动态专区

首页 > 动态专区 > 正文

九维团队-紫队（优化）| 紫队剧本: 安全测试的威胁建模（八）

阅读量：次 文章来源：银河集团信息安全服务

写在前边

1. 本文原文为Felisha Mouchous于2020年发表的《Purple Team Playbook: Threat Modeling for Security Testing》，本文为译者对相关内容的翻译及实践记录，仅供各位学术交流使用。另出于易读性考虑，对部分字句有所删改。

2. 如各位需要引用，请做原文应用，格式如下所示：
[序号]Felisha Mouchous,‘Purple Team Playbook: Threat Modeling for Security Testing’, 2020.

3.因文章整体内容较长，完整内容将会在本公众号拆分为多篇内容分别发出。本文为该系列的第八篇。

往期内容请参见合集紫队剧本: 安全测试的威胁建模

六、紫队剧本讨论

在本节中，我们将讨论紫队剧本框架应用于安全测试场景时如何处理威胁建模中的问题，此外，我们还将讨论PTP框架和其他应用程序的局限性。

6.1 紫队剧本框架讨论

在对本文进行背景研究的同时，我们发现红队和蓝队缺乏可在其组织内部使用的威胁建模框架。紫队剧本通过提供一个框架来解决这一问题，该框架可用于为组织提供相关的攻击和防御数据。

PTP现在仍处于原型阶段，我们已经创建了框架的数据可视化部分，并模拟了框架所需的数据馈送和数据模型。PTP正在解决一个复杂的问题，即组织拥有许多安全工具，但无法访问集中知识库中的所有数据，因此可能无法完全了解需要测试的内容。

在一个组织中，使用这个框架需要一些时间和内部资源才能找到合适的数据源并将其输入紫队数据集。同时，自动化数据馈送会使数据维护成本减少。然后，相关团队可以访问这些数据，他们可以使用数据可视化工具以任何方式查看数据。PTP的主要目的是提供一个框架，供内部红蓝队使用，以确定需要测试的内容。

威胁建模的一个主要挑战是，模型很难维护，且取决于建模用户的能力。PTP框架不能取代专业的红队或蓝队测试人员的经验；然而，它可以提供一个集中的知识库，其中包含可用于安全测试建模的可靠数据。

我们承认，有一些工具具有类似的功能，但成本高昂，因为大多是商业工具。PTP可以被组织用作了解其安全数据的基础。如果一个组织决定购买安全测试或自动化工具，那么他们可以根据PTP做出更明智的决定。较小的组织可能无法证明商业工具成本的合理性，因此PTP为他们提供了参考。

安全测试的一个挑战是，在一个组织中，红队和蓝队之间存在脱节。PTP允许红队和蓝队访问彼此的数据，以便了解已测试的内容和需要测试的内容。这鼓励了创新，因为红队将知道攻击无法成功的原因，因此他们将研究和尝试新的攻击手段。这也有助于蓝队制定新的防御措施，如SIEM用例，这些用例将根据攻击者可能尝试的技术来识别行为。

PTP还允许用户俯瞰整个组织，以便他们判断漏洞的影响及其对资产的影响。例如，在一次测试中发现了一个web漏洞，我们可以使用PTP来了解组织的其他web应用程序以及它们是否受到影响。

PTP解决了STRIDE模型的一些问题，在该模型中，它被认为缺乏粒度，并且没有提供威胁缓解措施。PTP使用已建立的攻击库（如Mitre ATT&CK框架）提供所需的粒度级别，还提供缓解措施和跟踪数据，以了解组织是否已解决问题。

PTP应用程序查看器解决了攻击树面临的挑战，即攻击树可能变得无法管理。通过PTP中杀伤链或Mitre框架中映射的数据，用户可以清楚地了解已测试的内容以及组织中存在的风险。用户还可以使用PTP作为威胁建模工具（如Seaponge）的数据源。

根据PTES，渗透测试威胁建模没有推荐使用的现成的模型，因此PTP中的数据可以与其他模型互换使用。例如，它可以用于填充钻石模型的数据，通过在PTP中提供高质量的数据，分析师可以将这些数据使用于其他模型，可确保他们正在正确地识别威胁。

