在本章節(jié)中，作者提出了一種獨特的安全評估模型——CAPTR。這一評估模型的主要思路就是分層思維，先圈定出組織中最為重要的資產(chǎn)然后從這些資產(chǎn)出發(fā)反向推理到外網(wǎng)，從而找到 APT 攻擊的路徑。

　　反紅隊（CAPTR teaming）是我在就讀博士期間的研究和論文中提出、設(shè)計和評價的一種逆向紅隊方法。如前幾章所述，紅隊在適當(dāng)?shù)啬７虏⑦m當(dāng)?shù)鼐徑飧呒壋掷m(xù)威脅方面處于極大的劣勢。當(dāng)我們談到紅隊演練時，模擬 APT 攻擊尤其成為一種特殊的挑戰(zhàn)，即使是最有天賦的進攻性安全專業(yè)人員也會面臨這種挑戰(zhàn)。另外，即使一個道德黑客和一個惡意黑客的技能處于一個公平的競爭環(huán)境中，現(xiàn)代的攻擊性安全狀態(tài)幾乎在各個方面都傾向于實際的攻擊者而不是模擬的攻擊者。為了試圖解決這個問題，我最終提出了一種進攻性的安全評估方法，盡管受到APT挑戰(zhàn)的推動，但與傳統(tǒng)的紅隊相比，這種方法在許多方面都是有益的。

　　在安全行業(yè)中，紅隊或滲透測試被廣泛接受，甚至在組織的更大的安全機構(gòu)中被有所期待。許多人甚至要求進行某種形式的攻擊性安全活動，以驗證和核實其他信息安全技術(shù)和活動。紅藍演練作為整個信息安全的必要機制，也很不幸的產(chǎn)生了副產(chǎn)品，許多人尋求紅隊或滲透測試，并需要對時間和資源的影響盡可能??；客戶組織要求用很少的資源進行短時間的演練，以嘗試滿足任何要求攻擊性安全實踐的需求。

　　我的目標(biāo)是通過對典型的紅隊流程進行完善來解決這些問題。真正聰明的攻擊者不遵守任何規(guī)則，除了那些推動他們達成攻擊目標(biāo)的人。攻擊者欺騙、利用漏洞并不惜一切代價破壞其目標(biāo)。為什么道德黑客不應(yīng)該欺騙正常程序來緩解APT呢？顯然，在追求演練范圍時，我們?nèi)匀槐仨氉裱璕OE，并且在此過程中不違反任何法律。然而，如果我們能夠以一種有利于我們的方式來欺騙典型的演練過程，并且仍然提供攻擊性安全評估的所有好處，那么欺騙當(dāng)然值得考慮。如果組織打算在極短的評估窗口內(nèi)節(jié)省時間和資源，我們應(yīng)致力于為他們提供一種評估方法，以便在這種受限的評估環(huán)境中進行高效和有效的評估。這一需求促使我開發(fā)了一個紅隊流程，通過逆向和改變紅隊活動，在極度受限的評估中應(yīng)對高級威脅。在這一章中，我將闡述 CAPTR，和我的創(chuàng)造這一思路的動機和靈感，并對比了它與紅隊的優(yōu)勢和一般劣勢。

　　反紅隊（CAPTR）

　　最初，我的目標(biāo)是為 APT 在特定組織中出現(xiàn)攻擊可能導(dǎo)致的致命受損情況提供保護。致命的受損情況是指導(dǎo)致人類死亡或?qū)е陆M織停止運轉(zhuǎn)或無法按預(yù)期運行的攻擊。我認為，保護這些目標(biāo)不受APT攻擊是一種值得組織自身不斷強化評估過程的能力。致命的受損情況可能是失去對SCADA設(shè)備的控制，從而導(dǎo)致裝配線工人的死亡、核電廠熔毀，或?qū)е卤还艉蟪霈F(xiàn)數(shù)據(jù)丟失或泄露，從而造成不可估量的影響，以至于組織基本上走向死亡。在設(shè)計一個能夠有效地解決此類攻擊以緩解APT威脅的流程時，我提出了CAPTR（反紅隊）的概念。我還發(fā)現(xiàn)，盡管專門針對關(guān)鍵攻擊的緩解進行了調(diào)整，但它在許多其他方面都是有益的，值得納入總體進攻性安全實踐。事實上，CAPTR 本質(zhì)上是以極其高效和有效的方式對組織的一個子集進行優(yōu)先評估，這意味著它有助于應(yīng)對APT威脅，并有助于為不太可能成為APT目標(biāo)但希望對目標(biāo)資產(chǎn)進行重點評估的組織成功開展工作。這可能是一個新的應(yīng)用程序、數(shù)據(jù)中心、業(yè)務(wù)部門、收購或其他需要快速有效的攻擊性安全評估的特定范圍。

　　攻擊性安全評估人員應(yīng)盡最大努力超越競爭對手。惡意攻擊者和傳統(tǒng)威脅模擬器都會花費大量時間和精力攻擊整個組織，以搜索有價值的機器和數(shù)據(jù)。安全評估人員應(yīng)利用許多技術(shù)和運營資源，確定并優(yōu)先評估這些關(guān)鍵項。攻擊性安全評估人員應(yīng)該從相對較高的位置開始活動，并從高風(fēng)險項開始評估，而不是在前往這些項目的路上浪費時間。正是本著這種精神，CAPTR 將作戰(zhàn)優(yōu)勢從APT轉(zhuǎn)移到檢測和預(yù)防上。CAPTR 是一種攻擊性安全評估模型，它實現(xiàn)了三種新的評估屬性：

　　1、最壞情況風(fēng)險分析，以確定范圍

　　2、關(guān)鍵攻擊初始化視角

　　3、使用反向跳板鏈進行漏洞分析和攻擊

　　最壞情況風(fēng)險分析和范圍界定

　　CAPTR 與組織中的運營和安全人員合作，以確定評估的適當(dāng)范圍。CAPTR 范圍是對關(guān)鍵項進行優(yōu)先排序，這些關(guān)鍵項在受到攻擊時會產(chǎn)生重大影響，而不管這種攻擊的可能性如何。這種策略允許以高效和有效的方式將評估資源用于整個組織的最壞情況子集。成功識別高風(fēng)險項需要目標(biāo)組織職能和安全領(lǐng)域的利益相關(guān)者的共同參與。運營人員可能知道哪些對象一旦被攻擊后可能會給組織帶來毀滅性的破壞。但是，這些安全人員可能不知道網(wǎng)絡(luò)中的設(shè)備和數(shù)據(jù)在多大程度上代表了高風(fēng)險項，這對于確定盡可能完整的初始范圍來說，IT基礎(chǔ)設(shè)施和安全人員的知識同樣重要。將CAPTR評估的初始范圍限制在高風(fēng)險對象上，允許評估人員將注意力集中在完全由重要資產(chǎn)組成的小型攻擊面上，并防止浪費資源用于除最重要的攻擊面以外的任何方面。在范圍界定階段，充分識別優(yōu)先資產(chǎn)可以成功評估關(guān)鍵的受損項，從而通過緩解最壞情況下的威脅，改善總體安全態(tài)勢。

　　關(guān)鍵初始化視角

　　初始化視角是攻擊性安全評估開始掃描和枚舉漏洞的起點。常見初始化視角的示例來自Internet（組織外部）或組織內(nèi)的不同位置。初始化視角的位置會影響安全評估的許多屬性，例如首先評估的攻擊面類型、模擬的威脅類型以及已識別的漏洞等。

　　從基于互聯(lián)網(wǎng)的威脅、受損的DMZ服務(wù)器，甚至是成功的網(wǎng)絡(luò)釣魚攻擊內(nèi)部用戶機器的初始化角度出發(fā)，對一系列高風(fēng)險項進行評估可能會阻礙評估的進展和成功。為了最有效地解決APT針對關(guān)鍵項可能利用的漏洞，必須做出讓步，使這些威脅已經(jīng)或?qū)⒛軌虼┩附M織的外圍和后續(xù)防御層。確定影響較大的受損對象并創(chuàng)建范圍后，CAPTR評估模型開始對優(yōu)先風(fēng)險項本身進行評估。這被稱為“利用關(guān)鍵初始化視角”，允許CAPTR評估對高風(fēng)險受損對象執(zhí)行即時評估，而不是首先花時間預(yù)先確定它們的路徑。

　　反向軸心鏈

　　反向軸心鏈?zhǔn)且粋€由兩部分組成的過程，用于識別對最初確定范圍的受損對象影響最大的發(fā)現(xiàn)。對每個范圍內(nèi)的受損項進行局部評估。然后，利用這些受損對象作為對宿主組織進行外部評估的關(guān)鍵初始化視角。這種外部評估是以一種非典型的、有針對性的、不引人注目的方式進行的，它確定了通信者的分層級別及其與初始范圍的關(guān)系。這些關(guān)系最終代表了一個風(fēng)險鏈網(wǎng)絡(luò)，它從優(yōu)先的高風(fēng)險項向外傳播。

