開展專業的紅藍演練Part.16:如何編寫並彙報演練結果(二)
本文節選自《Professional Red Teaming》一書。
技術型漏洞
技術性漏洞是指操作系統或應用程序中由於糟糕的開發實踐或改進的漏洞利用實踐而存在的任何漏洞。區分這類漏洞和其他類型的漏洞是很重要的事情,因為組織內部存在這類漏洞可能不是組織的錯。如果你發現在客戶組織內允許使用的某個軟體存在遠程代碼執行漏洞,而該漏洞在一周前才被公開披露,那麼關於這一點一定要在報告或摘要中與客戶進行討論,這非常重要。相反的情況是,當組織使用的軟體存在已公開多年的漏洞時,應以不同的方式進行處理,並且可能需要更多的緩解和補救措施來確保整體安全,而不是簡單地安裝該軟體的最新和最安全版本。在這種情況下,可能會發現有關於補丁管理、系統配置完整性或其他問題的單一發現。
非技術型漏洞
我們現在檢查另一種類型的漏洞:那些與代碼中的缺陷無關的漏洞。它們可能是設備配置錯誤、配置失敗(默認密碼),甚至是缺少策略或流程。這些漏洞可能對組織造成嚴重影響,甚至更大的影響,因為它們可能影響的不僅僅是具有特定代碼漏洞的一個或多個設備。缺少補丁管理之類的東西可能會影響整個組織,並且應該被視為比允許在網路中存在的代碼缺陷更為嚴重。良好的紅隊演練可以發現與策略缺失或糟糕的策略執行相關的安全問題。如果在評估期間,安全人員在組織中發現了紅隊的活動,並且安全人員沒有實踐或實施事件響應程序,這就突出了組織安全態勢中一個非常重要的非技術性漏洞。
記錄評估結果
既然我們已經討論了評估中發現的不同類型的安全問題,那麼讓我們集中討論一些在報告中記錄它們的好方法。除了告知客戶在組織中發現了什麼以外,評估報告提供的下一個最重要的內容是,這種發現對組織的嚴重性。如果報告受眾無法從報告中獲得每個發現的數量級,那麼他們將難以確定適當的補救策略。該報告在為本組織提供成本效益方面也極為重要。如果客戶不能很容易地確定哪些漏洞要先修復,哪些要修復,哪些要以其他方式減輕或接受,那麼即使正確記錄了漏洞的細節也沒有什麼用處。
評估結果總結
在討論每一個具體的評估結果之前,許多報告都包含了評估活動所發現的安全問題的摘要信息。有一個簡單的條形圖來傳遞發現的漏洞數量及其嚴重性(如下圖所示),這是一種非常有用的典型方法。
圖表是一種簡單易懂的方法,可以表達已識別的漏洞數量及其嚴重性。我在這個圖表中遇到的問題是,通常情況下,漏洞嚴重性是基於特定的某個評估結果對發現它的系統的危險程度,而不一定是基於評估結果對組織的危險程度。總結評估結果的一個更好的方法是,既要說明發現系統脆弱性的危險性,又要說明系統被入侵對整個組織的危險性。遠程代碼執行漏洞可能會對系統造成危險,但如果在客戶組織辦公點大廳的訪客終端計算機上發現了該漏洞,並且該漏洞未連接到其他設備,則在組織安全態勢的總體方案中,該漏洞實際上並不重要。將資源用於解決不重要系統的「高危」漏洞,對於降低總體風險來說,成本效益很低。
那麼,我們該如何幫助客戶了解哪些安全問題應該首先解決呢?我發現可以做的最好的事情之一是提供一個根本沒有任何安全問題的主機列表,然後要求客戶將它們分類為低風險、中等風險或高風險。然後,作為評估人員,你需要將這些數據和發現呈現在上圖所示的圖表上,該圖表(如下圖所示)顯示了組織內高、中、低風險系統中存在的高、中、低安全漏洞。
上面的圖表可以從左上角的安全問題(低風險機器上的低風險漏洞)到右下角的安全問題(高風險機器上的高風險漏洞)中辨別出這些安全漏洞所帶來的真正風險。該圖表中所包含的信息以及單一的安全問題(漏洞危害等級)允許評估人員為客戶提供儘可能多的方向,以制定良好的威脅緩解和補救策略。
單一漏洞描述
那麼,在提供摘要信息之後,在報告中展示單一發現的最佳方式是什麼?我喜歡把它們從影響最大的到影響最小的進行排序,並為發現的每一個安全問題包含如下所示的內容。
問題1:Foxit Reader 9.0.0.29935 版本中的漏洞
漏洞等級:高
漏洞信息1:CVE-2018-9979 敏感信息泄露
漏洞信息2:CVE-2018-9981 任意代碼執行
上述漏洞有助於識別的攻擊活動:內部網路攻擊和枚舉
發現存在上述漏洞的系統:
評估結果的詳細描述:在評估期間,安裝的Foxit Reader軟體版本能夠在客戶組織的多個系統上遠程執行惡意代碼。在網路上進行掃描後,確認該漏洞在其他機器上也存在,發現有幾個額外的主機存在這個漏洞。並非所有主機都需要 PoC。緩解或補救措施:安裝最新版本的 Foxit 閱讀器軟體可以緩解這些威脅。
