随着网络对手每天试图闯入数百万个网络,建立难以穿透的系统比以往任何时候都重要。Caldera™为组织提供了一种强大的自动化对手仿真工具,以识别网络弱点。
通过模仿恶意对手来测试网络防御
假设您对组织的网络安全负责。您需要知道您的组织能够捍卫自己的入侵者以及任何弱点在哪里。但是,最好的方法是什么?
公司和政府机构每年都会花费无数资源来测试其网络防御。他们甚至可能会派遣一群专家来对其网络进行模拟攻击。这个过程 - 引用红色队伍- 非常有效,尽管耗时且复杂,并且能够突出对手可以利用的防御差距。
“在米特(Miter),我们认识到部署现场红色团队练习的困难,因此,在2015年,我们开始开发软件以自动化对手仿真过程,” Miter Principe Cybersecurity工程师Andy Applebaum说。
“将近四年后,我们制定的计划称为火山口™现在是一个开源和免费的MITER程序,可以快速执行现实的攻击序列,并就其发现的内容产生详细的报告。”
透过对手的眼睛看
Caldera是用于红色团队自动化的网络对手语言和检测引擎的首字母缩写,它在网络上运行,复制对手行为,好像发生了真正的入侵。火山口映射到斜切att&ck™框架是基于现实世界的观察结果和网络社区贡献的对手策略和技术的全球知识基础。使用火山口,组织可以通过对手的眼光来查看其网络。
“Our big focus is on real-world situations where you want to emulate actual adversaries in really fast ways, then switch what you’re doing to respond to what an adversary will actually do,” says David Hunt, who leads the CALDERA development team.
火山口补充,但不能取代其他防御。例如,经营有效的红色团队所需的费用和时间对许多组织来说都是成本良好的。而且,许多红色团队测试的设计方式无法解释不断变化的对抗环境。
亨特说:“您可以使用Caldera进行可重复的测试,并且使用该工具的人员的技能水平无关紧要。
“ Caldera允许组织减少评估所需的资源,因此红色团队可以专注于解决问题的精致解决方案。”
火山口差异
亨特解释了火山口不同和必要的其他原因。
“组织通常会根据以下问题评估其安全姿势:'软件修补程序是最新的吗?我们有哪种类型的安全控制?我们使用哪种入侵检测工具?'但是其中许多工具都依靠搜索已知威胁指标和威胁经常改变。这使后卫猜测他们将如何检测和回应积极的威胁。
亨特说:“火山口是不同的,因为它可以帮助防守者超越对系统妥协的检测,以实现对对手行为的实际检测和响应。”“与许多程序不同,Caldera不需要您关闭防病毒计划,这在测试过程中可能会引入额外的风险,并且在操作环境中是不切实际的要求。”
火山口系统的另一个驾驶功能是,Caldera在执行过程中会在收到反馈时动态编写命令,而不是遵循脚本命令序列,而是学习了命令。这有助于为Caldera的运营提供更多的多样性和现实主义,因为攻击者经常根据他们在入侵过程中发现的信息来调整其操作。
使用火山口还有其他原因:
- 通过运行“自动红色团队”,网络人员可以研究他们可能想要针对实际攻击的防御技术。
- 组织可以建立伪造的测试环境,安装火山口,运行程序,并培训员工的寻找。
- 组织可以部署火山口,以强调测试不同的防御技术,例如基于规则的检测系统。
全球越来越多的新方法接受
Caldera已经在网络安全世界中获得了吸引力。
Applebaum说:“花了一段时间才赶上,但是直到我们开放代码并在Black Hat Europe展示它之前,人们才真正开始看到使用Caldera的好处。”
“看到它生存并浏览实际代码使它变得有形,人们确实对此进行了处理。当然,自动化测试的想法已经存在,但是Caldera是以完全完全完全的方式进行的第一个项目之一如ATT&CK中所述,自动化,端到端并与真正的威胁保持一致。
“自第一次版本以来,我们已经成长为最活跃的项目Miter的Github。我们还看到了安全社区中火山口的大量使用。它已在会议上介绍并写在博客和论文中。”
亨特补充说:“而且我们不在真空中工作。自从我们首次开始宣传火山口以来,已经发布了其他自动进攻测试工具,例如Red Canary的Atomic Red Team项目或Endgame的Red Team Automation。这些工具通常与火山口是互补的,在火山口不合适的情况下填充了用例。”
Applebaum说:“有了Caldera,我们最初就以这个小目标出发,表明是的,自动化的对手仿真是可能的。”
“从那时起,我们已经成长了很多,以至于我们不再只是可能的原型,而是人们用来获得真正价值和增强其安全性的切实。”
一个版本火山口是开源的,可免费提供组织。除开源版Caldera外,MITER还维护了封闭式版本,该版本具有其他功能,包括更好地扩展到更多端点。讨论许可或协作活动,请联系我们。
- 汤姆·诺蒂尔(Tom Dutile)