本文的內(nèi)容參閱了奧克利博士（Dr. Jacob G. Oakley）的著作《Conducting Successful Cybersecurity Engagements:Professional Red Teaming》一書(shū)，筆者會(huì)分享本書(shū)中部分章節(jié)中的重點(diǎn)內(nèi)容以及學(xué)習(xí)筆記，希望能幫到更多的人。

在本章中，作者主要闡述了當(dāng)前在學(xué)術(shù)界和工業(yè)界對(duì)實(shí)現(xiàn)紅隊(duì)自動(dòng)化的研究思路，方法和工具。并討論了實(shí)現(xiàn)紅隊(duì)自動(dòng)化的必要性以及相關(guān)方法，工具的弊端。

人類(lèi)黑客演練還是自動(dòng)化？

盡管在上一章的篇幅里，我們確實(shí)鞏固了紅隊(duì)的目的，但對(duì)于人類(lèi)黑客而言，這并不能令人滿(mǎn)意。在企業(yè)組織內(nèi)部定期開(kāi)展紅藍(lán)演練工作，相信大部分主導(dǎo)者都希望能夠?qū)崿F(xiàn)自動(dòng)化，畢竟每次都靠“人肉”發(fā)起演練是一件很耗時(shí)且耗人精力的事情。但如我們所看到的，完成紅藍(lán)演練是一項(xiàng)艱巨的任務(wù)，并且其成本往往是昂貴的。 學(xué)術(shù)界和工業(yè)界都試圖用各種工具和技術(shù)來(lái)實(shí)現(xiàn)自動(dòng)化或替代人類(lèi)黑客。 還有一些新出現(xiàn)的安全服務(wù)，目的是為了替代紅隊(duì)所能提供的的好處，但這些服務(wù)對(duì)人員的要求也各不相同。 閱讀完本章后，毫無(wú)疑問(wèn)，你會(huì)明白為什么人類(lèi)黑客會(huì)成為倒數(shù)第二個(gè)實(shí)現(xiàn)自動(dòng)化紅藍(lán)演練的解決方案，為什么尋找各種類(lèi)型的安全人員并不會(huì)像紅隊(duì)那樣提供主動(dòng)的緩解措施。

論紅隊(duì)的創(chuàng)新與自動(dòng)化

在沒(méi)有人類(lèi)黑客的情況下，對(duì)紅隊(duì)流程的創(chuàng)新動(dòng)機(jī)受到了多個(gè)方面的支持。 這些趨勢(shì)主要集中在加快評(píng)估，使評(píng)估更容易獲得或在某些情況下用更易于實(shí)施的服務(wù)代替紅隊(duì)。 以下是對(duì)學(xué)術(shù)界和工業(yè)界提出的替代道德黑客的建議的分析。 由此產(chǎn)生的對(duì)此類(lèi)解決方案的理解很好地表明了道德黑客（注：本書(shū)作者在前幾章中已經(jīng)多次強(qiáng)調(diào)，紅藍(lán)演練中的紅隊(duì)人員必須由道德黑客組成）為何極為重要并且將繼續(xù)存在。 關(guān)于紅隊(duì)創(chuàng)新的最大工作是學(xué)術(shù)界提出的。在某些情況下，此類(lèi)學(xué)術(shù)工作將自己標(biāo)記為滲透測(cè)試，而把其他的工作標(biāo)記為紅隊(duì)。同樣，出于本書(shū)的目的，所有這些攻擊性的安全能力在本質(zhì)上都是可以互換的。在期刊和論文等學(xué)術(shù)論壇中，大部分工作都集中在使用技術(shù)實(shí)現(xiàn)紅隊(duì)攻擊的自動(dòng)化，而不是對(duì)人類(lèi)黑客開(kāi)展紅隊(duì)工作的攻擊性安全流程進(jìn)行創(chuàng)新。原因可能是極少有學(xué)者是經(jīng)驗(yàn)豐富的安全專(zhuān)家，特別網(wǎng)絡(luò)攻擊經(jīng)驗(yàn)，或者更準(zhǔn)確地說(shuō)，大多數(shù)有著豐富的網(wǎng)絡(luò)攻擊經(jīng)驗(yàn)的安全專(zhuān)家在學(xué)術(shù)方面沒(méi)有太多的努力。所以，這意味著學(xué)術(shù)研究者和具備安全攻擊經(jīng)驗(yàn)的人之間存在很大的“gap”，他們不太可能會(huì)以執(zhí)行者的角度對(duì)紅隊(duì)遇到的問(wèn)題和挑戰(zhàn)有實(shí)際的了解，也無(wú)法切實(shí)地改善流程和方法。圍繞道德黑客諜報(bào)技術(shù)的學(xué)術(shù)創(chuàng)新進(jìn)一步復(fù)雜化，學(xué)術(shù)工作也必須努力做到辯護(hù)。學(xué)術(shù)人員會(huì)尋找可行的測(cè)試方法來(lái)測(cè)試像紅隊(duì)的諜報(bào)技術(shù)、評(píng)估和環(huán)境這些會(huì)受到“人為”因素影響的東西，即使不是一件幾乎不可能的事情，這樣的做法也可能會(huì)令人生畏。因此，學(xué)術(shù)方面對(duì)紅隊(duì)的研究重點(diǎn)主要集中在自動(dòng)化技術(shù)和攻擊模型方面，這些模型可以反復(fù)進(jìn)行防御性測(cè)試，而無(wú)需有經(jīng)驗(yàn)的或昂貴的紅隊(duì)從業(yè)者參與，也無(wú)需紅隊(duì)人員進(jìn)行實(shí)際的參與。 由此產(chǎn)生的技術(shù)大致分為三類(lèi)：既不利用漏洞或不進(jìn)行移動(dòng)滲透主機(jī)操作的技術(shù)、利用漏洞但不進(jìn)行移動(dòng)滲透主機(jī)操作的技術(shù)以及打算同時(shí)進(jìn)行這兩種操作的技術(shù)。所有這些技術(shù)都有其自身的優(yōu)點(diǎn)和缺點(diǎn)，就像實(shí)現(xiàn)整個(gè)自動(dòng)化一樣。這并不意味著這樣的解決方案不可用。這也不意味著它們已足以取代人類(lèi)道德黑客。

