了解最新的《数据泄露成本报告》,获取洞察分析,以便更好地管理数据泄露风险。
注册获取 X-Force Threat Intelligence 指数
要理解进攻性安全为何很重要,可以将其与防御性安全做个对比。
防御性安全措施(如防病毒软件和防火墙)采用的是被动安全设计。这类工具可用来阻止已知威胁或检测可疑行为。一些先进防御性安全工具也可以自动应对正在发生的攻击,例如 SOAR 平台。
虽然防御性安全策略可以阻止正在进行的网络攻击,但这些方法确实会给安全团队带来繁重的工作量。分析师必须对警报和数据进行分类,以区分真正的威胁和误报。而且,防御性安全措施只能防范已知的攻击媒介,使组织面临新的和未知的网络威胁。
进攻性安全可以弥补防御性安全的不足。安全团队使用 OffSec 策略可以发现和响应其他安全措施可能漏掉的未知攻击媒介。进攻性安全也比防御性安全更加主动。进攻性安全措施不是在网络攻击发生时做出响应,而是提前发现并解决漏洞,防止被攻击者利用。
简而言之,进攻性安全提供的信息可增强防御性安全的效果,还能减轻安全团队的负担。凭借这些优势,进攻性安全已成为一些高度监管领域的行业标准。
进攻型安全专业人员使用的战术、技术和程序 (TTP) 与威胁行为者使用的相同。利用这些 TTP,OffSec 专家可以对现有安全程序进行测试,根除可能被真正的黑客利用的潜在漏洞。
进攻性安全策略主要包括:
漏洞扫描是检测企业 IT 资产漏洞的自动化流程,需要使用专门的工具来扫描计算机系统中的漏洞。
漏洞扫描程序可以在资产中搜索与特定软件版本关联的已知漏洞,还可以执行更主动的测试,例如查看应用程序如何响应常见的 SQL 注入字符串或其他恶意输入。
黑客经常在攻击时通过漏洞扫描来识别可以利用的漏洞。反过来,OffSec 专家可以使用相同的漏洞扫描程序比黑客先一步发现这些漏洞并进行修补。这种积极主动的方法让企业得以抢占先机,并加强威胁防御能力。
渗透测试是使用模拟网络攻击来查找计算机系统中的漏洞。从本质上讲,渗透测试人员相当于人工漏洞扫描程序,他们通过模仿真正的黑客来查找网络漏洞。渗透测试人员采用攻击者的视角,这相应地使他们能够有效地查明恶意行为者最有可能攻击的漏洞。
因为由安全专家真人执行渗透测试,所以可以检测到全自动工具可能遗漏的漏洞,而且不太可能出现误报。如果他们自己可以利用某个漏洞,那么该漏洞也可以被网络罪犯利用。而且渗透测试通常由第三方安全服务提供,因此可以发现内部安全团队可能遗漏的漏洞。
红队也称为“对抗模拟”,是由专家组利用现实世界网络罪犯的 TTP 对计算机系统发起的一种模拟攻击练习。
与渗透测试不同,红队是一种对抗性安全评估,通过积极利用攻击媒介(不造成实际破坏)来评估其攻击力。红队还会与作为防御方的蓝队安全工程师对抗。通过这种模拟练习,企业能够对其事件响应实践程序进行测试。
企业可以雇用内部红队,或者聘请第三方来开展红队练习。为了有效测试技术性防御措施和员工意识,红队行动可能会用到多种策略。常见的红队方法包括模拟勒索软件攻击、网络钓鱼和其他社会工程攻击,甚至包括尾随等现场入侵技术。
红队可能会根据掌握的信息量进行不同类型的测试。在白盒测试中,红队充分掌握了目标系统的内部结构和源代码。在黑盒测试中,红队没有系统相关信息,必须从外部侵入系统,就像现实世界的黑客一样。在灰盒测试中,红队可能对目标系统有一些基本了解(比如网络设备的 IP 范围),但掌握的信息并不全面。
要想顺利开展进攻性安全工作,安全专家必须具备黑客实践经验、了解编程语言并熟悉 Web 应用程序安全。为了验证在这些领域的专业知识,进攻性安全专家通常需要获得进攻性安全认证专家 (OSCP) 或认证道德黑客 (CEH) 等认证。
OffSec 团队还需采用成熟的道德黑客攻击方法,包括开源项目,例如开源安全测试方法手册 (OSSTMM) 和渗透测试执行标准 (PTES)。
进攻性安全专家还需熟练使用常见的进攻性安全工具,包括:
Metasploit:针对 IT 系统的漏洞利用开发和自动化框架。主要用于渗透测试和漏洞评估。
Kali Linux:一款专为渗透测试和数字取证而设计的 Linux 操作系统。
Burp Suite:一种 Web 应用程序安全测试工具,可以扫描漏洞、拦截和修改 Web 流量以及自动执行攻击。
Wireshark:一款网络协议分析工具,可捕获和检查网络流量,帮助识别网络通信中的安全问题。
Nmap:一种网络扫描工具,用于网络发现、端口扫描和服务识别。
Aircrack-ng:一套用于测试 Wi-Fi 网络安全性的工具,能够嗅探数据包、抓取握手包和破解密码加密。
John the Ripper:一种密码破解工具,可对密码散列进行蛮力攻击。
sqlmap:一种在 Web 应用程序中进行自动化 SQL 注入漏洞利用的工具。