開展專業的紅藍演練Part.5:論紅隊自動化的優劣
在上一篇文章中,作者提出了三類紅隊自動化的建模技術,分別是既不利用漏洞也不移動滲透主機的技術、只利用漏洞但不移動滲透主機和既利用漏洞又移動滲透主機的技術,在這三類建模技術中,既利用漏洞又移動滲透主機的建模技術對紅隊實現自動化最有價值。
那麼為什麼我們不應該使用現成的免費工具來識別網路中存在的漏洞並進行修復呢?這些技術或工具是否足夠好用?這些都是需要回答的問題。這類問題的答案足以說明自動化漏洞利用和移動滲透主機之類的工具只能作為實驗室里的存在。儘管這些工具有不少優點,但在攻擊性的安全評估中,缺點要遠遠超過優點。
優點
正如前面所強調的,自動化漏洞利用和移動滲透主機的優勢是相當明顯的,並且在很大程度上,它的優點都集中於可用性。針對這種技術的可用性評估主要是為了回答兩個問題,一個是為什麼我們仍然需要一個好的自動化解決方案,第二是為什麼漏洞利用框架會繼續實現這樣的功能。這些技術更適合那些沒有財力聘請真正的道德黑客來進行安全評估的客戶。其中一些工具可以免費獲得並且易於使用。這些工具一般只會在企業組織方便評估的情況下運行,而不像內部有機紅色團隊或外部滲透測試服務那樣列入計劃。除了是否會被列入計劃外,這種技術還在安全評估耗費的時間方面提供了進一步的好處。無論好壞,與道德黑客可能需要幾天或幾周的時間相比,自動化技術可以在數小時內對一個組織完成評估。理論上,這些技術可以節省時間和金錢。然而,我們仍然需要深入研究為什麼這些具有表面價值的好處在具體實施上可能是不現實的,這也會進一步表明為什麼這種工具沒有被廣泛採用,為什麼道德黑客仍然非常受歡迎。
缺點
依據實現,自動化漏洞利用和移動滲透技術的最大弊端是它們對組織的時間和金錢的影響,甚至超過了人類黑客所造成的影響。這就尷尬了。在實踐中,使用這些解決方案所帶來的理論上的改進是其最大的潛在缺陷。與這些技術相關的危險是由於它們給組織帶來成本或風險的能力。這些風險和成本表現為主動和被動兩個方面,我們將在下面的章節中詳細討論它們的過度影響。
主動
自動化紅隊解決方案固有的主動風險是他們可能導致被評估的系統發生故障。從本質上來說,漏洞利用或黑客攻擊都是以一種不正常的方式濫用系統,以不正常的方式獲得結果。任何攻擊嘗試都有可能對系統造成負面影響。這可能是輕微的系統處理速度減緩,也可能是災難性的,例如物理機器被攻擊造成永久性損壞。
即使在軟體中實施了安全性和健全性的檢查,漏洞利用和移動滲透的自動化仍然缺乏人類黑客所具備的判斷力。由於自動化本身的執行速度相當快,因此,潛在的有價值的系統、設備或服務可能會以驚人的速度被中斷。儘管一個人類黑客可能會用一個危險的漏洞在一個系統中造成崩潰,但是一個自動化腳本可能一瞬間就已經對100個系統利用了相同的漏洞。同樣的這類風險也直接導致對使用這種技術的成本效益產生積極影響。企業僱主可以通過不僱用道德黑客來節省金錢,但是節省下來的資金(甚至更多)可能必須直接填補服務不可用,處理損壞的程序或更換損壞的硬體而造成的利潤損失,更不用說對公司聲譽造成的潛在的不可逆轉的影響並最終導致客戶流失。
被動
令人驚訝的是,和上面那些主動受到自動化漏洞利用技術造成的風險和成本相比,被動的風險和成本給組織帶來的風險更大。自動化技術的供應商,無論是銷售漏洞利用框架還是一般的安全軟體,都將支持通過購買他們的產品實現成本節約。這類軟體通常是用來「取代」某些人員,從而節省了成本。自動化漏洞利用軟體可能取代道德黑客;然而,保持最新簽名的許可費和訂閱費用往往本身就會產生巨大的成本。即使這樣,要利用該軟體真正意義上提升公司安全狀況的方式,也需要使用某種特定工具的經驗才可完成。這可能需要公司花錢培訓現有的員工,或者僱傭使用經過認證或有經驗使用工具的人。在這一點上,自動化漏洞利用軟體節省的成本(如果有的話)無疑超過了不僱用攻擊性安全人員或服務的所有弊端。
在依賴自動化的所有缺點中,我相信被動引入的風險是對企業組織的最大威脅,因為使用這些工具提供了錯誤的安全感。正如我們已經提到的那樣,公司領導層非常希望削減開支,並使用自動化開發技術來評估他們公司的安全狀況。危險的是這樣的評估並不能代表真正的攻擊者。
讓我們假設這樣的軟體足夠好,可以在運行時找到網路中每個系統的每個漏洞。然後,讓我們假設安全團隊對所有這些威脅進行了充分的補救或緩解。這肯定會使本公司的領導層和安全人員對免受網路威脅更有信心。然而,在接下來的幾周中,會發現新的漏洞,或者向公司引入易受舊漏洞攻擊的新設備。攻擊者利用這些漏洞,在不被注意的情況下破壞了整個系統。這期間發生了什麼?