建模技術(shù)

不利用漏洞或不從一個(gè)目標(biāo)滲透到另一個(gè)目標(biāo)的技術(shù)聽(tīng)起來(lái)根本就不像是紅隊(duì)，但我認(rèn)為，在學(xué)術(shù)上提出的自動(dòng)化技術(shù)中，這些是最有可能以一種積極的方式影響紅藍(lán)演練的技術(shù)。理解此類(lèi)技術(shù)試圖實(shí)現(xiàn)的目標(biāo)的關(guān)鍵是“建模”一詞。為企業(yè)組織中潛在的目標(biāo)主機(jī)之間的關(guān)系進(jìn)行建模的技術(shù)必將導(dǎo)致在紅藍(lán)演練期間，紅隊(duì)可以極高效的獲知哪一臺(tái)主機(jī)是他們的攻擊目標(biāo)。圖2-1顯示了這樣的一個(gè)示例，其中主機(jī)A為初始感染者，主機(jī)G為最差傳播者。

 圖2-1：簡(jiǎn)化的建模結(jié)果

在學(xué)術(shù)研究人員的這些模型之一中，模型所需的信息主要來(lái)自企業(yè)組織內(nèi)的目標(biāo)主機(jī)的信息（例如，開(kāi)放端口，IP地址，網(wǎng)絡(luò)布局，已安裝的軟件等），這些主機(jī)的信息會(huì)被饋送到自動(dòng)化模型中。然后，通過(guò)將輸入數(shù)據(jù)與已知的漏洞利用數(shù)據(jù)庫(kù)進(jìn)行比較，運(yùn)行模型以提供潛在或可能的攻擊路徑和主機(jī)滲透移動(dòng)途徑。

不同的學(xué)術(shù)作者針對(duì)其路徑和漏洞利用如何發(fā)生以及哪些主機(jī)或系統(tǒng)處于給定的風(fēng)險(xiǎn)水平，采用了自己獨(dú)特的邏輯或算法提出了不同的研究和技術(shù)。這些想法之間的相同之處在于，它們依靠某種定義的方法作用于某種形式的輸入，最后生成安全團(tuán)隊(duì)可以隨后關(guān)注的潛在鏈接矩陣。

