开展专业的红蓝演练 Part.1:演练目的及形式

开展专业的红蓝演练 Part.2:红蓝演练的优点及作用

开展专业的红蓝演练 Part.3:红蓝演练的瑕玷”

开展专业的红蓝演练 Part.4:论红队的自动化方式

开展专业的红蓝演练 Part.5:论红队自动化的优劣

开展专业的红蓝演练 Part.6:进攻性平安的现状

在上一章中,作者将红队与 APT 举行了对比,论述了 APT  的界说、特点以及相对照于红队所拥有的优势。在这一章节中,作者将分别从羁系合规、创新、行业误解以及面临的庞大客户群体这四个方面详细说明进攻性平安领域(好比说红队)所面临的多种挑战。无论是通过红队服务客户(乙方视角)照样组织内部自建红队(甲方视角)都应该思量这些问题,稀奇是在海内羁系趋势愈渐变严的情形下,在红蓝演练中入若何划定演练局限,若何使用客户公司的或自己公司用户的敏感数据等问题值得业内偕行关注。

在当前这个大时代中,红队会发现自己所在的平安行业和当今所处的整体环境为他们乐成完成进攻性平安义务造成了严重而多样的障碍。这些障碍包罗羁系尺度,普遍缺乏创新以及对红队在行业中的误解。

羁系尺度

近年来,企业组织必须遵照的合规尺度和执法律例的数目激增。在以前,企业组织主要需要遵守以行业为中央的律例(如 HIPAA、 SOX 等)或旨在珍爱某些类型的敏感信息(如 PCI-DSS 和支付卡信息)的律例。

最近, *** 已经通过了数据隐私条例,并强迫企业组织引起注重。欧盟的一样平常数据珍爱条例(GDPR)就是一个典型的例子。凭据 GDPR,任何存储欧洲公民小我私家身份信息的组织,无论是在公司层面照样在国家层面,都必须在与 GDPR 功效相当的数据珍爱政策下运作。由于全球各地的企业组织试图使他们的政策符合规定,GDPR 的局限以及被以为是受珍爱的小我私家信息(PII)的更普遍界说引起了一些恐慌。

,

币游国际官网

欢迎进入币游官网(币游国际官网),币游官网:www.9cx.net开放币游网址访问、币游会员注册、币游代理申请、币游电脑客户端、币游手机版下载等业务。

,

固然,GDPR 远不是唯一的隐私律例。《加利福尼亚州消费者隐私法案》(CCPA)也是对照著名的律例之一,除了加利福尼亚州外,美国的其他州在没有全国性的隐私律例的情形下也通过了单独的执法执法。因此,企业组织可能需要遵守的执法律例越来越多了。

因此,羁系尺度方面可能会是个不小的问题,由于这些尺度必须严酷适用于“红队”流动。此外,当没有尺度或存在的尺度异常模糊和宽泛时,也可能会遇到障碍。追求确立红队或使用进攻性平安的组织通常有自己严酷的数据使用政策,必须在构建征战协议时代凭据具体情形举行处置。另有一些联邦和行业级别的计谋必须由持有特定类型数据的组织遵照。因此,该组织内的任何红队流动都要求凭据这些政策处置数据。此类数据的示例包罗受 HIPAA 珍爱的康健信息、保密信息以及一样平常的 PII。在存储或移动任何特定珍爱的数据的网络中举行测试,可能会对红队造成压力,由于它必须能够乐成地举行测试,而且还必须符合为珍爱此类敏感数据而制订的尺度。

好比人人可以想象一下,在使用 HIPAA 数据损坏网络中的主机时,红队评估职员会查看特定职员(甚至可能是他们自己公司的上级)的康健信息。从执法角度来看,这简直是一场噩梦,可能会导致尴尬的职场关系和利益冲突。稀奇是在评估秘密网络的平安性时,在评估时代,评估职员可能会汇总足够多的信息,当信息汇总起来时,这些信息可能会增添整个信息的种别,或者评估职员可能会遇到错误分类的数据或其他问题,所有这些都可能导致必须马上处置的平安事宜。从遵照合规的角度来看,可以很容易明白这类尺度显然使得红队的义务变得加倍难题,然则评估职员也可能需要在评估之前获得某项认证或批准授权。在平安行业已经有限的人才库上设置这些限制可能会成为组织开展乐成的进攻性平安征战的伟大障碍。

有限的创新

我信赖你们中的一些人可能会对“有限的创新”被列为阻碍红队生长的一个缘故原由感应生气。你可能会争辩道,你所在的公司或组织有许多精英,他们已经在他们所开展的进攻性平安历程中连续不停的有过创新。这在许多地方都是云云,以是请允许我澄清一下。创新在这个领域不停发生,它拥有整个行业中最具才气和智慧的平安从业者,而黑客——从本质上讲——自己就具有创新精神。然而,我们并没有看到有公司或组织分享他们自己具备创新性的红队计谋或定制化的渗透测试服务。不外,这是可以明白的,由于这些创新可能被供应商视为商业秘密,被有机红队视为特权平安信息。因此,从流程和情报手艺的角度来看,没有关于提升红队的大量信息也就无独有偶了。供应商很愿意向你出售其开发的平安工具的新版本,但不愿透露他们的道德黑客是若何攻击网络的。这将使它们处于竞争力较低的位置。

