USDT跑分

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

发现存在上述破绽的系统:

评估效果的详细形貌:在评估时代,安装的Foxit Reader软件版本能够在客户组织的多个系统上远程执行恶意代码。在网络上举行扫描后,确认该破绽在其他机械上也存在,发现有几个分外的主机存在这个破绽。并非所有主机都需要 PoC。 缓解或解救措施:安装最新版本的 Foxit 阅读器软件可以缓解这些威胁。

在这里,我们以一种简朴易懂的方式纪录了许多事情,以辅助人人明白单一发现及其细节。首先,我们讨论发现的这个平安问题的自己,在本例中,它是一个过时的Foxit Reader版本。接下来,我们确定发现的总体严重性以及发现哪些系统中包罗特定的破绽。并不是所有的发现都市有多个破绽,在本例中,Foxit在这个版本中有几十个破绽,但为了便于说明,我将其保留为两个。第一个破绽是CVE-2018-9979。CVE代表常见破绽和披露,是Mitre Corporation维护的破绽列表,用于提供公共文档。CVE-2018-9979 是此版本Foxit中的一个信息泄露破绽,攻击者可能会从系统中网络未经授权的信息,这个破绽对照严重,但不如另一个已知破绽 CVE-2018-9981 严重,后者允许远程代码执行。

在提供手艺细节信息之后,我想披露导致发现或行使破绽的评估流动类型,由于这些信息有助于解救或缓解措施。然后,我将详细说明哪些系统被识别为存在此破绽。在发现的第一个破绽中,我还展现了系统自己给客户组织带来的风险。这些数据必须从客户组织获得,而且在确立讲述时并不总是可用。由于这些有助于实现最好的风险相同,以是若是可能的话应该显示出来。在列出易受攻击的系统之后,我详细形貌了评估效果,以及若何再次使用和行使发现的平安破绽,以辅助解救事情。最后,我向客户提供缓解或解救措施的指导。一些客户不希望这样,但我以为,纵然客户公司的平安职员最终没有使用我们提供的解救措施,也应该将其视为最佳实践,以获得攻击性平安头脑。

下一个示例是在已安装的应用程序的代码中找不到的破绽。它既有手艺方面的,也有非手艺方面的缘故原由。 

问题2:没有密码过时战略

严重水平:低 

破绽信息:密码不会因系统设置而过时;无适用政策

该破绽有助于识其余攻击流动:内部网络攻击和枚举

存在该破绽的系统列表:

破绽详细形貌:在获得对多个主机的接见权限后,发现这些主机没有强制的密码过时战略。经与客户组织的平安事情职员协商,还发现没有任何战略推动执行。 缓解或解救:在战略、系统和应用程序级别强制执行战略过时限制。

接下来,我将先容本讲述中迄今为止讨论的所有内容,并在风险缓解战略中对其举行总结。该战略可能类似于下面的表格,它为组织提供了一个缓解顺序,即首先缓解组织面临的最严重威胁。这可能不是组织实行缓解和解救的方式。它们可能有其他的操作限制,一些项目可能被治理层接受而不是牢靠的,等等;然而,这是评估职员转达有序风险缓解蹊径图的最佳方式:

简报

在我看来最有用的评估效果,是那些在讲述中转达优越,并通过一个优越的简报的举行支持。由于演练流动的潜在远程性子,并非总是能够亲自举行简报的先容,但我以为应起劲让评估方在客户组织收到讲述后举行陈述。摘要不应重复讲述中所纪录的内容。它应该提供弥补信息,以使客户不仅领会效果的主要性,而且领会进攻性平安评估的主要性。我更喜欢做简报的方式是简朴地制作一张幻灯片,上面有客户组织的高级网络图,每张幻灯片都是组织被入侵的主要步骤,类似于提供流动摘要的项目符号列表。

在简报中,评估职员要指导客户公司的听众领会被入侵的故事,并将简朴的讲述工具和摘要转换为相关的演示,纵然是非手艺职员也能明白低严重性的评估效果的主要性。向客户展示一个小的平安问题若何导致了另一个小的平安问题,最后直到整个组织的基础设施和治理能力受到损害,这不仅对客户有启发,而且牢固了评估方和整个红队流动的正当性。这样的提要可以让红队的演练评估流动展示恶意威胁介入者的潜在入侵是什么样子的。敌方仿真是红队的职责,有用地向客户描绘敌人的生命周期,使他们能够最大限度地领会自己的平安态势以及需要解决的问题。

无效果的评估

在讨论讲述时,我想谈的最后一件事情是没有用果或至少没有重大效果的评估。这种情形下主要的是,评估职员和客户都要明了,仅仅由于没有装备乐成被入侵并不意味着评估的失败。我在前面提到了我对这种围绕着黑客精英主义的羞耻的不安,以及被视为精英黑客的需要性。我需要再次提醒你,以及客户,专业红队的主要目的是改善组织的平安态势,而不是侵入装备、应用程序或组织。入侵是到达目的的手段,不是最终目的,也不是实现目的的唯一途径。若是任何评估都没有重大效果,我提供的讲述建议仍然适用。与其关注评估所缺乏的器械,不如关注举行了哪些尽职观察。这至少让平安机构能够检查哪些部门的平安性可能处于优越的位置,哪些部门可能未被评估,这可能是内部关注的一个好地方。

此外,若是对评估的限制被以为是太过的限制,并对演练的乐成发生负面影响,这也应该获得相同。为这样的约定讲述应该尽最大起劲指导客户若何最好地实行下一次评估。评估职员可以指出,演练的窗口是一个问题,或者局限不包罗所有相关的攻击面,或者他们可以提出一个理由,允许更多的看法验证行使或跳板攻击,以找到更多的细节来解决组织的平安问题。客户和评估职员固然应该尽最大起劲形成一项约定,以使其取得乐成,并在减轻威胁方面提供优越的成本效益。然而,这并不总是最终效果,通过指导更合适的局限、时间表、ROE和执行流动,少效果或无效果的评估可能是完玉成面专业红队评估的第一步。

总结

本章讨论了评估讲述的主要性,提出了纪录讲述内容的适当方式,并提供了举行简要先容的一些最佳实践。

全系列文章请查看:https://www.4hou.com/member/dwVJ

本文由作者“丝绸之路”整剃头布,

逆熵科技

逆熵科技官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。鲸鱼矿池官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

发表评论
sunbet官网声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: