Bootstrap

Gartner最新指南:如何通过开展红队演习提高网络弹性

由于事件和监管要求不断增加,安全和风险管理领导者努力建立网络弹性并有效管理网络威胁。本研究指导这些领导者制定红队计划以支持弹性及其关键组件。

主要发现

  • 根据 2024 年 Gartner 设计和构建现代安全运营调查,73% 的组织认为红队角色对安全运营目标的贡献很大或非常重要。然而,只有 28% 的组织至少有一名全职红队成员。

  • 然而,组织通常认为红队不过是一次高级渗透测试,或者它过于昂贵、耗费资源和时间,这使得组织无法做好应对入侵的准备。

  • 许多组织越来越重视构建弹性。这应该会触发红队计划的启动,该计划会复制可能攻击组织的真实威胁行为者的策略、技术和程序 ( TTP ) 。

  • 建立有效管理潜在网络攻击的能力和信心将减少平均恢复时间,从而降低违规成本、对资源的影响及其潜在的品牌损害。

建议

负责运营的安全和风险管理领导应与其他安全和风险管理利益相关者合作:

  • 通过开展红队演习来发现安全运营在检测和响应能力方面的功能差距,从而提高弹性。使用紫队方法促进协作学习并指导具有可操作结果的活动,例如改进检测或加快响应流程。

  • 通过持续威胁暴露管理 (CTEM) 程序模拟预期真实威胁行为者的 TTP,为不断变化的法规做好准备。

  • 首先重点验证针对关键业务资产和流程的攻击的可行性。引入自动化来持续、一致地模拟攻击,并测试组织及时检测、响应和恢复攻击的能力。

介绍

网络攻击不仅影响直接受害者,有时还会影响组织的客户和合作伙伴以及普通公众(例如 Colonial Pipeline 勒索软件攻击)。尽管拥有大量预算、资源和网络防御策略,受害组织通常仍会受到攻击。因此,需要采用红队等整体方法,从整体上审视组织的准备工作(人员、流程和技术) 。

例如:如果检测失败,您无法及时做出响应,您该如何恢复?是否有足够的备份程序来恢复?将红队能力作为安全策略的一部分进行构建,不仅有助于回答这些问题,而且还能在攻击者发现漏洞之前弥补漏洞。

红队方法涉及以模拟潜在攻击者的意图、决心、动机和老练程度的方式“突破”组织。它与渗透测试的区别在于,它模拟真实的攻击场景来测试组织的安全态势和准备情况。红队方法不受有限范围的限制,而是受目标的约束。它将避开防御控制,保持隐蔽,不被发现,从而实现其目标。它为组织提供最接近真实攻击的体验,以便他们能够练习防御和响应能力并识别漏洞和盲点,从而提供机会来提高涉及技术、流程和人员的能力。

红队方法通过提供对哪些攻击有效以及哪些防御控制失败或缺失的洞察,展示了改善网络安全投资的精确方法。

分析

开展红队演习以提高组织弹性

我们认为,弹性是每个组织的重要目标,也是当今复杂动荡的世界的战略要务。弹性强的组织比弹性较弱的组织表现更好。

我们对网络弹性的定义如下:

网络弹性是指组织在不断变化且日益复杂的环境和威胁形势下抵抗、吸收、恢复和适应业务中断的能力,使其能够实现目标并反弹和繁荣。

确保组织的弹性策略具备通过漏洞评估和渗透测试识别、检测和保护的基础能力。该策略还应包括红队方法,该方法还扩展了测试响应和恢复过程的能力。虽然定期渗透测试可以提供有关安全状态和与漏洞利用相关的风险的良好信息,但渗透测试在行为和方法上仍然不同于真正的威胁。

红队将采取整体方法来测试人员、流程和技术,为组织提供机会测试蓝队在实际入侵时使用的技术和方法,了解团队如何反应,并找出改进点。红队演习为组织提供了最接近真实攻击的体验,有助于提高其弹性。

组织必须对蓝队/红队能力的成熟度以及后续步骤进行差距分析。这将确保他们最大限度地利用可用的时间、资源和预算。负责安全运营的安全和风险管理领导者必须了解红队的目标、工具和技术,以提高网络安全弹性并有效运营红队计划。

使用威胁情报来了解对组织或其所在行业构成重大风险的顶级威胁,无论其能力如何。使用该输出来制定方案并一次测试一个方案以深入了解并逐步提高成熟度。将收集到的信息与确定合适的起始位置和演习类型的目标相结合,如图 1 所示。

图 1:红队参与的目标和起始位置

                                          

红队演习的目标和起始位置的示例:

  • 场景 1(原始/起步)—测试组织检测和响应特定于组织的顶级威胁载体的能力。为了有效利用时间和资源,采取假设的违规立场可以深入了解攻击的影响。

  • 场景 2(日趋成熟)——测试组织检测和应对特定威胁或威胁行为者群体的能力,从外部开始执行对手模拟。验证针对完整攻击链的控制能力或证明投资的合理性。

作为该计划的一部分,首先考虑紫色团队,即蓝队和红队在测试的不同阶段进行协作。开展紫色团队演习的主要好处包括:

  • 蓝队可以练习检测和应对模拟攻击的能力,并找出覆盖范围和技能方面的差距。

  • 它有助于避免蓝队和红队之间的摩擦,通过促进一种协作文化,双方都可以从学习中受益,并通过相互挑战来突破彼此技能和能力的界限,提高他们的成熟度。

紫队演习的好处超越了蓝队和红队。从整个组织的角度来看,一些关键的好处包括:

