军队就是这样做的。政府问责局做的。美国国家安全局也一样。这个概念也正在进入企业界:在安全基础设施上玩战争游戏。
红队-蓝队演习得名于他们的军事历史。这个想法很简单:一组安全专业人员——红队——攻击某物,而另一组——蓝队——保卫它。最初,演习是军方用来测试部队的战备状态。它们还被用于测试敏感地点的物理安全,如核设施和能源部的国家实验室和技术中心。在90年代,专家们开始使用红蓝队演习来测试信息安全系统。
“真的,这是一个能力和专业知识,在国内核安全机构实验室之一,劳动大学的使命自然发展,”Doe的桑迪亚国家实验室信息设计保证红队计划经理John Clems说。桑迪亚专家帮助主席的批判性基础设施保护委员会在20世纪90年代,这导致本集团目前的专注于信息安全。CLEM的团队拥有“红组织”桑迪亚的基础设施,并与其他联邦机构合作,作为实验室基础设施保护使命的一部分,该团队也与私营部门公司合作。CLEM指出,普遍认为,85%的美国的关键基础设施由私营企业拥有。这些公司将石油炼油厂,核电站和电信供应商保持安全地运行。爱达荷州国家实验室的研究人员提供类似于Sandia的服务,有时建造模型试验台来模仿公司的网络。
然而,任何行业的公司都可以从红蓝团队演练中受益。SANS在2007年拉斯维加斯培训中举办了一场网络战活动,一支红队攻击了一家名为GIAC Enterprises的假公司,据称该公司是世界上最大的幸运饼干供应商。今年2月,eBay举办了一场红队演练,邀请了多位CISO和供应商。对于那些错过了幸运饼干攻击或易趣会议的人,我们收集了一些小贴士,告诉你如何最大限度地利用自己的信息安全红队-蓝队模拟。
让合适的人民开球会议
爱达荷国家实验室(INL)的基础设施保护策略师迈克尔•阿桑特说:“我首先让管理人员和安全人员呆在同一个房间里。”“我已经让安全团队对我们现有的设施进行了全面分析。”
这是识别安全漏洞的最简单方法之一,它还有助于任何成功的红色团队 - 蓝色团队练习的问题关键:购买。是的,这是顾问词汇中最过度的短语之一,而是批准在测试信息安全系统时,管理和员工是必不可少的。
红蓝团队演习的目的不仅仅是找出安全漏洞,而是培训安全人员和管理人员。如果不是每个人都认同这种练习的价值,它可能很快就会变成防御性的姿态,浪费时间。毕竟,你可能会向上级要求所需的时间和预算,以修复锻炼发现的缺陷。
初始评估可以确定需要进行的更改。然后,是时候开始了。
攻击白板
最简单的红队蓝队练习只需要一张会议桌。将您的安全人员分成小组,花一个下午的时间讨论可能的攻击防御方案。成功的关键因素是红队能够进入攻击者的心态。
“红队是一个思维过程,”国际法学院的汤姆·安德森解释道。“让建立(安全系统)的人来做这件事的问题是,保护它符合他们的利益。”为了对抗利己主义和同质化,安德森和阿桑特创建了多元化的团队,来自INL的专家与他们所协助的公司的员工一起工作。
这并不是说你无法自己做,但至少试图像局外人一样重要。“许多时候我们开发安全系统时,要保持诚实的人诚实,”Assante解释道。攻击者将忽略不仅仅是规则;他或她将无视公司的规范。考虑你的攻击者可能是谁。发电厂可以由恐怖分子瞄准。银行按罪犯。任何人都被一个心怀不满的前雇员。它可能需要时间和精力,退回并像局外人一样查看系统,甚至是打算伤害的内幕。
桌面练习的一个值是它让玩家作为整体考虑系统。大多数不居室核材料的公司不太可能与武装部队袭击其建筑物的全面体育锻炼,但在开发白板攻击时非常重要。
“物理系统必须保护网络系统,网络系统也必须保护物理系统,”桑迪亚红队队长雷·帕克斯(Ray Parks)说。“设计物理安全系统的人告诉我的第一件事通常是,我们安全的支柱是千兆以太网。”(通过网络或物理攻击)破坏这个系统,物理访问控制系统就会突然失灵。
会议室锻炼对从未尝试过红色团队蓝队的公司尤其重要。“只是通过做桌面练习,你可以了解很多关于你的风险,”Assante说。
而且,尽管听起来很奇怪,保持假设提供了一个学习的机会,而真正的高端专业人士的网络攻击可能不会。基础设施保障与安全中心(Center for Infrastructure Assurance and Security)主任格雷格·b·怀特(Greg B. White)在最近的一篇论文中称,针对真正没有准备的目标的红队攻击“大致相当于新兵试图从一群精英准军事部队手中保卫一个设施”。最终,新兵会知道他们还没有准备好,但演习不会提供任何训练,让他们做好准备。”
桌面练习提供了反思和评估应对方案以及攻击的机会。然后想想可能的破坏意味着什么。
“最重要的结果是什么?”Assante说。“1000万美元的损失?监管风险?员工是否有风险?或客户?