6.2 POC讨论

在前文中，我们研究了两种安全测试场景，并在测试的威胁建模阶段使用PTP框架。出于这些场景的目的，我们只查看了测试的威胁建模阶段，并使用数据可视化工具“Tableau”查看PTP数据。

在第一个测试场景中，我们进行了一个web应用程序的传统渗透测试，在这样的常规测试中，测试人员将使用他们自己储备的测试知识以及从相关业务人员处获得的数据。根据我们自己的经验，测试所需的相关数据将来源于不同的地方，例如之前的测试结果、资产数据和威胁数据。

此外，在传统的渗透测试中，蓝队通常不会参与，因此我们不知道应用程序的所有安全控制措施。PTP允许测试人员在集中知识库找到测试所需的所有相关数据，他们还可以查看蓝队数据，这增加了测试的价值。因为这是一个正常的渗透测试，所以目标更多的是确保应用程序是安全的，因此测试范围仅限于应用程序和支撑基础设施。

总的来说，我们认为PTP可以帮助传统的渗透测试，因为它为所有用户提供了一个集中的数据源，这应该确保每个用户在PTP中定义威胁时以一致的方式建模。

在第二个场景紫队测试中，我们遵循紫队测试流程。作为测试的一部分，红队和蓝队可以会面查看PTP，以了解哪些已经测试，哪些需要测试。在这个场景中，我们专门研究了APT用于进入金融机构的鱼叉钓鱼技术。

PTP提供了已经测试的数据以及已经有蓝队防御控制的相关数据，这定义了本次所需要的测试内容。我们发现，PTP还可以让我们了解用户点击网络钓鱼链接的内部威胁，因为我们可以存储网络钓鱼模拟数据。这为测试增加了价值，因为我们可以发现哪些技术有效，以及深刻了解如果有大量用户点击钓鱼电子邮件对组织的风险。我们在模拟测试时发现，关联内部数据可以让我们预测攻击者未来的行为。这些小型测试场景旨在展示PTP如何为普通渗透测试以及紫队测试增加价值。

在本文的威胁建模简介中，我们谈到了在威胁建模时让用户像攻击者一样思考的困难。PTP 可以通过测试攻击者技术来帮助红队和蓝队测试人员获得相关经验，随着时间的推移，他们将开始注意到行为模式。这应该有助于鼓励组织中的创新，因为测试人员可能会想到其他方法来攻击。这对组织有利，因为他们可以帮助在内部培训他们的测试人员，这样他们就不那么依赖第三方测试人员，并且组织会更好地检测到攻击行为。

6.3 限制

为了使 PTP 正常工作，需要有一种方法可靠地从现有系统中获取数据并确保数据格式正确。这会产生数据不兼容的问题。大型组织有许多数据源，因此可能无法从我们需要的每个来源或几乎所有来源获取数据。在这种情况下，需要做出决定，优先考虑某些数据源的重要性以及它将如何帮助PTP整体。

此外，某些系统可能会出现安全问题，因为需要适当识别和管理访问权限，因此需要关注谁可以访问 PTP 数据。用户访问蓝队数据也可能存在问题，组织希望将这些安全控制的知识仅限蓝队掌握，因为组织担心“内部”攻击者。为了使框架发挥作用，应该培养红队和蓝队之间的良好关系，以便他们之间建立信任。

此外，组织需要在执行层面参与框架建立，以确保有资金和时间来建立框架。有经验的人员还需要监督框架的设置，以确保获得正确的数据并将其转换为数据库，并且有足够的访问控制机制。

鉴于我们只测试了PTP的概念验证版本，这并不能真实地说明该框架将如何在真正的组织中实施。我们在POC中使用了有限数量的模拟数据，PTP还需要在真实组织中作为POC进行测试，以了解框架的限制在哪里，以及是否需要对框架进行更改。

当然，每个组织的工作方式都不同，因此PTP可以作为一个指南，以实现紫队威胁建模的目标。就PTP的有效性而言，我们承认剧本中可能有太多的信息，这可能会让用户信息过载。在使用攻击库时也是如此，因此有必要仔细使用剧本中需要的数据建模。

