军队就是这样做的。政府问责局做的。美国国家安全局也一样。这个概念也正在进入企业界:在安全基础设施上玩战争游戏。
红队-蓝队演习得名于他们的军事历史。这个想法很简单:一组安全专业人员——红队——攻击某物,而另一组——蓝队——保卫它。最初,演习是军方用来测试部队的战备状态。它们还被用于测试敏感地点的物理安全,如核设施和能源部的国家实验室和技术中心。在90年代,专家们开始使用红蓝队演习来测试信息安全系统。
美国能源部桑迪亚国家实验室的信息设计保证红队项目经理约翰·克莱姆说:“实际上,这是实验室作为国家核安全机构实验室之一的使命自然发展出来的能力和专业知识。”桑迪亚的专家在20世纪90年代帮助总统的关键基础设施保护委员会提供建议,这导致该组织目前关注信息安全。Clem的团队已经“红组”了桑迪亚的基础设施,并与其他联邦机构合作,作为实验室基础设施保护任务的一部分,团队也与私营公司合作。克莱姆指出,人们普遍认为,85%的美国人美国的关键基础设施为私营企业所有。这些公司保证了炼油厂、核电站和电信供应商的安全运行。爱达荷国家实验室(Idaho National Laboratory)的研究人员提供的服务与桑迪亚公司的类似,有时还会建造模拟公司网络的模型测试台。
然而,任何行业的公司都可以从红蓝团队演练中受益。SANS在2007年拉斯维加斯培训中举办了一场网络战活动,一支红队攻击了一家名为GIAC Enterprises的假公司,据称该公司是世界上最大的幸运饼干供应商。今年2月,eBay举办了一场红队演练,邀请了多位CISO和供应商。对于那些错过了幸运饼干攻击或易趣会议的人,我们收集了一些小贴士,告诉你如何最大限度地利用自己的信息安全红队-蓝队模拟。
让合适的人参加你的启动会议
爱达荷国家实验室(INL)的基础设施保护策略师迈克尔•阿桑特说:“我首先让管理人员和安全人员呆在同一个房间里。”“我已经让安全团队对我们现有的设施进行了全面分析。”
这是识别安全漏洞的最简单方法之一,它还有助于解决任何成功的红蓝团队练习的关键问题:买入。是的,这是咨询师常用的词汇之一,但在测试信息安全系统时,管理层和员工的批准是至关重要的。
红蓝团队演习的目的不仅仅是找出安全漏洞,而是培训安全人员和管理人员。如果不是每个人都认同这种练习的价值,它可能很快就会变成防御性的姿态,浪费时间。毕竟,你可能会向上级要求所需的时间和预算,以修复锻炼发现的缺陷。
初始评估可以确定需要进行的更改。然后,是时候开始了。
攻击白板
最简单的红队蓝队练习只需要一张会议桌。将您的安全人员分成小组,花一个下午的时间讨论可能的攻击防御方案。成功的关键因素是红队能够进入攻击者的心态。
“红队是一个思维过程,”国际法学院的汤姆·安德森解释道。“让建立(安全系统)的人来做这件事的问题是,保护它符合他们的利益。”为了对抗利己主义和同质化,安德森和阿桑特创建了多元化的团队,来自INL的专家与他们所协助的公司的员工一起工作。
这并不是说你不能独立完成,但至少试着像局外人一样思考是很重要的。“很多时候,我们开发安全系统是为了让诚实的人保持诚实,”阿桑特解释说。攻击者无视的不仅仅是规则;他或她会无视公司的规范。想想你的攻击者可能是谁。发电厂可能成为恐怖分子的袭击目标。银行的罪犯。一个心怀不满的前雇员。退一步,像一个局外人,甚至是一个有意伤害的内部人那样看待这个系统,可能需要时间和精力。
桌面游戏的价值之一是让玩家将系统视为一个整体。大多数不存放核材料的公司不太可能进行全面的军事演习,比如武装部队突袭他们的大楼,但在开发白板攻击时,考虑物理安全是很重要的。
“物理系统必须保护网络系统,网络系统也必须保护物理系统,”桑迪亚红队队长雷·帕克斯(Ray Parks)说。“设计物理安全系统的人告诉我的第一件事通常是,我们安全的支柱是千兆以太网。”(通过网络或物理攻击)破坏这个系统,物理访问控制系统就会突然失灵。
会议室演练对于那些从未尝试过红蓝团队演练的公司尤为重要。“仅仅通过做桌面运动,你就可以了解很多关于你的风险,”Assante说。
而且,尽管听起来很奇怪,保持假设提供了一个学习的机会,而真正的高端专业人士的网络攻击可能不会。基础设施保障与安全中心(Center for Infrastructure Assurance and Security)主任格雷格·b·怀特(Greg B. White)在最近的一篇论文中称,针对真正没有准备的目标的红队攻击“大致相当于新兵试图从一群精英准军事部队手中保卫一个设施”。最终,新兵会知道他们还没有准备好,但演习不会提供任何训练,让他们做好准备。”
桌面练习提供了反思和评估应对方案以及攻击的机会。然后想想可能的破坏意味着什么。
阿桑特说:“最终结果是什么?”“1000万美元的损失?”监管风险?员工的安全是否受到威胁?还是客户?