正如學(xué)術(shù)研究人員所暗示的那樣，使用這些技術(shù)代替人類(lèi)黑客開(kāi)展紅藍(lán)演練存在一些明顯的問(wèn)題。這些模型在實(shí)驗(yàn)室環(huán)境中運(yùn)行的非常出色。如果提供結(jié)構(gòu)相似的數(shù)據(jù)并針對(duì)最新的漏洞數(shù)據(jù)運(yùn)行，則這些模型實(shí)際上可以產(chǎn)出可行的漏洞利用路徑和風(fēng)險(xiǎn)點(diǎn)，但僅針對(duì)數(shù)據(jù)所代表的快照情況。該快照取決于從目標(biāo)收集數(shù)據(jù)的時(shí)間以及漏洞數(shù)據(jù)庫(kù)的最新更新時(shí)間。如果算法運(yùn)行后某個(gè)主機(jī)上的某個(gè)端口發(fā)生了更改，則模型產(chǎn)出的結(jié)果可能非常不準(zhǔn)確，并且一個(gè)新的武器化的漏洞可能會(huì)完全改變模型的結(jié)果。

我無(wú)法想象在現(xiàn)實(shí)世界中會(huì)存在這樣的應(yīng)用程序，因?yàn)槲覀冚斎虢o算法的信息不可能完整而準(zhǔn)確的表示整個(gè)企業(yè)組織的情況。將人類(lèi)用戶(hù)和管理員放入到不斷影響變量的組合中，似乎不可能在實(shí)驗(yàn)室或類(lèi)似實(shí)驗(yàn)室的環(huán)境之外利用數(shù)據(jù)。盡管這種技術(shù)顯然無(wú)法取代人類(lèi)黑客，但為攻擊者提供一些分析目標(biāo)的快速方法無(wú)疑是該技術(shù)的亮點(diǎn)。

既不利用漏洞也不移動(dòng)滲透主機(jī)的技術(shù)

與建模技術(shù)實(shí)現(xiàn)自動(dòng)化的思路相反，我們對(duì)進(jìn)攻性安全世界有了更熟悉的知識(shí)——漏洞識(shí)別和利用——但仍未在已經(jīng)入侵的系統(tǒng)或組織內(nèi)部進(jìn)行深入研究（圖2-2）。

圖2-2：既不利用漏洞也不滲透主機(jī)的技術(shù)

學(xué)術(shù)界中的這類(lèi)技術(shù)研究確實(shí)有各種各樣的目標(biāo)。從純粹專(zhuān)注于特定類(lèi)型的軟件（例如數(shù)據(jù)庫(kù)或網(wǎng)頁(yè)）的技術(shù)到自動(dòng)嘗試對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行表層漏洞評(píng)估。

這些技術(shù)是一種不需要道德黑客參與的解決方案。精通信息技術(shù)（IT）的人員完全可以在網(wǎng)上下載漏洞利用工具，填寫(xiě)好他們想要執(zhí)行安全評(píng)估的目標(biāo)，然后點(diǎn)擊“執(zhí)行”。此類(lèi)別中的一些工具試圖反復(fù)繞過(guò)安全機(jī)制，并對(duì)數(shù)據(jù)庫(kù)或網(wǎng)頁(yè)執(zhí)行漏洞利用，然后將發(fā)現(xiàn)的漏洞報(bào)告給使用該工具的人員。其他技術(shù)還包括自動(dòng)掃描技術(shù)，該技術(shù)能夠評(píng)估執(zhí)行位置范圍內(nèi)的任何內(nèi)容。

在替代紅隊(duì)的技術(shù)方面，有一種技術(shù)操作起來(lái)并不是很痛苦，那就是執(zhí)行漏洞掃描程序。在學(xué)術(shù)界內(nèi)，漏洞掃描程序被許多學(xué)術(shù)人員當(dāng)作自動(dòng)化實(shí)現(xiàn)紅隊(duì)的技術(shù)。只進(jìn)行漏洞掃描的問(wèn)題具有兩面性。首先，它不代表對(duì)企業(yè)組織發(fā)起實(shí)際攻擊，甚至不模仿實(shí)際攻擊的效果。其次，它僅評(píng)估從執(zhí)行點(diǎn)到目標(biāo)主機(jī)的漏洞，這可能使網(wǎng)絡(luò)環(huán)境中的很多攻擊面都未被評(píng)估到。