該公司修復了掃描時出現的所有漏洞,但對系統的自動化漏洞利用與惡意攻擊者發起並持續攻擊是非常不同的。由於這些差異,公司的安全人員不知道如何監控真正的威脅或如何響應攻擊活動。更糟糕的是,他們從來沒有經歷過針對真正的威脅啟動事件響應過程,並試圖鞏固其在公司中的控制。新的漏洞和威脅不斷發展,並不斷地引入到任何企業組織中。簡單地識別和利用系統中的技術漏洞只能評估公司安全部門及其相關責任的很小一部分。
紅隊與道德黑客合作可以讓一個企業組織識別其安全態勢的各個方面的缺陷,包括技術、人員和程序問題。他們不僅通過現有的技術來識別問題,而且通過理解組織如何實現安全技術、過程和策略來實現。道德黑客還了解組織內的用戶、管理員和管理者對攻擊的反應,這是攻擊性安全評估中非常寶貴的部分。
相關案例
在本章節的最後,作者列舉了四個場景,足以說明自動化漏洞利用工具存在很多弊端,無法和真實的人類黑客相比較。同時,這些弊端確實會讓安全人員對公司的安全態勢產生錯誤的安全感。由於篇幅的原因,譯者不會將這四個場景案例逐一翻譯。僅作重點描述。
場景一:
在某次滲透測試中,評估人員在一台 Linux 主機上發現一個標記為us-west和us-east的別名。這些名稱明顯是亞馬遜 Web 服務(AWS)雲託管基礎設施區域的通用名稱。通過執行一些命令,評估人員發現了目標公司的一台 AWS 跳板機,並在已經拿到許可權的主機上發現了雲端設備的登陸憑證信息。使用這些信息,評估人員成果了拿到了跳板機的許可權,進一步發現目標公司的人員竟然將 AWS 登陸憑證和控制台的管理員憑證保存在了跳板機上。顯然,在這種滲透場景中,由於人類能夠識別「別名」,才拿到了後續的滲透測試成果。但自動化工具並不能識別「別名」,人類靠直覺認知事物方面要比計算機深入的多。
場景二:
在 AWS 託管的主機上,評估人員在設備的命令歷史記錄中注意到設備管理員執行 AWS 管理命令時沒有提供任何憑據。但一般來說執行 AWS 管理命令肯定是需要密碼的。通過執行一些命令,評估人員發現這台主機本身就具有執行 AWS 管理控制台命令的能力。這種許可權可以很輕易的破壞整個 AWS 託管數據中心。評估人員通過邏輯分析,決定只按照命令歷史中看到的那樣嘗試執行該命令。事實證明是可行的。管理員的這個設置幾乎可以肯定是出於方便而設置的,而不是他的無知。在這種場景下,也許有人會說,有的自動化滲透工具會嘗試複製所有的歷史命令,但如果沒有人類經驗和諜報技術的磨練,自動化工具所要完成的任務是相當多的。
場景三:
評估人員注意到在主機本地的埠 8089 上監聽了 Splunk forwarder 服務。該服務不會在外部掃描中發現,因為它是在本地監聽的,並不能遠程訪問。評估人員研究此服務的默認憑據,並對本地埠使用 curl 命令測試。憑據是有效的,而且由於服務是在超級用戶上下文中執行的,因此可以升級特權,並找到可以用於破壞整個本地網路的管理員訪問密鑰。評估人員識別本地運行的服務、研究其默認憑證,然後利用服務升級攻擊的能力是任何自動化技術都難以複製的。遠程自動掃描不會顯示任何漏洞,而且使用自動化漏洞利用和移動滲透技術嘗試掃描本地訪問過的每一個主機時會變得非常麻煩,更不用說存儲和嘗試利用默認憑證列表了。
場景四:
當拿到許可權的主機上,評估人員注意到管理員命令歷史記錄中有 Git 命令。對於不熟悉這個術語的人來說,Git 是一種代碼存儲庫。評估人員然後嘗試訪問遠程 Git 存儲庫,並能夠拉下其中的所有文件,而無需進一步的身份驗證。這些文件包含了大量的明文憑證和網路配置,導致了企業組織的完全破壞。與人類道德黑客不同,前面討論的自動化技術沒有演繹邏輯來識別與 Git 相關的命令,以存儲庫為目標,仔細查看命名有趣的文件,並將它們拉到本地,進行解壓縮,然後找到憑據。
本章中討論的自動化技術對安全界都是有價值的貢獻,無論是在學術方面還是在工業方面,特別是在用於改進人員評估時最有價值。然而,這並不能使它們成為有機紅隊或其他攻擊性安全服務的可靠替代品。在大多數情況下,道德黑客的直覺、邏輯和謹慎,堅定地取代了自動化技術可以提供給企業組織的任何收益。
