本文讲的是 火眼主动出击 推出渗透测试服务,要保护企业免受网络威胁,最好的防御有时就是进攻。如今,一向以事件响应和检测技术闻名的火眼公司也上线了一项名为“红队行动”(Red Team Operation)的服务,开始进军这一领域。
2014年,火眼收购 Mandiant,在原本的安全技术组合之外又获得了事件响应能力。火眼拥有深厚的漏洞事件调查经验,特别是通过处理近年来一些最知名的漏洞,火眼已经洞悉了攻击者的方法和策略。火眼推出“红方行动”,利用了公司在处理世界上一些最严重的安全泄露事件中获取的经验,帮助机构了解当前真实的安全风险。
火眼公司副总裁、 Red Team Operations 部门主任马肖·海尔曼(Marshall Heilman)对媒体表示:“在我们说到渗透测试时,我们实际上在讨论攻破应用。”
海尔曼称,内部人员威胁评估、移动和系统风险测试是渗透测试的典型组成部分,当然也是这项新服务的重要内容。此外,Red Team 服务比传统测试更为深入,它从攻击者的角度出发,试图用各种可能的手段破坏机构。火眼 Red Team 将会首先和消费者一起商谈,确定五种最糟糕的情景。
我们对企业最担心的问题建立模型,采取各种方法来达到这些目标。
相比之下,在典型的渗透测试中,机构会参与到渗透测试的过程中,为其增添约束。这导致某些系统仅在特定的时间和条件下才会成为目标。海尔曼表示,常规渗透测试有其优点,但 Red Team 采取的方法更接近真实世界的情况:攻击者没有受到限制,可以采取任意方向进行攻击。
渗透测试服务市场竞争日益激烈。Rapid7 公司是该市场的领军者,也是广为使用的 Metasploit 渗透测试框架的主要商业赞助者。海尔曼称,火眼与这个行业的所有参与者一样,在 Red Team 渗透测试中使用 Metasploit 框架。他还表示,公司也使用 Cobalt Strike 应用,获取对手仿真和威胁模拟能力。
在商用和开源工具之外,火眼 Red Team Operations 也使用了定制工具,包括后门和恶意软件。火眼目前已经开源了一项自家开发的工具 Egress Assess ,它可以模拟攻击流量。
Red Team 服务只是刚刚公布,但火眼和一些客户进行的接洽已经得到了有趣的结果。
海尔曼说:“Red Team 从来没有在完成目标方面失手。你对这句话的第一感觉可能是机构都没有配备优秀的安全措施,但实际上并非如此。”
大多数机构都以防守的心态来看待安全问题:它们关注那些需要保护的东西。举例而言,如果有数据库,他们就会部署防火墙。
数据库配备了防火墙,但这不会赶走攻击者。相反,他们会寻找能够通过防火墙认证的人,改变过滤规则。海尔曼认为,目前的挑战在于,大多数机构都不去了解攻击的整个生命周期。
海尔曼提到的另一个例子是:攻击者看待安全的视角不同,对双因素认证产生了影响。双因素认证不仅仅用一条密码来保护账户,而是为安全性提供额外的一层。双因素认证通常被推荐为实现安全的最佳措施,但海尔曼强调,火眼公司 Red Team 有可能绕过它。
“你部署了双因素认证,但最顶尖的攻击者仍旧可以绕过。”
这也说明,双因素认证仍旧是大多数组织和 IT 用户应当部署的措施。没有双因素认证,攻击者可以更容易地进行未授权访问。绕过双因素认证并不容易,而且容易制造很多“噪音”,有可能让企业意识到受到攻击。
火眼公司 Red Team Oeprtaions 服务包括一项评估服务:在全力进行攻击的时候,他们也会让机构的事件响应人员运用火眼的安全行动服务进行防御,帮助机构找到、检测 Red Team 的攻击。
如果企业能抓到我们,也就可以抓到大多数攻击者。
原文发布时间为:三月 28, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/14625.html