這一類(lèi)別中最好的解決方案是那些分發(fā)到網(wǎng)絡(luò)中的所有終端的解決方案。盡管這不能代表攻擊或其影響，但是這些解決方案確實(shí)可以對(duì)部署環(huán)境進(jìn)行深入評(píng)估。其中的一些技術(shù)是安裝在CD或USB驅(qū)動(dòng)器上的小型操作系統(tǒng)，因此可以在網(wǎng)絡(luò)上進(jìn)行物理移動(dòng)以便從不同角度收集漏洞詳細(xì)信息；有些更像是跨多個(gè)系統(tǒng)安裝的分布式端點(diǎn)安全產(chǎn)品。即使是這些系統(tǒng)也很少真正受到攻擊者攻擊，而且它們都沒(méi)有試圖利用某個(gè)已經(jīng)被攻破的系統(tǒng)或應(yīng)用程序以真實(shí)的攻擊來(lái)進(jìn)一步傳播。

除了為實(shí)現(xiàn)這種方法所做的學(xué)術(shù)努力之外，還有一些這類(lèi)的行業(yè)案例。Offensive Security 提供了db-autopwn 自動(dòng)利用工具。同樣，其他付費(fèi)安全框架也具備自動(dòng)執(zhí)行漏洞利用選項(xiàng)，通常都是依賴(lài) db-autopwn 或在其上進(jìn)行模仿和構(gòu)建。這些技術(shù)提供了在掃描主機(jī)后對(duì)主機(jī)執(zhí)行漏洞利用的其他功能，但是在攻破主機(jī)后仍然沒(méi)有進(jìn)行移動(dòng)滲透主機(jī)操作（圖2-3）。

圖2-3：利用漏洞但不移動(dòng)滲透主機(jī)；

既利用漏洞又移動(dòng)滲透主機(jī)的技術(shù)

此類(lèi)技術(shù)嘗試執(zhí)行漏洞利用，然后利用通過(guò)漏洞利用獲得的訪問(wèn)權(quán)限來(lái)自動(dòng)掃描并轉(zhuǎn)移到其他計(jì)算機(jī)。聽(tīng)起來(lái)是不是很像蠕蟲(chóng)？，那是因?yàn)樗旧砭褪侨湎x(chóng)。相信有些讀者也見(jiàn)過(guò)此類(lèi)安全工具。這些技術(shù)依賴(lài)于前兩類(lèi)學(xué)術(shù)方面建議的紅隊(duì)替換工具中的概念。他們需要漏洞評(píng)估功能以及關(guān)系建模功能。這些概念的結(jié)合使第三種技術(shù)可以識(shí)別漏洞，并利用識(shí)別到的漏洞來(lái)訪問(wèn)系統(tǒng)，然后從新確定的角度繼續(xù)進(jìn)行漏洞評(píng)估——所有這些都是以一種自動(dòng)化的方式進(jìn)行的，這種方式由基于選擇的攻擊建模的關(guān)系目標(biāo)邏輯驅(qū)動(dòng)（圖2-4）。

這些類(lèi)型的工具的功能在很大程度上依賴(lài)于用于識(shí)別的漏洞以及在整個(gè)網(wǎng)絡(luò)中傳播方式的算法。這些工具的危險(xiǎn)性就在于它們的行為像自動(dòng)蠕蟲(chóng)一樣，如果配置不當(dāng)或未正確監(jiān)控，則可能會(huì)對(duì)所評(píng)估的系統(tǒng)造成實(shí)際的危害或系統(tǒng)性能下降。事情可能會(huì)出差錯(cuò)的可怕情況有上百萬(wàn)種，而且可能有同樣多的解決方案可以使用內(nèi)置的邏輯來(lái)避免它們。但是，你在自動(dòng)化利用框架的決策矩陣中建立的邏輯越多，它就會(huì)變得越麻煩，并且越依賴(lài)于人工干預(yù)。這些技術(shù)中的這種依賴(lài)會(huì)很快超過(guò)它們所提供的好處，因?yàn)樗鼈冃枰^(guò)多的看護(hù)或使用過(guò)多的計(jì)算資源，因此無(wú)法提供比道德黑客更大的成本效益。

就紅隊(duì)的創(chuàng)新而言，這第三類(lèi)工具——既利用漏洞又移動(dòng)滲透主機(jī)——讓紅隊(duì)在競(jìng)爭(zhēng)中牢牢地領(lǐng)先，通過(guò)使用自動(dòng)化來(lái)取代真正的人類(lèi)黑客。這就是我在闡述需要有道德的人類(lèi)黑客時(shí)重點(diǎn)分解的能力類(lèi)型。

本文由作者“絲綢之路”整理發(fā)布，如若轉(zhuǎn)載，請(qǐng)注明原文地址