本章更合适的题目或许应该是“相同”。在红队评估的历程中,除了精彩的黑客手艺和情报技巧之外,若是评估效果不能以有助于改善组织平安态势的方式转达给客户,那么红队所做的所有事情就都不主要。纵然在红队向手艺职员做评估讲述的情形下,这些人也险些可以一定没有攻击性的平安意识,他们会以差异于红队成员的视角看待评估效果。此外,在大多数情形下,评估讲述都市在一个足够高的级别上提交给向导层,以便就缓解或纠正所发现的问题作出财政决议。介入手艺性较低的决议受众可能会出席简报会,或者在内部平安职员审查讲述文件后,收到评估职员提供的讲述文件。在任何情形下,若是评估讲述的受众不信托解决这一发现所带来的成本效益,或者以为整个评估可能是徒劳的起劲,这种看法既无助于客户组织,也不能为进攻性平安提供商业案例。本章概述了红队评估的收尾事情中若何编写评估讲述这一主要内容,并提出了若何将评估讲述有用地转达给客户受众的建议。

几个需要的事情

讲述通常可以编写成简报或书面讲述的形式。关于若何准备一份好的评估简报这一详细内容我们将在本章后面详细先容;本章的内容与讲述文件自己有关。首先,我们很容易明白为什么在红队评估竣事时,评估效果应包罗在讲述中,另有其他主要的项目需要提及和重申。评估讲述的受众和介入确定演练局限的职员可能不是统一批人,也可能和执行评估时代相同链条中的一部门人也不相同。评估讲述的受众可能会有所差异,从手艺娴熟的平安职员到面向营业的高级向导,评估讲述需要使所有受众领会评估效果的主要性。在深入研究评估效果之前,最好先让查阅讲述的人(若是是简报则是听取汇报的人)领会评估的工具、内容、时间和方式,然后再宣布评估效果。我的客户在测试最先时并不领会这些信息,而且,随着评估时间的延伸,会提醒我评估效果将受到约束。

评估讲述中需要写明谁在做评估,他们应该评估什么,以及他们必须用多长时间完成评估,写明这三个内容异常主要。也许评估时间很短,局限也很有限,然则客户组织的营业向导层直到他们的平安职员每季度宣布一次简报后才会收到评估效果。若是不披露这些信息,那么若是评估效果受到短期评估窗口和特定评估局限的限制,那么此类评估服务的效果可能会被客户视为不值得花钱买单。除了向客户展示组织中的平安问题外,讲述中还应该有助于为后续评估流动提供依据,这对有机红队(译者注:企业自建红队)和进攻性平安服务供应商都很主要。若是组织的运营治理层不认可评估服务,红队可能会住手接受资金,并可能最终遣散,或供应商可能不会再次签约。更糟糕的是,本组织可能会完全放弃进攻性平安的起劲,将其视为价值高昂且有风险的资源虚耗。

在提醒听取评估效果的听众确定评估局限的因素之后,我发现对评估流动举行高条理的总结很有用。在讲述文档的这一部门中,我通常不提供准时间顺序排列的细节,只管我以为它们可能有用。我的高级概述涵盖了初始的枚举和破绽行使流动,以及评估中的主要转折点。这种叙述可以在下面的项目符号示例中概述,也可以放在以段落形式的更为流通的评估故事中概述。

· 外部目的列表的开源情报

· 外部主机的端口扫描和手动网站检查

· 通过网站中的远程代码破绽获得初始接见权限

· 从内部目的的初始接见标识中枚举非军事区(DMZ)