红组网络
然而,一旦您修复了白板练习中发现的漏洞,实时的攻防练习可以提供一个全新的视角,但这不是一项可以轻松进行的活动。在某些情况下,可以在实时的公司网络上安全地演示漏洞,但对生产系统发起真正的攻击是不明智的。
Clem指出:“某些类型的系统几乎不应该进行实时渗透测试。当Clem与依赖SCADA(监督控制和数据采集)系统来维持工厂运转的公司合作时(这在发电和石油和天然气炼油厂等行业很常见),Clem的工作是测试网络,而不是连接到公司的过程控制。
阿桑特表示,在爱达荷国家实验室(Idaho National Labs),他的团队已经建立了针对客户的测试平台,模拟了该公司的真实网络,以便提供他所说的“便利的身临其境培训”。一些网络和安全人员试图保护网络,而另一些人则加入了阿桑特红队的同事们的攻击行动。
“这给了蓝队,防守者,信心,”阿萨兰特说。“这对红球队也非常有用。你在整个新光中看到漏洞。他们带来了训练”给他们的同事。
乔瓦尼·维尼亚(Giovanni Vigna)是加州大学圣巴巴拉分校计算机科学系计算机安全小组的副教授。他的大多数学生都去创业公司工作或担任安全顾问。每年秋季学期结束时,维尼亚都会举办一场夺旗比赛,这是一场复杂的红蓝两队的比赛,所有球队都要进攻和防守。这是一项非常受欢迎的活动,因此他将竞争扩大到其他大学;去年12月,来自四大洲36个团队的班级参加了比赛。
“如果你给了一个网站,你必须闯入它,这是一种令人难以置信的宝贵经历,”Vigna说。“你可以阅读关于PHP文件的包含以及如何解决问题,但是一旦您利用其中一个好东西,您就会了解发生了什么。”
红组用户
即使在国家实验室,员工也经常是安全计划中最薄弱的联系。但即使您不必担心员工将分类材料复制到家庭计算机上,也很重要,思考敌人如何利用员工行为中的弱点。
他们支持自动开门吗?点击来自陌生人的电子邮件附件?您可以对这些问题和类似问题进行测试。假设您有一个书面的安全政策,并且员工也知道它,那么您可能不想宣布一个红队演习,因为您的目标是确定正常行为的风险。阿桑特和安德森把USB设备放在办公大楼周围,看看是谁拿起它们,并把它们插到电脑上。他们还向员工发送了钓鱼邮件,看看谁会上钩。
与前面的练习一样,考虑这些操作的可能结果,以及如何使用练习提供训练。想想当用户点击垃圾邮件中的坏链接时可怕的蓝色警告屏幕。
清洗和重复的
如果你已经完成了所有这些东西,那么你可能对您的信息安全感到非常乐意,而且您应该感到非常好。但不是太久了。任何值得他或她的盐的CSO知道安全是一个移动的目标。坏人正在适应。更重要的是,您的网络正在发生变化。在所有可能性,您的员工基础也是如此。
桑迪亚的帕克斯回忆起拜访过一个客户,该客户在一个安全区域前安装了一个双陷阱门系统。然而,用来开门的徽章控制器安装在普通的公司办公室里,还与人力资源部的系统相连。其结果是,进入“安全”区域的权限由位于非安全区域的系统控制。徽章系统是为进入大楼而设计的。后来,政府强制使用了人夹双门系统,所以该公司只是扩展了现有的徽章刷卡系统。帕克斯说:“他们没有考虑到徽章系统不是为此设计的。”
红色团队帮助公司理解这类决策的意外后果,而不仅仅是在双门系统的公司。桑迪亚的红队发展了无线安全的专长,因为需要出现。
“许多人从一个有线网络迁移到无线网络假设它的工作完全相同,因为从他们的角度来看它确实相同,”帕克斯解释说。“他们没有意识到存在不同的特征,提供不同的攻击表面。”
“红队模式善于帮助客户理解相互依赖关系,”Clem说,他提倡在设计决策中引入红队思维。他希望他的客户思考,添加的功能如何影响安全性?如果我们这么做,坏人会怎么做?
了解更多关于这个主题的信息
这个故事,“红队,蓝队:如何运行一个有效的模拟”最初发表于方案 .