　　反向軸心鏈描述了風(fēng)險鏈接網(wǎng)絡(luò)中的威脅關(guān)系，該網(wǎng)絡(luò)將關(guān)鍵受損項置于中心位置。即使無法遠程利用第一層或更多外部通信，通信鏈路仍會被識別為具有與其潛在風(fēng)險相關(guān)的適當(dāng)風(fēng)險等級，從而使攻擊者能夠訪問關(guān)鍵的受損對象。這些信息對于授權(quán)組織緩解和監(jiān)控CAPTR 發(fā)現(xiàn)的威脅至關(guān)重要。這一風(fēng)險鏈網(wǎng)絡(luò)是進攻性和防御性安全團隊之間以評估結(jié)果為基礎(chǔ)開展合作以改善安全態(tài)勢邁出的獨特一步。

　　對比

　　當(dāng)一個人僅僅依靠傳統(tǒng)的紅隊評估來評估網(wǎng)絡(luò)安全和減輕APT的影響時，有幾個存在缺陷的原因。這些問題是不斷演變的威脅形勢的結(jié)果。評估期間暴露的漏洞列表可能在測試結(jié)束后的幾天內(nèi)過期。另一個原因是，典型的紅隊活動側(cè)重于模擬攻擊者，而不是內(nèi)部威脅的所有方面。鑒于傳統(tǒng)紅隊在這些和其他情況下與CAPTR的潛在優(yōu)勢形成鮮明對比的劣勢，應(yīng)在很大程度上鞏固CAPTR方法在已規(guī)定實踐中的地位。

　　零日漏洞

　　零日攻擊是利用零日漏洞的代碼。零日漏洞是軟件制造商或安全供應(yīng)商未知的漏洞。在演練過程中，紅隊掃描漏洞，并試圖利用漏洞訪問組織。這里的一個問題是，這個過程可能不會包含零日漏洞利用，因為它們尚未被披露或發(fā)現(xiàn)?？梢员Ｊ氐丶僭O(shè)，在紅隊完成滲透測試后，有可能在幾天后，一個武器化的漏洞作為對組織的新威脅就出現(xiàn)了。

　　還必須有一個假定的概念，即紅隊無法訪問的網(wǎng)絡(luò)部分可能存在無法評估的高危漏洞，因為評估人員在這些設(shè)備與無法訪問的網(wǎng)絡(luò)之間沒有發(fā)現(xiàn)漏洞。在這種情況下，如果紅隊無法評估的設(shè)備易受新的零日攻擊，那么攻擊者可以使用這些高危漏洞產(chǎn)生前所未有的影響。這通常是紅隊的公認部分，未評估的部分可能也包含了漏洞。顯然，零日漏洞轉(zhuǎn)化為零日漏洞 Exp 的可能性表明防御中存在漏洞，無法進行分析。CAPTR 方法允許在一定程度上緩解新零日漏洞對評估有效性的影響?？紤]圖9-1，這里給出了一個簡化的紅隊演練的例子：

　　在這個圖中，紅隊攻擊面向互聯(lián)網(wǎng)的web應(yīng)用程序服務(wù)器，然后在web應(yīng)用程序管理器登錄到服務(wù)器進行檢查時，在捕獲憑據(jù)并識別IP地址后，從那里轉(zhuǎn)到web應(yīng)用程序管理器的個人計算機。接下來，紅隊試圖深入網(wǎng)絡(luò)，發(fā)起致命的攻擊，在本例中，這是一個控制生物危險廢物分配的SCADA設(shè)備。不幸的是，Windows 2012網(wǎng)關(guān)位于紅隊的軸心點和致命受損目標(biāo)之間，目前還沒有已知的遠程代碼執(zhí)行漏洞。在本例中，紅隊從未列舉SCADA控制器以確定其是否易受常見遠程代碼執(zhí)行漏洞（如MS08-067）的攻擊。評估后不久，互聯(lián)網(wǎng)上披露了MS17-010零日漏洞和漏洞 Exp，一名APT攻擊者通過網(wǎng)絡(luò)釣魚入侵了網(wǎng)絡(luò)中的另一個用戶，并利用它訪問Windows 2012網(wǎng)關(guān)?，F(xiàn)在，APT攻擊者可以輕松利用易受攻擊的SCADA控制器，并最終利用SCADA設(shè)備本身進行攻擊，因為該設(shè)備容易受到稱為semtex的權(quán)限提升漏洞的攻擊，這使得隱形攻擊者能夠造成巨大的災(zāi)難。