  • 他们可以帮助与包括高级管理人员、业务和 IT 领导者在内的各利益相关者建立关系。

  • 在规划阶段透明地纳入关键利益相关者有助于消除恐惧,并帮助利益相关者了解深入探索风险的好处。对未知的恐惧可能会造成不必要的损害,尤其是当生产系统成为目标时。

  • 这些演习确保关键系统纳入范围,设计出切合实际的场景,最大限度地降低红队活动直接或间接造成的任何风险。

建议

  • 加入红队来提高组织的网络弹性。

  • 使用威胁情报来指导进行红队演习的决策。

  • 首先采用紫色来促进协作和学习。这可以是一个根据参与目标和范围聚集在一起的虚拟团队。

通过复制 TTP 为不断变化的监管环境做好准备

敦促各组织考虑提高其恢复能力,以更深入地了解网络威胁形势,并更好地准备在攻击后迅速恢复并恢复正常状态。

例如,欧盟的《数字运营弹性法案》规定,各实体必须定期进行弹性测试,模拟各种场景,包括网络攻击和其他破坏,以评估系统和实施的策略在多大程度上能够承受并从此类事件中恢复。因此,这将是该组织的红队计划的一个宝贵贡献因素。

选择一个提供相关指导的框架,以制定一致且结构化的方法来执行红队演习,同时也有助于跟踪一段时间内的改进,以提高安全运营团队和流程的成熟度。根据组织所处的垂直行业,有各种框架可供选择,例如TIBER-EU、英国的 CBEST、香港的 iCAST、沙特阿拉伯的 FEER、澳大利亚的 CORIE 框架和新加坡的ASSE 。虽然这些都是为金融机构创建的,但其他行业也可以采用它们。图 2 显示了这些框架在执行红队演习方面的共同方面。

图 2:执行红队演习的框架影响因素

这些方面包括:

  • 确定关键功能——对组织运营至关重要并直接影响使命、收入创造和客户满意度的功能。

  • 定位 PPT 堆栈——了解与已确定的关键功能相关的人员、流程和技术。

  • 收集威胁情报——针对特定行业和/或组织。

  • 定义目标和起始位置——定义攻击场景、TTP 和策略,包括升级程序、沟通计划。

  • 进行红队评估——执行定义的场景和 TTP。

  • 制定补救计划——报告并汇报攻击场景的实施情况以及补救工作的重点。

  • 与利益相关者分享经验教训——哪些做法有效,哪些活动可以改进以供未来的评估。

对于大多数组织而言,加入红队需要改进其现有能力,例如漏洞和渗透测试程序。验证步骤是CTEM程序的关键组成部分之一,通过该程序,组织可以验证超出狭隘技术重点测试的范围,并评估程序和流程的有效性。CTEM验证步骤通过展示如何优先减少可能被利用的暴露来增强弹性,从而支持红队程序。

建议

  • 了解如何根据相关法规和立法评估您的业务功能,以便您的红队计划能够满足这些要求。

  • 使用 CTEM 构建一种连续且结构化的方法,通过验证将优先问题减少到业务关键功能。

  • 与各自的利益相关者制定并传达补救计划,以取得快速胜利以及长期减少风险和提高恢复力。

通过红队演习创造积极主动的心态

在管理安全事件的影响时,时间至关重要。因此,必须转向主动管理,因为它有助于在危机响应规划和管理中充分利用人力、时间和金钱等可用资源。

与经验丰富的企业领导者一起针对历史中断进行桌面练习和情景规划练习,可以提供一个宝贵的起点,帮助了解潜在的中断点、业务影响以及减少这些影响并促进快速恢复的行动。

桌面演习是建立能力和信心的第一步,然而,由于桌面演习过于关注可预测事件的精确序列,因此容易受到认知偏差的影响,导致低估影响和缺乏对真正危机压力的接触。

红队方法有助于从被动应对转变为主动应对,通过为未知情况做好准备并建立预测和适应的能力,同时能够从独特的角度和对应视角了解不同的系统和检测能力。

红队评估将提供一个机会,让您的组织在安全的学习环境中面对危机情况。它允许现在犯错,以免在真正的破坏性事件中犯错。学习点可用于构建响应程序和能力,从而实现更强大的响应,减少业务影响并促进更有效地恢复正常业务运营。

在危机管理中采用红队方法可以实现以下效果:

  • 压力测试偏见和假设。

  • 确定对精确细节的不确定性。

  • 通过预测下一步行动并减少检测和恢复时间来更好地为组织做好准备。

  • 更好地支持沟通策略的制定,以确保将声誉损害降至最低。

  • 提供红队的独特见解。

组织应通过使用BAS、自动渗透和红队等技术引入一定程度的自动化,以实现一致性、规律性和可扩展性。自动化可以:

  • 从以前的攻击场景(手动红队)库和映射到框架的已知攻击场景(例如 MITRE)进行验证,以测试检测能力。

  • 允许团队专注于手动测试高级或独特的用例。

  • 通过以更快、更可重复的方式验证补救措施,帮助减少暴露窗口。

  • 启用连续方法以利于时间点方法。

将已知的TTP映射到已知针对您的行业群体和特定于您组织的技术的威胁行为者群体。自动化攻击以实现一致且连续的过程。使用CTEM 创建结构并构建工作流程以促进整个团队的协作,从而改善补救措施并优化安全投资。

结合 BAS、自动渗透测试或红队测试,实现CTEM 验证步骤的自动化,重点关注以下方面:

  • 通过验证减少优先问题

  • 跨协作动员以提高成熟度

建议

  • 通过构建能力来更好地预测和适应新出现的威胁,从被动应对转变为主动应对。

  • 引入自动化作为 CTEM 验证步骤的一部分,通过使用 BAS 或自动渗透测试或红队技术等工具来创建一致且连续的过程。

  • 建立跨协作工作流程以改善补救工作。

;