看得見的波浪可以預防,可看不見的暗流如何避險呢?
如果說漏洞掃描是拿著望遠鏡在發現海平面上即將拍打而來的波浪,那么更近一步通過模擬攻擊進行漏洞的挖掘與評價便是讓我們看見海平面下存在的暗流。由此誕生的通過攻擊者視角對自身系統進行滲透測試(以下僅指黑盒)發現存在的漏洞是業內公認知曉自身網絡漏洞的最佳方法之一。
基于滲透測試不僅可以發現如業務邏輯這類機器不易識別的漏洞,還可以針對性的模擬黑客的攻擊策略發現潛在的弱點,而通常導致企業系統安全崩塌的也正是這些看不見的“暗流”。
自動化滲透測試需求的誕生
滲透測試的核心是利用各種測試工具和自身對于業務系統的理解與判斷,分析業務系統中可能存在的安全漏洞和業務邏輯缺陷,并嘗試利用來評估其安全性。由于主體是人以提供安全服務的方式進行,不可避免會產生一些問題:依賴知識經驗——滲透測試工程師對于工具的應用熟練度、攻擊手段和經驗積累、漏洞的利用方式等都是滲透是否成功的關鍵。因而,滲透測試工程師水平的參差不齊導致單次的滲透并不能總是達到預期的效果。覆蓋度比較低——安全廠商通常以服務的方式提供滲透測試,由于高昂的費用和時間成本,通常滲透測試僅針對關鍵主站進行,無法覆蓋所有的暴露面,給安全留下了較大的隱患。人的缺陷——安全最脆弱的地方在于人,人無法持續工作,且效率與狀態息息相關,并且無法對他們所有的行為進行實時監控。而測試人員也會希望利用已經抓到的漏洞進一步深挖來實現工作成果,這也導致了測試人員本身在測試出相關漏洞且具備一定的權限時,會出現自身能力和約束力失衡的局面。為了解決此類問題,同時又要保持滲透測試的優點,自然而然也就誕生了能否通過機器進行自動化滲透測試的需求。
在國際上,自動化滲透測試需求通常會被演化為兩類產品,一類是針對滲透測試中的專項環節的漏洞掃描與評估工具,如Nessus、Burp Suite、SQLmap;另一類是具備綜合能力的滲透測試框架工具,如Kali Linux、Metasploit。兩者的共性是將滲透測試工作中可重復、可標準化的部分工作進行自動化,而流程化的內容通過工具降低工作的復雜度。一方面是彌補滲透測試對于人工滲透的依賴,另一方面也是希望滲透測試盡可能的自動化,但不會因為工具的瓶頸抑制了人的滲透思路,保障滲透測試具有足夠的天花板。
所以自動化滲透的需求雖然存在,但由于滲透測試自身的復雜性,很難將其轉化成完全自動化的產品。即便如此,滲透測試自動化的需求就是天方夜談了嗎?其實不然。
模擬攻擊檢測技術(BAS)初探
自動化滲透需求之所以會變成工具化、專項化,原因就在于滲透測試是面向未知對象探索的過程。而自動化本身是對已知的處置流程進行標準化,兩者本身存在一定的沖突。但求同存異,兩者也可以發生化學反應。如果將滲透測試中已知到已知的部分進行提取和判定并進行自動化,這便是模擬攻擊測試技術(BAS)。如果說自動化滲透測試是純粹站在攻擊視角,以挖掘系統中漏洞為目的,那模擬攻擊測試技術(BAS)則是同時站在攻防的視角下,以評價攻擊和漏洞挖掘的過程是否會被安全防御系統阻斷為目的。模擬攻擊測試技術(BAS)以紫隊的視角進行面向過程+結果的綜合性安全評價。紫色團隊不是永久的;它具有監督和優化紅藍團隊演練的臨時功能。它通常由組織內的安全分析師或高級安全人員組成。 如果紅隊和藍隊運作良好,紫隊可能會變得多余。它更像是一個概念而不是一個功能,像是推動紅隊測試和瞄準藍隊防御和檢測能力的推手。
紫隊的目標和職責包括:
l 分析紅藍兩隊的工作并記錄,同時也支持任意切換姿態評價攻擊或防守的有效性。
l 進行紅藍工作的協同,分析記錄過程和輸出結果,以得到最大價值。 l 綜合紅藍工作,通過嘗試與學習改進確保更強大的防御
通過模擬攻擊測試(BAS)將漏洞檢測、漏洞利用、攻擊請求、攻擊目的判定等多種過程的自動化及結果串聯,實現對手模擬計劃以加強漏洞預防和檢測。模擬攻擊測試(BAS)不僅針對可能存在的漏洞進行檢測和挖掘,同時對漏洞進行進一步的利用與影響擴散,實現攻擊鏈的完整閉環,進而全面繪制企業IT系統弱點和安全防御弱點。
下一代的風險評估
模擬攻擊測試技術(BAS)的出現也會一定程度上影響當前的風險評估市場。傳統“資產+漏洞”的評估路線將向“資產+漏洞+防御+影響評價”進行演進。提到這就不得不說到MITRE公司,他所提出的ATT&CK框架和Shield框架,本身就是攻防一一對應的關系,也就是模擬攻擊測試技術(BAS)的落地實踐。而攻擊框架+防御框架+安全能力成熟度模型,就是下一代風險評估的必然趨勢。
圖 ATT&CK
圖 Shield
華云安將多年沉淀的安全風險知識圖譜賦能“靈刃·智能化滲透攻防系統(Ai·Bot)”,利用人工智能技術,以評價漏洞的影響和模擬復現攻擊者路徑為目的,打造基于KillChain框架的智能化攻擊面挖掘產品,幫助企業梳理內部的風險攻擊面,找到網絡架構的脆弱點。靈刃內置5大引擎,NLP處理引擎、知識圖譜引擎、路徑決策引擎、風險評估引擎、Exp/PoC執行引擎,基于平臺大腦完成評價建模和過程決策,最終將攻擊鏈路可視化,讓管理者真實感知網絡安全狀況,提供有利的決策依據。
走完最后一公里路——傳統和新一代的漏洞掃描分別完成了漏洞的識別和漏洞的驗證。然而在業務部門與安全部門割裂的現實場景中,業務部門需要了解漏洞對系統的真實影響以便決策。靈刃針對漏洞在系統的業務影響進行評價,具象化漏洞影響價值,進一步走完了將安全漏洞提交給業務部門的最后一公里路
看清水面下的暗流——利用平臺的決策和風險評估引擎作為大腦,靈刃可梳理漏洞可利用數據,還能明確資產間的應用關聯關系,從而將漏洞風險打通,構造完整的利用鏈路,并將攻擊路徑可視化,幫助企業看到完整的攻擊過程和內網失陷情況。
單線檢測到樹形決策——靈刃不僅可以檢測更深層的漏洞,同時支持迭代攻擊驗證的方式,對可利用的漏洞價值進行梳理。基于AI決策引擎和知識圖譜技術,將傳統指紋匹配->PoC驗證->Exp利用的線性決策升級為樹狀決策路徑,滿足更復雜的網絡環境和漏洞利用情況
目標導向可控檢測——作為攻擊面檢測與挖掘工具,行為的可控性最為關鍵。靈刃具備精細化的行為及目標進行配置,并對完整評價過程實時呈現,必要時可立刻終止任務或基于日志審計所有測試行為,達到“指哪打哪,掛圖作戰”的效果
圖 靈鑒價值示意
