在本章節(jié)中，作者提出了一種獨(dú)特的安全評(píng)估模型——CAPTR。這一評(píng)估模型的主要思路就是分層思維，先圈定出組織中最為重要的資產(chǎn)然后從這些資產(chǎn)出發(fā)反向推理到外網(wǎng)，從而找到 APT 攻擊的路徑。

　　反紅隊(duì)（CAPTR teaming）是我在就讀博士期間的研究和論文中提出、設(shè)計(jì)和評(píng)價(jià)的一種逆向紅隊(duì)方法。如前幾章所述，紅隊(duì)在適當(dāng)?shù)啬７虏⑦m當(dāng)?shù)鼐徑飧呒?jí)持續(xù)威脅方面處于極大的劣勢(shì)。當(dāng)我們談到紅隊(duì)演練時(shí)，模擬 APT 攻擊尤其成為一種特殊的挑戰(zhàn)，即使是最有天賦的進(jìn)攻性安全專業(yè)人員也會(huì)面臨這種挑戰(zhàn)。另外，即使一個(gè)道德黑客和一個(gè)惡意黑客的技能處于一個(gè)公平的競(jìng)爭(zhēng)環(huán)境中，現(xiàn)代的攻擊性安全狀態(tài)幾乎在各個(gè)方面都傾向于實(shí)際的攻擊者而不是模擬的攻擊者。為了試圖解決這個(gè)問題，我最終提出了一種進(jìn)攻性的安全評(píng)估方法，盡管受到APT挑戰(zhàn)的推動(dòng)，但與傳統(tǒng)的紅隊(duì)相比，這種方法在許多方面都是有益的。

　　在安全行業(yè)中，紅隊(duì)或滲透測(cè)試被廣泛接受，甚至在組織的更大的安全機(jī)構(gòu)中被有所期待。許多人甚至要求進(jìn)行某種形式的攻擊性安全活動(dòng)，以驗(yàn)證和核實(shí)其他信息安全技術(shù)和活動(dòng)。紅藍(lán)演練作為整個(gè)信息安全的必要機(jī)制，也很不幸的產(chǎn)生了副產(chǎn)品，許多人尋求紅隊(duì)或滲透測(cè)試，并需要對(duì)時(shí)間和資源的影響盡可能??；客戶組織要求用很少的資源進(jìn)行短時(shí)間的演練，以嘗試滿足任何要求攻擊性安全實(shí)踐的需求。

　　我的目標(biāo)是通過對(duì)典型的紅隊(duì)流程進(jìn)行完善來解決這些問題。真正聰明的攻擊者不遵守任何規(guī)則，除了那些推動(dòng)他們達(dá)成攻擊目標(biāo)的人。攻擊者欺騙、利用漏洞并不惜一切代價(jià)破壞其目標(biāo)。為什么道德黑客不應(yīng)該欺騙正常程序來緩解APT呢？顯然，在追求演練范圍時(shí)，我們?nèi)匀槐仨氉裱璕OE，并且在此過程中不違反任何法律。然而，如果我們能夠以一種有利于我們的方式來欺騙典型的演練過程，并且仍然提供攻擊性安全評(píng)估的所有好處，那么欺騙當(dāng)然值得考慮。如果組織打算在極短的評(píng)估窗口內(nèi)節(jié)省時(shí)間和資源，我們應(yīng)致力于為他們提供一種評(píng)估方法，以便在這種受限的評(píng)估環(huán)境中進(jìn)行高效和有效的評(píng)估。這一需求促使我開發(fā)了一個(gè)紅隊(duì)流程，通過逆向和改變紅隊(duì)活動(dòng)，在極度受限的評(píng)估中應(yīng)對(duì)高級(jí)威脅。在這一章中，我將闡述 CAPTR，和我的創(chuàng)造這一思路的動(dòng)機(jī)和靈感，并對(duì)比了它與紅隊(duì)的優(yōu)勢(shì)和一般劣勢(shì)。

