動態二重奏:建立紅隊與藍隊加乘增強網路安全
Product Marketing Manager
Founder
安全社群不斷地在變化、發展和互相學習,以具備更強的能力面對網路威脅。在我們Voice of the Community部落格系列的第一篇文章中,分享了Microsoft產品行銷經理Natalia Godyla與Rendition Infosec的創始人Jake Williams的交談內容。在這篇部落格文章的第一部分,Jake分享了他對2020年威脅形勢的見解-我們要關注誰與關注原因-以及如何在組織內建立紅隊與藍隊。
回顧2020年的威脅形勢,有什麼特別之處?
2020年最重大的事件,是勒索軟體持續發展。透過IANS,我在2019年初創造了勒索軟體2.0的術語。我們試圖區分勒索軟體引發的攻擊,和更加偏向APT模式的勒索軟體攻擊(它們進行橫向移動並以備份資料為加密目標)。災難復原(DR)計劃適用於前者,但不適用於後者,因為後者主要目標就是災難復原基礎架構。在今年,我看到了許多攻擊層面的進步。
第二點是使用惡意程式”商品”的組織數量明顯增加。他們正在使用該商品惡意程式,試圖獲得組織網路的初始存取權限。這種情況非常多,就像TrickBot即為其中一個例子。身為網路安全專家,我必須要說「TrickBot清除」只是中斷惡意程式,而不是完全消除,這和過去被淘汰的其他惡意軟體和殭屍網路不同。DNSChanger是一個很好的例子。DNSChanger雖然被清除了,但TrickBot仍存在於環境之中。
我們看到大量商品惡意程式被當作入口通道使用。這是很多人(包括我在內)多年來一直在談論的,它始終是一種風險。您不能認為:「別擔心,Microsoft Defender Antivirus攔截並隔離了它們,所以我們不需擔心。」從9月中旬開始,它的傳播力快速提升,也很明顯地在加速攻擊。
安全團隊應積極監控哪些關鍵威脅?
一週前,在一個暗網論壇中,我和intel社群其他成員在Ryuk相關網站中,發現他們正在徵求經驗豐富的勒索軟體操作者。他們擁有一套完整的標準,甚至能夠查看您平均獲得40萬美元收益這樣的歷史紀錄。他們過去從未求助過,但現在他們的工作量超出負荷。在此之前,我從未看過大型成熟的勒索軟體團隊進行營運宣傳。如果他們認為這些惡意軟體能持續存取資料,就不會現在開始招募人才。
由於大多組織沒有提供資安成熟度調查與分析,導致他們無法瞭解他們的資安投資回報狀況。即便我告訴您網路犯罪集團正在招募人員,我要如何將它轉變為幫助偵測與預防的措施?若您不執行網域控制器補丁,我認為我提供的指導無法給您多大幫助。
從網路犯罪的角度來看,我們可以發現橫向移動對網路犯罪攻擊極為重要。在釣魚郵件和垃圾郵件中,我們沒有看到太多的攻擊層面,攻擊者取出了大量資料後就消失了。這聽起來像是藉口,但橫向攻擊才是真正的一石二鳥。國家級組織必須進行橫向移動攻擊,網路犯罪組織若想獲得高額回報也必須如此。當他們獲得利益後,要如何全身而退?某些情況下,您會看到更多攻擊者在網路上花費長達六週的時間,然後才進行完整資料偷取,而不是隨意抓取資料。
網路安全結合了防禦型和進攻型兩種方式來打擊網路犯罪。組織應如何看待組織中的紅隊和藍隊?組織是否需要兩者,為什麼?
多數進入網路安全領域者都希望成立紅隊。但若您將紅隊視為嘗試滲透您內部網路者的話,那麼我認為它與藍隊的需求相比,比例大約是在1:20,甚至1:25,您應該減少對紅隊的注意力。這不代表紅隊無法提供任何價值,他們有價值,但您必須思考是否能將相同的資源用於他處,並獲得更多價值?一般來說,我認為我們對於防守的需求比進攻更多。
許多組織擁有相同的紅隊與藍隊數量,但我經常發現許多紅隊偵測到了藍隊無法解決的問題。我和擁有龐大紅隊,但尚未成立獵捕團隊的組織合作。在此情況下,我不知道您將獵捕任務置於紅隊還是藍隊下。在那裡我感到很矛盾,紅隊確實重要,但所需的人力比其它地方少很多。身為前政府的駭客,我偶爾還是會執行紅隊,但這不是多數組織能獲得最大投資回報的地方。紅隊並非不重要,但整體來說,我們需要建立比紅隊人數更多的藍隊,而這對很多人來說並不那麼習以為常。
若您沒有穩固的藍隊,且在防禦中存在漏洞,那您就不該擁有紅隊。當人們說:「我們需要自己內部的紅隊」時,我會反問:「您是否有請外部紅隊進行紅隊評估?若有,您是否有針對這些發現採取行動?」不單單只是針對其中一項發現行動,您必須針對每項發現採取措施。若您的答案是否定的,請退一步弄清楚您該做什麼。請確保您有持續運作的藍隊,並準備執行紅隊的建議。
這就是我們發現許多擁有內部紅隊的人最終得到的結果。他們有一支紅隊,且基本上已將識別到的風險放入資安漏斗中。我們要為這個資安漏斗投資多少資金?我們需要多少資金防禦與進攻?
組織如何判斷何時雇用內部紅隊?關鍵點是什麼?
這取決於您多迅速採取行動處理。若您要在兩個月內解決紅隊所有年度調查結果,那麼我會說:「毫無疑問,您需要雇用一個紅隊。」因為那會給我帶來更多發現。另一方面,如果要花9個月的時間才能解決,那麼您在一個月內新增一個外部紅隊的價值在哪裡?因此這一切都取決我們能接受多少風險。
當我們在記錄哪些地方存在差距,哪些地方沒有時,這取決於我們在哪裡可以為組織獲得最佳的投資回報?如果我們的藍隊仍有進步空間,那麼我們對紅隊的投資將會給藍隊擴大差距,這會造成團隊士氣上的問題。
請持續關注這段採訪的第二部分,因為Jake Williams將分享如何在組織內有效建構和提升紅隊和藍隊能力。
如果需要更多關於Microsoft安全解決方案的資訊,請造訪我們的網站。將Security blog設為您的書籤來關注我們在資安層面上的專業報導,同時在@MSFTSecurity或LinkedIn上追蹤我們來獲得網路安全的最新消息和更新。
若欲瞭解原文,請至微軟官方部落格參考。
延伸資料:Cybersecurity
