《邸业飞-新一代网络安全测试方法-基于ATT&CK框架的入侵与攻击模拟(13页).pdf》由会员分享,可在线阅读,更多相关《邸业飞-新一代网络安全测试方法-基于ATT&CK框架的入侵与攻击模拟(13页).pdf(13页珍藏版)》请在三个皮匠报告上搜索。
1、邸业飞2022.06解决方案专家/是德科技NSS事业部新一代网络安全测试方法-基于ATT&CK框架的入侵与攻击模拟BAS:Breach&Attack Simulation;入侵和攻击击模拟拟是一种新的安全测试方法。这些模拟通过模拟恶意入侵者者可能使用的攻击路径和技术来识别安全环境中的漏洞。BAS技术作为一种工具,“允许企业使用代理软件、虚拟机和其他手段,持续不断地模拟针对企业基础设施的完整攻击周期(包括内部威胁、横向移动和数据外移)”。means.”Gartner对对BAS的定义义2021年八大安全和风险管理趋势验证实时性验证全面性扫扫描测试测试渗透测试测试部署前测试测试BAS测试测试测试对测
2、试对象终端防护终端防护网络防护+性能评估网络络防护护+终终端防护护全面性低高高高实时实时性高低高(部署前)高四种安全评评估方法:扫扫描/渗透/部署前安全测试测试/BAS是德科技的优势是德科技的优势ATIRESEARCH CENTER20+年专业网络安全测试市场领导者年专业网络安全测试市场领导者是德科技BAS方案:Threat Simulator仿真网络络攻击链击链基于ATT&CK框架持续验证续验证您的防御能力自动动化弥补补安全漏洞一流的补补救措施Branch 1Branch 2Branch 310.0.3.0/24B1B2B310.0.2.0/2410.0.1.0/24InternetSimu
3、lated Dark Cloud 管理控制平台 云部署/本地部署External HackersDNS serversC2C serversMalicious HostsManagement Web PortalNGFW Microsoft AzureDC-110.0.0.0/24DC1Threat Simulator Agent(simulated actor)User workstation(non-simulated)Production Web Servers(non-simulated)LegendThreat Simulator产产品架构和部署 DMZ10.0.0.0/24DMZu
4、ntrusttrustuntrusttrustuntrusttrusttrusttrust1.基于Web的客户端界面:配置,运行,识别安全状况的偏差并推荐补救措施2.一个仿真的“Dark Cloud”实体,可按需启动代理以模拟网络中的威胁参与者,如:恶意网站、外部黑客、C2C等3.部署在网络上的Agent代理;Docker容器格式,在网络中充当模拟器“目标”或“攻击者”,实现从内部到外部、外部向内和横向移动 的攻击模拟场景。MITRE ATT&CK Tactics&MITRE ATT&CK Tactics&TechniquesTechniques-TA001 Initial Access-TA
5、002 Execution-TA003 Persistence-TA004 Privilege Escalation-TA005 Defense Evasion-TA006 Credential Access-TA007 Discovery-TA008 Lateral Movement-TA009 Collection-TA010 Command&Control-TA011 Exfiltration-TA040 Impact Endpoint Security Controls Endpoint Security Controls-Host based EPP/EDR/IDS/IPS-Host
6、 based AV-Host based DLPThreat Simulator 的评评估对对象NETWORKNETWORKWAF,IPS,GAV,DLP,URL Filtering,DLPEMAILEMAILPolicy AssessmentsPolicy Assessments-Anomalous Archives-Compressed files-Corrupted files-Encrypted archives and documents-Encrypted content-Executable binaries-Executable scripts-Microsoft Office
7、 documentsCorporate Email SecurityCorporate Email Security-Malicious attachments-Malicious links-CISA Top-10-EICAR ValidationEmail integrations Email integrations-Microsoft Office 365 EmailWeb Application Security/Web Application Security/OWASPOWASP-Cross Site Scripting-SQL Injection-Remote File Inc
8、lusion-Local File Inclusion-Server-Side Script Injection-OS Command Injection-Reflected XSS Efficiency-Stored XSS Efficiency-SQL Injection EfficiencyLAN PerimeterLAN Perimeter-Web browser vulnerabilities-File format vulnerabilities-Malware file transfer-Command and control(C&C)Post-BreachPost-Breach
9、-Lateral movement-Data exfiltrationFull Kill Chain&APT scenarios|SIEM Integration:Splunk,QRadar,and LogZ.ioENDPOINTENDPOINTHIPS,HIDS,DLP and AV评评估阶阶段1-基于ATT&CK框架的安全测试测试覆盖覆盖1212项战术的终端安全测试项战术的终端安全测试、网络安全测试、完整、网络安全测试、完整APTAPT攻击测试攻击测试购买购买新工具前提高安全性优化现有产品配置,提高投资回报率推荐引擎具有简单易用的分步说明,通过带有执行措施的情报解决最关键的问题。一站式工具
10、集成包括 IBM,Splunk,CheckPoint,Cisco,Fortinet,Palo Alto Networks,Juniper 等评评估阶阶段2-及时时修复发现发现的问题问题定期更新的攻击库击库来面对对新的攻击击将新出现的威胁带来的风险降到最低自动动化周期运行自动化的周期运行在环境漂移时能够持续收集证据,降低配置变更带来的风险评评估阶阶段3-持续验证续验证Kill Chain评评估案例-nJRAT DropperZIPMicrosoft Word解压nJRAT防火墙注册表TeamViewerQS.exeC&C黑客服务器Internet下载重命名绕过修改建立通信搜索本地文档并外发下载用户场景用户场景日常安全运维维 SoC 团队团队企业业安全运维维周期行的安全演练练,和针对针对相关人员员的安全培训训 攻防演练练,红蓝对红蓝对抗,网络络靶场场安全服务务等保/护护网行动动前的主动动网络评络评估和加固