　　反紅隊(duì)（CAPTR）

　　最初，我的目標(biāo)是為 APT 在特定組織中出現(xiàn)攻擊可能導(dǎo)致的致命受損情況提供保護(hù)。致命的受損情況是指導(dǎo)致人類死亡或?qū)е陆M織停止運(yùn)轉(zhuǎn)或無法按預(yù)期運(yùn)行的攻擊。我認(rèn)為，保護(hù)這些目標(biāo)不受APT攻擊是一種值得組織自身不斷強(qiáng)化評(píng)估過程的能力。致命的受損情況可能是失去對(duì)SCADA設(shè)備的控制，從而導(dǎo)致裝配線工人的死亡、核電廠熔毀，或?qū)е卤还艉蟪霈F(xiàn)數(shù)據(jù)丟失或泄露，從而造成不可估量的影響，以至于組織基本上走向死亡。在設(shè)計(jì)一個(gè)能夠有效地解決此類攻擊以緩解APT威脅的流程時(shí)，我提出了CAPTR（反紅隊(duì)）的概念。我還發(fā)現(xiàn)，盡管專門針對(duì)關(guān)鍵攻擊的緩解進(jìn)行了調(diào)整，但它在許多其他方面都是有益的，值得納入總體進(jìn)攻性安全實(shí)踐。事實(shí)上，CAPTR 本質(zhì)上是以極其高效和有效的方式對(duì)組織的一個(gè)子集進(jìn)行優(yōu)先評(píng)估，這意味著它有助于應(yīng)對(duì)APT威脅，并有助于為不太可能成為APT目標(biāo)但希望對(duì)目標(biāo)資產(chǎn)進(jìn)行重點(diǎn)評(píng)估的組織成功開展工作。這可能是一個(gè)新的應(yīng)用程序、數(shù)據(jù)中心、業(yè)務(wù)部門、收購或其他需要快速有效的攻擊性安全評(píng)估的特定范圍。

　　攻擊性安全評(píng)估人員應(yīng)盡最大努力超越競(jìng)爭(zhēng)對(duì)手。惡意攻擊者和傳統(tǒng)威脅模擬器都會(huì)花費(fèi)大量時(shí)間和精力攻擊整個(gè)組織，以搜索有價(jià)值的機(jī)器和數(shù)據(jù)。安全評(píng)估人員應(yīng)利用許多技術(shù)和運(yùn)營(yíng)資源，確定并優(yōu)先評(píng)估這些關(guān)鍵項(xiàng)。攻擊性安全評(píng)估人員應(yīng)該從相對(duì)較高的位置開始活動(dòng)，并從高風(fēng)險(xiǎn)項(xiàng)開始評(píng)估，而不是在前往這些項(xiàng)目的路上浪費(fèi)時(shí)間。正是本著這種精神，CAPTR 將作戰(zhàn)優(yōu)勢(shì)從APT轉(zhuǎn)移到檢測(cè)和預(yù)防上。CAPTR 是一種攻擊性安全評(píng)估模型，它實(shí)現(xiàn)了三種新的評(píng)估屬性：

　　1、最壞情況風(fēng)險(xiǎn)分析，以確定范圍

　　2、關(guān)鍵攻擊初始化視角

　　3、使用反向跳板鏈進(jìn)行漏洞分析和攻擊

　　最壞情況風(fēng)險(xiǎn)分析和范圍界定

　　CAPTR 與組織中的運(yùn)營(yíng)和安全人員合作，以確定評(píng)估的適當(dāng)范圍。CAPTR 范圍是對(duì)關(guān)鍵項(xiàng)進(jìn)行優(yōu)先排序，這些關(guān)鍵項(xiàng)在受到攻擊時(shí)會(huì)產(chǎn)生重大影響，而不管這種攻擊的可能性如何。這種策略允許以高效和有效的方式將評(píng)估資源用于整個(gè)組織的最壞情況子集。成功識(shí)別高風(fēng)險(xiǎn)項(xiàng)需要目標(biāo)組織職能和安全領(lǐng)域的利益相關(guān)者的共同參與。運(yùn)營(yíng)人員可能知道哪些對(duì)象一旦被攻擊后可能會(huì)給組織帶來毀滅性的破壞。但是，這些安全人員可能不知道網(wǎng)絡(luò)中的設(shè)備和數(shù)據(jù)在多大程度上代表了高風(fēng)險(xiǎn)項(xiàng)，這對(duì)于確定盡可能完整的初始范圍來說，IT基礎(chǔ)設(shè)施和安全人員的知識(shí)同樣重要。將CAPTR評(píng)估的初始范圍限制在高風(fēng)險(xiǎn)對(duì)象上，允許評(píng)估人員將注意力集中在完全由重要資產(chǎn)組成的小型攻擊面上，并防止浪費(fèi)資源用于除最重要的攻擊面以外的任何方面。在范圍界定階段，充分識(shí)別優(yōu)先資產(chǎn)可以成功評(píng)估關(guān)鍵的受損項(xiàng)，從而通過緩解最壞情況下的威脅，改善總體安全態(tài)勢(shì)。