红组网络
然而,一旦您修复了白板练习中发现的漏洞,实时的攻防练习可以提供一个全新的视角,但这不是一项可以轻松进行的活动。在某些情况下,可以在实时的公司网络上安全地演示漏洞,但对生产系统发起真正的攻击是不明智的。
Clem指出:“某些类型的系统几乎不应该进行实时渗透测试。当Clem与依赖SCADA(监督控制和数据采集)系统来维持工厂运转的公司合作时(这在发电和石油和天然气炼油厂等行业很常见),Clem的工作是测试网络,而不是连接到公司的过程控制。
阿桑特表示,在爱达荷国家实验室(Idaho National Labs),他的团队已经建立了针对客户的测试平台,模拟了该公司的真实网络,以便提供他所说的“便利的身临其境培训”。一些网络和安全人员试图保护网络,而另一些人则加入了阿桑特红队的同事们的攻击行动。
“这给了蓝队,后卫们信心,”阿桑特说。“这对红队也非常有用。你用全新的眼光看待弱点。然后他们把培训带回“给同事们”。
乔瓦尼·维尼亚(Giovanni Vigna)是加州大学圣巴巴拉分校计算机科学系计算机安全小组的副教授。他的大多数学生都去创业公司工作或担任安全顾问。每年秋季学期结束时,维尼亚都会举办一场夺旗比赛,这是一场复杂的红蓝两队的比赛,所有球队都要进攻和防守。这是一项非常受欢迎的活动,因此他将竞争扩大到其他大学;去年12月,来自四大洲36个团队的班级参加了比赛。
Vigna说:“如果你有一个网站,你必须要进入它,这是非常宝贵的经验。”“你可以阅读有关PHP文件包含的文章,了解它是如何出现问题的,但一旦你利用了其中的一个优点,你就会真正理解发生了什么。”
红组用户
即使在国家实验室,员工往往是安全计划中最薄弱的环节。但即使你不必担心员工将机密材料复制到家庭电脑上,重要的是要考虑到敌人会如何利用员工行为中的弱点。
他们支持自动开门吗?点击来自陌生人的电子邮件附件?您可以对这些问题和类似问题进行测试。假设您有一个书面的安全政策,并且员工也知道它,那么您可能不想宣布一个红队演习,因为您的目标是确定正常行为的风险。阿桑特和安德森把USB设备放在办公大楼周围,看看是谁拿起它们,并把它们插到电脑上。他们还向员工发送了钓鱼邮件,看看谁会上钩。
与前面的练习一样,考虑这些操作的可能结果,以及如何使用练习提供训练。想想当用户点击垃圾邮件中的坏链接时可怕的蓝色警告屏幕。
清洗和重复的
如果你做了所有这些事情,你可能对你的信息安全感觉很好,你应该这样做。但不会太久。任何称职的中央安全组织都知道安保是个不断变化的目标。坏人正在适应。更重要的是,你的关系网正在发生变化。十有八九,你的员工基础也是如此。
桑迪亚的帕克斯回忆起拜访过一个客户,该客户在一个安全区域前安装了一个双陷阱门系统。然而,用来开门的徽章控制器安装在普通的公司办公室里,还与人力资源部的系统相连。其结果是,进入“安全”区域的权限由位于非安全区域的系统控制。徽章系统是为进入大楼而设计的。后来,政府强制使用了人夹双门系统,所以该公司只是扩展了现有的徽章刷卡系统。帕克斯说:“他们没有考虑到徽章系统不是为此设计的。”
红色团队帮助公司理解这类决策的意外后果,而不仅仅是在双门系统的公司。桑迪亚的红队发展了无线安全的专长,因为需要出现。
帕克斯解释说:“许多人从有线网络迁移到无线网络,假设它们的工作原理完全相同,因为从他们的角度来看,它们的工作原理是一样的。”“他们没有意识到,不同的特征提供了不同的攻击表面。”
“红队模式善于帮助客户理解相互依赖关系,”Clem说,他提倡在设计决策中引入红队思维。他希望他的客户思考,添加的功能如何影响安全性?如果我们这么做,坏人会怎么做?