· 入侵 DMZ 和面向内部的文件服务器作为跳板

· 进一步枚举内部网络的已识别用户机械

· 入侵多个通俗用户的机械然后拿到治理员的主机

· 入侵并行使治理员的主机接见域控制器

,

足球免费推荐

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,

· 拿到域控制器并在 Windows 和 Linux 主机之间执行凭证重用,以完成组织的入侵

上述攻击流动的简要说显著示了评估职员的手艺,并让任何读者立刻领会评估的严重性。这种类型的摘要在没有太多乐成的破绽行使的情形下也很有用;它可以更详细地重点论述枚举流动,至少可以显示评估事情有多彻底。这一信息有助于确定讲述后面所述效果的不足之处,由于这会让听取评估讲述的人对评估职员的用功事情绪应知足,并提醒人们最小的效果是组织平安态势优越这一效果,而不是红队执行了糟糕的测试。

在领会现实评估效果之前,评估讲述应该包罗的最后一件事情是披露在评估时代发现的任何违规行为。在讲述中,这是一个可以确定评估职员以为值得一提但不相符组织平安性的优越时机,例如组织内的异常装备、服务或流量。例如,评估职员在网络上发现移动电话或可能在域外发现了 Windows 盘算机,以及其他发现,这些发现纷歧定对组织组成威胁,但由于被评估职员以为异常或不正常,因此绝对值得进一步评估。

这也是讲述的一部门,评估职员应重申在评估举行时代是否在组织内发现任何恶意或非法流动。虽然在评估历程中一旦发现这些信息,就应该立刻将其披露给客户组织,但再次提及这些项目是好事情,由于它们可能已被遗忘或弃捐,而且识别到这类违规行为也说明晰评估职员在用功事情。最后,在评估的这一部门中,红队可能会指出种种平安职员的不正常流动,这些流动可能解释平安职员的不适当行动故障了红队的评估事情,并可能虚耗了资源。好比欠妥的平安软件设置或日志纪录,这些设置或日志纪录说明晰红队工具或流动的特定目的,或者剧本或其他工具的存在,这些工具具有征采红队的特定意图。正如本书前面所讨论的,这种流动只会对组织造成损害,在讲述中披露这些发现也可能是适当的。这可能在缺乏效果的情形下,或当平安职员说“我们捉住你了”这种回应损坏了改善组织平安态势和评估职员整体声誉的建议时有一定的辅助作用。

不外,在这样做之前,尤其是在攻击性平安服务供应商和客户的无机营业模式中,若是决议在讲述中提及此类流动,则要极其郑重和政治化,由于这会使敌对问题变得更糟。例如,平安职员可能已经为红队使用的特定二进制文件或红队披露的源 IP 地址写了署名。在讲述中,这句话可能是本着“只管平安团队能够通过这个实现来阻碍我们的流动,但我们希望辅助他们做一些改善,以挫败任何攻击者,而不只是红队流动,由于这将更好地改善组织的平安态势”这种精神,使用这样的语言,你既认可他们阻碍了你的起劲,也提出了辅助他们阻止所有可能使用同样方式的人。最好是用评估讲述赢得听取汇报的人的心,而不是以此为契机举行责难。

发现的问题类型

现在我们来谈谈讲述的内容,包罗观察效果自己以及若何最好地与客户相同。主要的是要领会有差异类型的观察效果,在向客户形貌这些观察效果的方式上可能会有细微差异。最显著的发现是,评估职员行使已安装软件中的破绽操作或影响目的。然而,许多时刻,这些发现在本质上并不是手艺性的;它们可能是设置错误或缺乏能够乐成举行攻击流动的设置。许多时刻,通过乐成行使破绽来证实破绽的看法也是不合适的,因此披露已识别但未举行破绽行使的发现对客户仍然异常有用。具有较少手艺性子的发现,如缺乏战略或历程实行,也能够让评估职员损害组织的某些部门。

行使破绽

正如我适才提到的,围绕着发现的破绽举行破绽行使,然后对组织发生一定的影响。这并不总是需要的,有些评估演练可能要求不得使用看法验证(PoC)或有限的看法验证。现实上,损坏系统是转达破绽威胁的一种好方式。系统破绽最具损坏性的部门通常不是破绽存在,而是在破绽被泄露并被行使后导致的其他数据的泄露或被接见。主要的是,这些发现为若何乐成行使破绽提供了优越的证实。这使平安职员能够更周全地领会破绽造成的威胁,而这些知识可能会改变他们选择的缓解方式。