　　關(guān)鍵初始化視角

　　初始化視角是攻擊性安全評(píng)估開始掃描和枚舉漏洞的起點(diǎn)。常見初始化視角的示例來自Internet（組織外部）或組織內(nèi)的不同位置。初始化視角的位置會(huì)影響安全評(píng)估的許多屬性，例如首先評(píng)估的攻擊面類型、模擬的威脅類型以及已識(shí)別的漏洞等。

　　從基于互聯(lián)網(wǎng)的威脅、受損的DMZ服務(wù)器，甚至是成功的網(wǎng)絡(luò)釣魚攻擊內(nèi)部用戶機(jī)器的初始化角度出發(fā)，對(duì)一系列高風(fēng)險(xiǎn)項(xiàng)進(jìn)行評(píng)估可能會(huì)阻礙評(píng)估的進(jìn)展和成功。為了最有效地解決APT針對(duì)關(guān)鍵項(xiàng)可能利用的漏洞，必須做出讓步，使這些威脅已經(jīng)或?qū)⒛軌虼┩附M織的外圍和后續(xù)防御層。確定影響較大的受損對(duì)象并創(chuàng)建范圍后，CAPTR評(píng)估模型開始對(duì)優(yōu)先風(fēng)險(xiǎn)項(xiàng)本身進(jìn)行評(píng)估。這被稱為“利用關(guān)鍵初始化視角”，允許CAPTR評(píng)估對(duì)高風(fēng)險(xiǎn)受損對(duì)象執(zhí)行即時(shí)評(píng)估，而不是首先花時(shí)間預(yù)先確定它們的路徑。

　　反向軸心鏈

　　反向軸心鏈?zhǔn)且粋€(gè)由兩部分組成的過程，用于識(shí)別對(duì)最初確定范圍的受損對(duì)象影響最大的發(fā)現(xiàn)。對(duì)每個(gè)范圍內(nèi)的受損項(xiàng)進(jìn)行局部評(píng)估。然后，利用這些受損對(duì)象作為對(duì)宿主組織進(jìn)行外部評(píng)估的關(guān)鍵初始化視角。這種外部評(píng)估是以一種非典型的、有針對(duì)性的、不引人注目的方式進(jìn)行的，它確定了通信者的分層級(jí)別及其與初始范圍的關(guān)系。這些關(guān)系最終代表了一個(gè)風(fēng)險(xiǎn)鏈網(wǎng)絡(luò)，它從優(yōu)先的高風(fēng)險(xiǎn)項(xiàng)向外傳播。

　　反向軸心鏈描述了風(fēng)險(xiǎn)鏈接網(wǎng)絡(luò)中的威脅關(guān)系，該網(wǎng)絡(luò)將關(guān)鍵受損項(xiàng)置于中心位置。即使無法遠(yuǎn)程利用第一層或更多外部通信，通信鏈路仍會(huì)被識(shí)別為具有與其潛在風(fēng)險(xiǎn)相關(guān)的適當(dāng)風(fēng)險(xiǎn)等級(jí)，從而使攻擊者能夠訪問關(guān)鍵的受損對(duì)象。這些信息對(duì)于授權(quán)組織緩解和監(jiān)控CAPTR 發(fā)現(xiàn)的威脅至關(guān)重要。這一風(fēng)險(xiǎn)鏈網(wǎng)絡(luò)是進(jìn)攻性和防御性安全團(tuán)隊(duì)之間以評(píng)估結(jié)果為基礎(chǔ)開展合作以改善安全態(tài)勢(shì)邁出的獨(dú)特一步。