在這裡,我們以一種簡單易懂的方式記錄了許多事情,以幫助大家理解單一發現及其細節。首先,我們討論發現的這個安全問題的本身,在本例中,它是一個過時的Foxit Reader版本。接下來,我們確定發現的總體嚴重性以及發現哪些系統中包含特定的漏洞。並不是所有的發現都會有多個漏洞,在本例中,Foxit在這個版本中有幾十個漏洞,但為了便於說明,我將其保留為兩個。第一個漏洞是CVE-2018-9979。CVE代表常見漏洞和披露,是Mitre Corporation維護的漏洞列表,用於提供公共文檔。CVE-2018-9979 是此版本Foxit中的一個信息泄露漏洞,攻擊者可能會從系統中收集未經授權的信息,這個漏洞比較嚴重,但不如另一個已知漏洞 CVE-2018-9981 嚴重,後者允許遠程代碼執行。
在提供技術細節信息之後,我想披露導致發現或利用漏洞的評估活動類型,因為這些信息有助於補救或緩解措施。然後,我將詳細說明哪些系統被識別為存在此漏洞。在發現的第一個漏洞中,我還揭示了系統本身給客戶組織帶來的風險。這些數據必須從客戶組織獲得,並且在創建報告時並不總是可用。因為這些有助於實現最好的風險溝通,所以如果可能的話應該顯示出來。在列出易受攻擊的系統之後,我詳細描述了評估結果,以及如何再次使用和利用發現的安全漏洞,以幫助補救工作。最後,我向客戶提供緩解或補救措施的指導。一些客戶不希望這樣,但我認為,即使客戶公司的安全人員最終沒有使用我們提供的補救措施,也應該將其視為最佳實踐,以獲得攻擊性安全思維。
下一個示例是在已安裝的應用程序的代碼中找不到的漏洞。它既有技術方面的,也有非技術方面的原因。
問題2:沒有密碼過期策略
嚴重程度:低
漏洞信息:密碼不會因系統配置而過期;無適用政策
該漏洞有助於識別的攻擊活動:內部網路攻擊和枚舉
存在該漏洞的系統列表:
漏洞詳細描述:在獲得對多個主機的訪問許可權後,發現這些主機沒有強制的密碼過期策略。經與客戶組織的安全工作人員協商,還發現沒有任何策略推動執行。緩解或補救:在策略、系統和應用程序級彆強制執行策略過期限制。
接下來,我將介紹本報告中迄今為止討論的所有內容,並在風險緩解策略中對其進行總結。該策略可能類似於下面的表格,它為組織提供了一個緩解順序,即首先緩解組織面臨的最嚴重威脅。這可能不是組織實施緩解和補救的方式。它們可能有其他的操作限制,一些項目可能被管理層接受而不是固定的,等等;然而,這是評估人員傳達有序風險緩解路線圖的最佳方式:
簡報
在我看來最有效的評估結果,是那些在報告中傳達良好,並通過一個良好的簡報的進行支持。由於演練活動的潛在遠程性質,並非總是能夠親自進行簡報的介紹,但我認為應努力讓評估方在客戶組織收到報告後進行陳述。摘要不應重複報告中所記錄的內容。它應該提供補充信息,以使客戶不僅了解結果的重要性,而且了解進攻性安全評估的重要性。我更喜歡做簡報的方式是簡單地製作一張幻燈片,上面有客戶組織的高級網路圖,每張幻燈片都是組織被入侵的重要步驟,類似於提供活動摘要的項目符號列表。
在簡報中,評估人員要引導客戶公司的聽眾了解被入侵的故事,並將簡單的報告對象和摘要轉換為相關的演示,即使是非技術人員也能理解低嚴重性的評估結果的重要性。向客戶展示一個小的安全問題如何導致了另一個小的安全問題,最後直到整個組織的基礎設施和管理能力受到損害,這不僅對客戶有啟發,而且鞏固了評估方和整個紅隊活動的合法性。這樣的概要可以讓紅隊的演練評估活動展示惡意威脅參與者的潛在入侵是什麼樣子的。敵方模擬是紅隊的職責,有效地向客戶描繪敵人的生命周期,使他們能夠最大限度地了解自己的安全態勢以及需要解決的問題。
無結果的評估
在討論報告時,我想談的最後一件事情是沒有結果或至少沒有重大結果的評估。這種情況下重要的是,評估人員和客戶都要明白,僅僅因為沒有設備成功被入侵併不意味著評估的失敗。我在前面提到了我對這種圍繞著黑客精英主義的恥辱的不安,以及被視為精英黑客的必要性。我需要再次提醒你,以及客戶,專業紅隊的主要目標是改進組織的安全態勢,而不是侵入設備、應用程序或組織。入侵是達到目的的手段,不是最終目標,也不是實現目標的唯一途徑。如果任何評估都沒有重大結果,我提供的報告建議仍然適用。與其關注評估所缺乏的東西,不如關注進行了哪些盡職調查。這至少讓安全機構能夠檢查哪些部分的安全性可能處於良好的位置,哪些部分可能未被評估,這可能是內部關注的一個好地方。
此外,如果對評估的限制被認為是過度的限制,並對演練的成功產生負面影響,這也應該得到溝通。為這樣的約定報告應該盡最大努力引導客戶如何最好地實施下一次評估。評估人員可以指出,演練的窗口是一個問題,或者範圍不包括所有相關的攻擊面,或者他們可以提出一個理由,允許更多的概念驗證利用或跳板攻擊,以找到更多的細節來解決組織的安全問題。客戶和評估人員當然應該盡最大努力形成一項約定,以使其取得成功,並在減輕威脅方面提供良好的成本效益。然而,這並不總是最終結果,通過指導更合適的範圍、時間表、ROE和執行活動,少結果或無結果的評估可能是完成全面專業紅隊評估的第一步。
總結
本章討論了評估報告的重要性,提出了記錄報告內容的適當方法,並提供了進行簡要介紹的一些最佳實踐。
全系列文章請查看:
https://www.4hou.com/member/dwVJ
參考及來源:本文由作者「絲綢之路」整理髮布,如若轉載,請註明原文地址