我们发现有许多论文涉及威胁建模和自动化安全测试，PTP可以从自动化的紫队活动的安全测试部分中受益。例如，一个组织可以购买一个自动化工具，使其能够进行紫队测试，并将PTP用作定义测试的数据源。

6.4 其他应用程序

PTP可以用于其他目的，而不仅仅是安全测试。它可以用于教育目的，例如红队和蓝队培训。开放式攻防平台为模拟网络攻防实战提供了一个开源平台。PTP可以为该平台提供数据，以便在该平台中模拟蓝队的用户可以获得有关环境当前状态的一些信息。

从本质上讲，这将是一个剧本，他们可以在模拟攻防实战时使用、参考来重新强化自己的学习。它还可以用于培训新员工，因为当他们查看PTP，可以很好地了解组织面临的威胁和攻击者技术的信息。

PTP中的数据也可用于识别风险领域，例如，它可以显示员工的各种属性。这可用于识别高风险员工，例如，如果他们具有访问关键系统的高权限，则需要特别注意他们的密码合规性，或者查看他们是否接受了最新的安全培训。如果组织希望将某些安全流程自动化，也可以使用它来帮助组织。我们研究了一些安全测试工具，例如，PTP数据可以被输入到“Vectr”工具或“Caldera”工具中，用以自动化测试。

七、结论和未来的工作

在本节中，我们将评估如何实现本文一开始设定的目标，我们还将研究未来工作。

7.1 结论

在本文中，我们开始探索当前的威胁建模方法和工具，以及威胁建模和安全测试之间的关系。我们发现，没有推荐的安全测试模型，完全取决于组织使用哪个模型来确定其威胁。在我们的研究过程中，我们还发现在紫队和威胁建模领域没有很多学术研究。这是一个组织中的红队和蓝队合作测试其系统的方法。

因此，我们着手设计一个紫队剧本框架，该框架利用组织现有数据进行安全测试。由于组织可以使用任何模型和工具进行威胁建模，因此我们必须建立一个包含有效建模所需所有数据的框架。此外，通过利用现有数据，从长远来看，这可以提高成本效益。

在本文中，我们还研究了PTP在传统渗透测试和紫队测试中的帮助。我们发现，通过拥有这个集中的知识库，我们能够很容易地发现测试中的差距，并了解我们的防御措施目前的程度。我们还可以以更有效的方式将数据与其他数据源关联起来，例如通过使用员工网络钓鱼培训记录来了解网络钓鱼攻击风险的影响。PTP需要在一个真实的组织中作为POC进行测试，以便我们充分了解它将带来的好处，以及是否需要进行优化。

我们已经实现了我们在本文开始时的目标，即让组织中的红队和蓝队一起工作。正如我们在介绍中所讨论的，我们面临的威胁在不断演变，组织很难跟上攻击者的所有技术和战术。

通过允许两个团队共享数据，我们相信这也鼓励了创新，因为员工将能够找到新的方法来尝试和规避防御，并提出新的防御能力。这只会使组织受益，因为他们需要员工像攻击者一样积极主动，以便保护组织免受攻击者的侵害。我们还介绍了组织可以用来了解其威胁的威胁模型和工具。我们的 PTP 框架补充了这些工具和模型，并为用户提供数据，以便进行威胁建模。

7.2 未来的工作

我们打算在实际组织中实施PTP，以提高安全测试能力。通过使用 PTP 框架设计，目标是确定我们需要的适当数据，并将 PTP 用作正常测试过程的一部分。这将有助于我们在组织中建立内部紫队能力，并将帮助我们提高进攻和防御能力。如本文所述，我们可以使用 PTP 作为理解安全数据的基础。

在本文中，我们创建了PTP查看器，为用户提供一个易于使用的应用程序，他们可以使用它来代替数据可视化工具。还可以将本文中讨论的威胁建模工具应用于我们的安全测试计划。PTP 的应用程序视图将通过在杀伤链视图中显示数据来帮助我们将测试结果传达给技术水平较低的用户。我们希望将PTP 框架和查看器应用程序用于教育目的，例如培训新员工，以及帮助现有员工建立有关攻击者技术的相关知识。

（完）