创新问题进一步受到了真正的学术创新中的极端难题的限制。我们研究了许多学术界提出的自动化或实现进攻性平安的手艺,但我们没有看到任何强调若何改善红队的孝敬,以便更有效地解决我们现在正在讨论的种种挑战。在举行了多年的博士学业的研究后,我发现险些任何红队或渗透测试的创新都是围绕特定工具或目的以及剖析模子举行的。关于红队军事化演习的一些新颖但离题的改善方式的出版物少少,已有的出版物也不适用于网络领域。正如在前面的文章中提到的,这样做的缘故原由主要有两个方面。首先,大多数揭晓论文的学者都没有进攻性平安的履历,就职业生长而言,大多数进攻性平安专家也没有受益于高等学位。其次,由于需要专业度很高的手艺技术以及高度介入评估历程,因此,评估进攻性平安假设的成败真的很难以可辩护的方式举行。

由于这些事实的存在,关于红队评估流程创新的公然信息异常有限。学术论坛在这个领域还没有任何类似的学术事情机构,而且从事这些事情的大多数人由于一些可以明白的缘故原由缺乏分享的精神。从组织上来说,这意味着,在实验启动新的红队事情时,知识必须由已有履历的小我私家提供,或者通过可能缺乏履历的员工举行的潜在危险评估获得知识。纵然撇开创新问题不谈,红队也是一种随着时间的推移对客户组织举行自我调整的流动,纵然是及格且有履历的小我私家也会发现自己在评估历程中学习新的目的组织的细节。对托管组织的最佳红队评估可能是职员技术、履历、情报手艺和内部创新都较为成熟以及对目的的熟悉水平的一个副产品。

行业误解

关于红队的实践,有许多误解和看法,但有几个稀奇的想法会影响整体的进攻性平安实践,无论是作为一个供应商照样一个有机的团队。第一个是对渗透测试或红队评估组成要素的异常模糊和经常被误解的界说。对于这种征战,进攻性平安的提供者和赞助人都有一些异常危险的污名。
那么,什么是渗透测试或者红队评估呢?这个问题可能看起来微不足道,而且被普遍接受和明白,但问题是,渗透测试所需的界说不停被扭曲。这种情形从多个角度影响了组织的平安性,并将行业自己作为一个营业实践问题。我已经与一些组织举行了攀谈,这些组织由于一些继续的平安计谋需求,需要在给定的时间距离内举行评估。我经常看到这样的组织要求渗透测试职员执行自动破绽扫描,这样它就可以被称为“渗透测试”,他们可以对计谋合规性举行打勾,希望节省时间和平安资源。我也见过这类决议,通过挪用非侵入性流动(如扫描)作为红队评估或渗透测试,来起劲阻止所需的平安评估对操作资产的潜在影响,从而再次知足合规性检查。除了不适当的标签和欠妥使用道德黑客资源,这也为组织的错误平安感开创了一个危险的先例。这种趋势也出现在行业中,由于对进攻性平安的需求增添,供应商使用资质较低的职员举行破绽扫描,并将其作为渗透测试举行营销。这将导致同样的问题,并削弱组织的整个平安态势。

接下来,我们将讨论一些行业自己所面临的异常谬妄的污名,这些污名甚至会让手艺娴熟的红队陷入困境。第一个污名是普遍存在的不切实际的期望。我在许多条约谈判时代,客户声称他们想要一个为期两周的渗透测试周期。他们也经常希望红队从组织外部最先短距离进攻。围绕进攻性平安的有害污点是,为了提供对组织的平安机构的真实洞察的测试,红队必须从组织外部来模拟真正的攻击。我甚至与那些以为若是不从外部提议攻击就不是“真正的黑客”的偕行们争论过。有时,将这种外部初始化约束放在评估上是合适的,或者至少放在评估的一部分上。然而,在要求外部初始化点的同时,试图举行短时间的评估窗口只会阻止组织从进攻性平安应用程序中获得可能的最佳成本效益。在许多时刻,从外部入侵可能需要数周或数月的时间,而当获得接见权限后,特权升级和组织内部的横向移动就会以相对较快的速率完成。就我小我私家而言,站在组织的角度来看,我宁愿将许多危险的特权升级和横向移动破绽告诉我,以珍爱我的组织,而不是把一些能够通过适当的破绽扫描发现的少数(若是有的话)外部破绽提供给我。

遵照对评估行为不切实际的期望,实际上是对“失败不是一种选择”的羞耻的挑战。失败的可能性增添了,由于短的评估窗口可能会通过,而没有乐成的远程代码执行攻击或乐成的社会工程学流动允许道德黑客在分配的时间窗口内侵入组织内部。因此,评估讲述可能异常少,而且可能只纪录小的或未经证实的破绽,以及团队试图获得接见权限的历程,因此高层管理职员可能以为至少他们知道了要防御什么。这里的羞耻是,这样的结果是不能接受的。这是根据通常的评估历程执行方式的副产品,这可以通过评估历程的创新来改变。

本文由作者“丝绸之路”整理公布, Allbet Gaming声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:usdt无需实名买入卖出(www.caibao.it):开展专业的红蓝演练 ​Part.7:进攻性平安面临的挑战(上)
发布评论

分享到:

中国家电迁徙越南第三波:赚钱何须在田园
1 条回复
  1. usdt提币手续费最低(www.usdt8.vip)
    usdt提币手续费最低(www.usdt8.vip)
    (2021-10-22 00:01:07) 1#

    皇冠管理端登3手机www.9cx.net)皇冠管理端登3手机实时更新最新最快的皇冠管理端登3手机网址、皇冠管理端登3手机代理管理端、皇冠管理端登3手机会员管理端。提供皇冠管理端登3最新APP下载,皇冠管理端登3APP下载包含新2代理线路、新2会员线路、新2备用登录线路、新2手机版登录线路等。
    会不断进步的

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。