　　對(duì)比

　　當(dāng)一個(gè)人僅僅依靠傳統(tǒng)的紅隊(duì)評(píng)估來評(píng)估網(wǎng)絡(luò)安全和減輕APT的影響時(shí)，有幾個(gè)存在缺陷的原因。這些問題是不斷演變的威脅形勢(shì)的結(jié)果。評(píng)估期間暴露的漏洞列表可能在測(cè)試結(jié)束后的幾天內(nèi)過期。另一個(gè)原因是，典型的紅隊(duì)活動(dòng)側(cè)重于模擬攻擊者，而不是內(nèi)部威脅的所有方面。鑒于傳統(tǒng)紅隊(duì)在這些和其他情況下與CAPTR的潛在優(yōu)勢(shì)形成鮮明對(duì)比的劣勢(shì)，應(yīng)在很大程度上鞏固CAPTR方法在已規(guī)定實(shí)踐中的地位。

　　零日漏洞

　　零日攻擊是利用零日漏洞的代碼。零日漏洞是軟件制造商或安全供應(yīng)商未知的漏洞。在演練過程中，紅隊(duì)掃描漏洞，并試圖利用漏洞訪問組織。這里的一個(gè)問題是，這個(gè)過程可能不會(huì)包含零日漏洞利用，因?yàn)樗鼈兩形幢慌痘虬l(fā)現(xiàn)?？梢员Ｊ氐丶僭O(shè)，在紅隊(duì)完成滲透測(cè)試后，有可能在幾天后，一個(gè)武器化的漏洞作為對(duì)組織的新威脅就出現(xiàn)了。

　　還必須有一個(gè)假定的概念，即紅隊(duì)無法訪問的網(wǎng)絡(luò)部分可能存在無法評(píng)估的高危漏洞，因?yàn)樵u(píng)估人員在這些設(shè)備與無法訪問的網(wǎng)絡(luò)之間沒有發(fā)現(xiàn)漏洞。在這種情況下，如果紅隊(duì)無法評(píng)估的設(shè)備易受新的零日攻擊，那么攻擊者可以使用這些高危漏洞產(chǎn)生前所未有的影響。這通常是紅隊(duì)的公認(rèn)部分，未評(píng)估的部分可能也包含了漏洞。顯然，零日漏洞轉(zhuǎn)化為零日漏洞 Exp 的可能性表明防御中存在漏洞，無法進(jìn)行分析。CAPTR 方法允許在一定程度上緩解新零日漏洞對(duì)評(píng)估有效性的影響?？紤]圖9-1，這里給出了一個(gè)簡(jiǎn)化的紅隊(duì)演練的例子：

　　在這個(gè)圖中，紅隊(duì)攻擊面向互聯(lián)網(wǎng)的web應(yīng)用程序服務(wù)器，然后在web應(yīng)用程序管理器登錄到服務(wù)器進(jìn)行檢查時(shí)，在捕獲憑據(jù)并識(shí)別IP地址后，從那里轉(zhuǎn)到web應(yīng)用程序管理器的個(gè)人計(jì)算機(jī)。接下來，紅隊(duì)試圖深入網(wǎng)絡(luò)，發(fā)起致命的攻擊，在本例中，這是一個(gè)控制生物危險(xiǎn)廢物分配的SCADA設(shè)備。不幸的是，Windows 2012網(wǎng)關(guān)位于紅隊(duì)的軸心點(diǎn)和致命受損目標(biāo)之間，目前還沒有已知的遠(yuǎn)程代碼執(zhí)行漏洞。在本例中，紅隊(duì)從未列舉SCADA控制器以確定其是否易受常見遠(yuǎn)程代碼執(zhí)行漏洞（如MS08-067）的攻擊。評(píng)估后不久，互聯(lián)網(wǎng)上披露了MS17-010零日漏洞和漏洞 Exp，一名APT攻擊者通過網(wǎng)絡(luò)釣魚入侵了網(wǎng)絡(luò)中的另一個(gè)用戶，并利用它訪問Windows 2012網(wǎng)關(guān)?，F(xiàn)在，APT攻擊者可以輕松利用易受攻擊的SCADA控制器，并最終利用SCADA設(shè)備本身進(jìn)行攻擊，因?yàn)樵撛O(shè)備容易受到稱為semtex的權(quán)限提升漏洞的攻擊，這使得隱形攻擊者能夠造成巨大的災(zāi)難。