在上下文中审视网络安全事件
依赖自动化系统解决安全警报可能是一把双刃剑
自动化安全工具在处理现代网络中生成的大量警报方面非常宝贵,但也存在导致自满情绪的风险。安全响应人员可能会倾向于让这些工具处理所有事务,这可能导致错失捕捉复杂攻击的机会。
响应人员必须避免过度依赖这些工具,他们还需要确保培养攻击者思维并采取相应行动。
红队演练的力量
在网络安全领域,红队演练是一项基本实践,它将一组道德黑客(红队)与公司的安全团队(蓝队)在受控环境中进行对抗。这种方法通过模拟真实对手的战术、技术和程序(TTPs)来测试公司安全态势的有效性。在Cyberis,我和同事们参与这些模拟,以挑战并增强客户的防御策略。
红队演练有几个好处。主要帮助组织识别其检测能力以及响应人员用于遏制漏洞和解决事件的方法中的弱点。在演练后分析中,我们经常与蓝队讨论他们的响应在哪些方面可以改进。我们的行动可能触发了警报,但由于认为安全控制已经减轻了威胁,该警报被忽略或未适当升级。
在攻击的早期阶段,特别是在最初尝试突破目标防御时,端点检测和响应(EDR)系统的警报常常得不到充分调查。
例如,如果我们试图通过电子邮件、网络或直接向工作站传递恶意负载,而安全系统标记并阻止了此负载,则随后的警报可能不会被进一步检查。普遍假设是,既然安全控制阻止了威胁,就不需要采取进一步行动。然而,对阻止的负载进行更深入分析可能揭示有关攻击技术和使用基础设施的重要细节,例如攻击中涉及的域。
高安全警报量的挑战
挑战来自安全团队接收到的警报量;调查每个网络钓鱼电子邮件或每个警报实际上是不可能的。这种限制通常在攻击的初始阶段对红队有利,使我们在试图在目标环境中立足时保持不被发现。
一旦进入内部,当我们试图横向移动通过网络时,不同的控制可能会阻碍我们。例如,我们可能从异常端点访问服务器,或尝试使用无效的凭据。此类行动可能在扩展检测和响应(XDR)系统中触发进一步警报。偶尔,我们的行动甚至可能触发防病毒产品的阻止事件。
然而,依赖自动化系统解决这些警报有时可能是一把双刃剑。
例如,在一次模拟中,我们向服务器上传了一个特洛伊木马化文档,该文档被自动检测为恶意软件并删除,同时向安全团队发送了警报。当我们上传绕过检测机制的修改版本负载时,它通过了,因为初始警报在第一个文档自动删除后已关闭。第二次成功上传未引发任何警报,展示了安全流程中的关键差距。
自动化系统并不总是像攻击者一样思考
根本问题是自动化系统——以及操作它们的响应人员——并不总是像攻击者一样思考。如果文档被标记并移除,威胁不一定被消除。威胁不是文档;而是其背后的对手,他们在一次失败尝试后不会停止,通常会继续调整策略直到成功。
我们观察到一些场景,例如在敏感组(如域管理员)中创建新用户等活动未能引起足够怀疑。例如,在一次测试中,我们将用户添加到域管理员组,期望触发立即响应。然而,生成的警报被驳回,因为用于创建新用户的帐户本身是授权的域管理员。处理警报的响应人员假设该活动是合法的,并在没有进一步调查的情况下关闭了警报。
这指出了安全培训中的一个关键差距:像攻击者一样思考的能力。有效的安全响应不仅需要理解每个警报的含义,还需要理解看似孤立的事件如何在更广泛的活动中相互关联。它需要关于业务的实质性情报、出色的态势意识和健康的怀疑态度。
因此,红队演练具有双重目的。它们不仅测试组织的安全框架,还训练响应人员更像攻击者一样思考,将不同事件联系起来形成连贯的叙述。
培养这种对抗心态至关重要,因为它有助于在持续复杂的网络攻击背景下分析安全事件。这种方法是从被动安全态势演变为更主动、战略性态势的基础。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
