跳過主内容

動態二重奏:建立紅隊與藍隊加乘增強網路安全
《二部曲》

Natalia Godyla 安全產品營銷經理

Jake Williams  Rendition Infosec 創始人

在這篇部落格中,Rendition Infosec 的創始人 Jake Williams 將分享他在建立與聲及紅隊與藍隊上的作為。

什麼是組織強化藍隊的最佳方式?

首先,請進入事件記錄並開啟您認為有用的所有記錄。我曾與 Fortune 500 強左右的藍隊一同工作,當我問:「您的事件記錄在哪裡?」他們回答:「我認為我的端點偵測和回應(EDR)平台可能會有這些資料。」如果您已配置 Windows,它會偵測到事件。其中超過100多個事件記錄,但很多是空的。而有內容的記錄卻沒有記下最重要的東西,原因多半在於記錄內容太多了。

第二個方式是使用 Group Policy Object(GPO),並增加事件記錄的容量大小。我認為安全事件記錄大小固定在 20 MB 為佳。我通常會告訴人們,我從不立即回應事件,而是思考「我該如何處理所有記錄?」。

第三,確實執稽核行政策。若您是系統架構師或系統工程師,您需要熟悉可用的工具。從稽核的角度來看,若您一無所知,就不會知道有什麼夠適當的工具。您應該去閱讀功能表,盡可能找出最多可用的稽核記錄。

幾年前有一個未使用稽核的案例,對方打電話給我後,我成為搭機前往協助的團隊成員之一。當他們來電時,我們詢問了他們可以進行的稽核日誌,並告訴他們開啟稽核和增加事件記錄的容量。他們按照指示進行了。當我到達現場,進入該伺服器時,裡面只有 18 秒的安全事件記錄。雖然很高興他們有開啟一些功能,但我需要整體的記錄,而非單純 18 秒的事件。

您對紅隊成員有什麼建議?有什麼最佳方法提供他們考慮呢?

每次在如 Black Hat 或 ShmooCon 的大型資安會議中,有些紅隊的人員會來找我並告訴我:「我剛剛看到了這種超酷,超棒的技術。」我問:「攻擊者有使用這些技術嗎?」他們說:「我肯定他們會的。」當我們擁有可靠情報時,就會投入時間進行研究。請確保您可以將這些資訊帶回組織,並了解其中的含義。

2019年底,我在協助一家大型保險公司,他們有一支約是三分之一個藍隊大小的紅隊,而這個規劃是錯誤的。我問:「我可以看一下報告範本嗎?」紅隊領隊拒絕了。我說:「您應該知道我和貴公司有簽一份保密協議,而且我們現在在您的總部,不會發生任何問題。」他說他們只與管理階層分享這些報告,而管理層也了解風險,如果他們告訴藍隊他們如何進行,藍隊們會立刻趕上紅隊。

紅隊演練最大的成果是讓紅隊為藍隊提供價值。資訊安全是服務供應商提供給企業,最終應由藍隊(客戶)驅動紅隊來發掘更多威脅風險。紅隊存在的目的不只是偷偷摸摸,避免被偵測到。它的目標是辨識出漏洞、缺少補丁、配置錯誤,或在監視範圍內找到不足處。相對的,藍隊就是紅隊的客戶。我看著藍隊告訴紅隊,說:「這就是我們需要的。」紅隊的駭客攻擊與超酷技術都是次要的。

您會建議紅隊與藍隊接受何種訓練?

如果我是藍隊成員,我將隨時追蹤系統日誌最新狀態。我對工具的關注遠少於對技術的關注。從偵測的角度來看,我可以提供什麼資訊?我對藍色團隊成員試圖了解如何找到、利用漏洞和讓漏洞運作並不感興趣。因為那是紅隊會做的事。

人們通常不喜歡與紅隊會議,但是對於擁有超過一年紅隊經驗的人而言,這些會議比任何課程都更有意義。原因在於人際網路。當您建立了人際網路,紅隊成員便開始加入私人 Slack 群組或電子郵件列表中。所有人都互相認識,您就更可能了解較新的技術。我較少進行正規的培訓,而是選擇讓他們獲得交流的機會。

您覺得在疫情過後,紅隊與藍隊成員會持續思考什麼?在安全產業上,這些改變又會有什麼長期影響呢?

了解攻擊面適用於紅色和藍隊。我們看到的比以往更多的是軟體即服務(SaaS)。根據所在區域,我們轉而在家工作的時間從一周24小時到48小時不等,甚至更長的時間。無論如何,對於許多人來說這樣的變化相當迅速,因此他們做了很多改變以完成工作,卻沒有真正考慮長期的安全隱憂。

在3月下旬,大多和我交談的 CISO 都不相信我們年底仍會待在家中,他們認為這只是一、兩個月的情況,因此我們準備承受的風險,看起來和我們將持續承受的風險有很大不同。

對於紅隊,另一個重點是要知道資料涵蓋範圍。就算擁有Salesforce的資料,也不代表可以直接入侵Salesforce。您的紅隊需要知道在法律上他們能夠做什麼,以及在道德上應該做什麼,並確保每個人達成共識。對於藍隊,您將了解如何讓他們評估 Salesforce 租戶的安全性。因為在完全移入遠端環境後,我們必須知道對架構進行了哪些改變,以及有多少內容需要重新審視。答案是非常多。我認為,缺乏變更控制會導致大量違規行為,已經是眾所皆知的事情了。

最後,您還有什麼話能夠幫助紅隊和藍隊加強網路安全嗎?

紅隊和藍隊絕對都該採用威脅情報。這不代表每個組織都需要專門的網路威脅情報(CTI)分析師,也不代表您需要去購買其他威脅情報回報。我們要做的是根據我們已知正在發生的事情(而非可能發生的事)確認優先順序。兩者完全不同。當我查看可能發生的一系列糟糕的事情時,我思考:我們在組織和其他組織中,實際上看到了什麼?

當您了解針對不同產業(例如醫療保健)的威脅時,您需要關注它嗎?答案顯然是肯定的,您應該如此。就算它在一個產業中非常成功,也不代表它不會攻擊您的產業。在相同條件下,我會優先考慮我所在產業內的事務,但我也必須了解其他產業中發生的事情。

要了解更多有關 Microsoft Security 解決方案的資訊,請查看我們的網站。記得將我們的 Security Blog 加入書籤,以獲得最新的資安專業報導。另外,也請在 @MSFTSecurity 或 LinkedIn 上關注我們,以獲得網路安全的更新消息。

若欲瞭解原文,請至微軟官方部落格參考。

延伸資料: 網路安全

更多故事