被行使的破绽还可能涉及评估职员和客户必须接纳的与其他类型的发现效果差其余主要行动。当一个红队发现了一个以前未公然的破绽,或者将一个以前未杠杆化但已经确定的破绽武器化时,就会泛起这些特殊情形。若是这个破绽是在一个不属于客户组织的软件中发现的,那么客户可能就没有那么大的影响力来思量接下来会发生什么。然而,评估职员应该就若何最好地处置向民众和应用程序开发职员披露此破绽作出明智的决议。此时,红队可能会披露破绽的细节,但需要与客户组织签署保密协议,同时红队确定流传破绽知识的最佳方式。此时,红队可以披露破绽的细节,但要求与客户组织签署保密协议,同时确定流传破绽知识的最佳方式。此外,有时被行使的软件现实上可能属于客户组织及其营业模子的一部门。在这些情形下,客户很可能不仅想要推动披露,或者更有可能停止该破绽相关知识的流传,而且评估职员可能不得不签署保密协议,以防止破绽泄露。无论是哪种情形,对于道德黑客来说,第一次发现破绽并将其武器化,并由国家尺度与手艺研究所(National Institute for Standards and Technology)治理的国家破绽数据库(National Vulnerability Database)等实体对其举行注释,对自己的履历和声誉都有利益。

晦气用破绽

在系统中发现破绽的缘故原由有许多,但评估职员甚至是客户自己往往决议不使用看法验证破绽。例如,若是某个破绽在组织的很大一部门网络中均存在,则不太可能每次都在每台盘算机上乐成地行使它来转达其存在于组织中的风险。若是评估职员试图在许多系统上行使相同的破绽,而没有智能的选择目的完成对组织的入侵,这现实上会被视为冒失。为此,可以通过一个破绽接见系统,若是该系统一旦遭到损坏,可以通过对目的的交互式观察发现在已安装和正在运行的多个软件中存在多个其他远程代码执行破绽。在已经获得接见权限的情形下,可能没有需要对这些破绽举行“看法验证”。

客户还可能会发现某些破绽或系统太危险,而无法介入此类平安评估流动,他们可以告诉评估职员忽略这些装备或应用程序,也可以以更平安的方式授予模拟接见权限,以便继续评估。我以为,晦气用破绽的一个公正的笼统说法是,若是它不能促进杀青组织被入侵的阴谋或辅助转达特定破绽的严重性,那么行使这类破绽的风险就不值得回报。若是我告诉一位客户 MS17-010 在他们的大多数 Windows 机械上都有,而且我可以用它接见系统,我信托这句话很可能转达了一种严肃性,允许我在一些模拟攻击的机械上举行系统级接见,相比于网络中潜在的动辄让机械“蓝屏”的攻击者来说,这是一种更专业的道德黑客行为。

本文由作者“丝绸之路”整剃头布,

FiLecoin官网

FiLecoin官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

Allbet Gaming声明:该文看法仅代表作者自己,与本平台无关。转载请注明:万利逆商(www.ipfs8.vip):开展专业的红蓝演练Part.15:重中之重——若何编写并汇报演练效果(一)
发布评论

分享到:

usdt支付平台(www.caibao.it):档期问题辞演《上将军》 木村拓哉痛失攻美时机
2 条回复
  1. 新2会员手机管理端
    新2会员手机管理端
    (2021-07-06 00:13:37) 1#

    欢迎进入欧博亚洲(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。好啊,很独特的语言

    1. 新2会员网址
      新2会员网址
      (2021-07-20 09:15:22)     

      Allbet Gmaingwww.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

      这小站要啥文有啥文

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。