在本章節(jié)中，作者進行了情景假設，與上一章節(jié)中結(jié)尾部分的情景做了對比，以便凸顯CAPTR 安全評估模型的優(yōu)勢，最后，作者也客觀的分析了該模型存在的固有缺點以及不可適用的場景。

　　接下來，考慮如圖所示情景，它顯示了簡化的CAPTR 演練。

　　在這種情況下，CAPTR 開始對SCADA設備進行評估。它發(fā)現(xiàn)SCADA設備上的本地權限提升漏洞。它還通過操作系統(tǒng)識別SCADA控制器的連接信息。接下來，CAPTR識別并利用Windows XP SCADA控制器；但是，由于Windows 2012網(wǎng)關沒有遠程代碼執(zhí)行漏洞的問題，它無法進一步向外轉(zhuǎn)移。然后，在MS17-010公開可用且APT攻擊者突破它的情況下，也會發(fā)生相同的情況。然而，這一次，APT攻擊者受到挑戰(zhàn)，可能無法訪問SCADA控制器或升級致命威脅的權限，因為他們的漏洞已經(jīng)被修補。這使防御團隊在防止和檢測APT攻擊者針對致命受損目標及其相關軸心點所做的努力方面獲得了支持，即使發(fā)布了新的零日漏洞版本也不會讓Windows 2012網(wǎng)關容易受到攻擊。

　　零日漏洞沒有完美的解決方案。0day一旦被公開，設備將變得脆弱。CAPTR 不會以任何方式保護整個組織免受其影響。然而，它確實確保首先評估致命的攻擊和內(nèi)部支點。這為零日漏洞攻擊提供了盡可能多的緩解措施，打開了APT攻擊者可以輕松通過的高度易受攻擊和未評估的網(wǎng)絡部分。圖9-1和圖9-2具體說明了零日漏洞對紅隊和 CAPTR 的影響方式，但應注意的是，對于其他約束條件，如評估窗口，也可以這樣說。例如，在紅隊評估期間，評估人員可能只會在計劃結(jié)束評估之前深入網(wǎng)關服務器。事實上，這一努力很可能被視為一次成功的接觸。在這種情況下，紅隊可能沒有對網(wǎng)絡中的關鍵資產(chǎn)進行深入評估。另一方面，CAPTR 的優(yōu)先范圍和反紅隊方法提供了對易受攻擊的SCADA控制器和致命攻擊的評估，確保其在時間窗口內(nèi)完成。

　　內(nèi)部威脅

　　在模擬攻擊時，紅隊可能會忽視網(wǎng)絡泄露和數(shù)據(jù)丟失的最大來源之一：內(nèi)部威脅。這些威脅可能因事故、蓄意而為的惡意的內(nèi)部人員或獲得內(nèi)部訪問權的外部攻擊者而表現(xiàn)出來。

　　在某些情況下，某些紅隊評估可能會解決意外的內(nèi)部攻擊問題，例如當團隊從模擬網(wǎng)絡釣魚獲得的肉雞上攻擊網(wǎng)絡時。在滲透測試期間運行網(wǎng)絡釣魚活動也是如此，但如果在測試期間沒有用戶打開惡意電子郵件，這可能會限制防御系統(tǒng)的成功測試。有意圖的內(nèi)部威脅是一種攻擊點，傳統(tǒng)的紅隊評估并不總是能涵蓋這種威脅，因為他們的任務通常是模擬攻擊者，而不是內(nèi)鬼或既定的惡意員工。這意味著，在滲透測試報告中，可能存在一個完全未評估的攻擊面，該攻擊面占所有數(shù)據(jù)泄露源的20%以上。這些類型的攻擊也是影響組織的一些更具影響力的威脅。

　　組織內(nèi)部的攻擊者可能能夠利用某些漏洞來訪問那些被視為關鍵或致命的受損目標。因為CAPTR評估從最后一道防線開始，并從那里向外推進，所以即使是內(nèi)部攻擊者與這些目標之間的一組有限的防線也將被 CAPTR 評估涵蓋。內(nèi)部攻擊者可能并不總是典型的內(nèi)部威脅的例子，例如現(xiàn)任或前任員工、承包商或在某一點上擁有授權訪問權限的其他人員。內(nèi)部威脅可能包括已經(jīng)在組織中建立據(jù)點的APT黑客。這種關注非組織成員的內(nèi)部威脅的方法有一個好處，即CAPTR評估通過識別和減少組織內(nèi)可能的關鍵點，幫助組織防止攻擊者訪問有價值的目標，為黑客創(chuàng)造了更大的挑戰(zhàn)，即使在發(fā)布零日之后也是如此。當然，在某些情況下，外部攻擊者甚至內(nèi)部心存不滿的員工會使用合法授權的帳戶來破壞組織的某些部分。在這些情況下，CAPTR評估和緩解措施也會使惡意攻擊者更難對組織造成無法彌補的損害。

　　效率

　　在攻擊性安全評估中，識別和利用易受攻擊的設備是在測試結(jié)束時生成可報告項的原因。這并不意味著測試期間利用的每一個設備都是最重要的，也不意味著一個組織會關心或費心解決針對所有設備發(fā)現(xiàn)的問題。在測試過程中，可能會花費數(shù)小時利用設備上已識別的漏洞，但卻發(fā)現(xiàn)該設備是一臺已停用的服務器，沒有相關數(shù)據(jù)，并且托管在與公司其他設備沒有連接的云環(huán)境中。忽略紅隊行動期間的潛在時間損失，這不是效率方面的唯一問題。紅隊試圖找出一個組織防御系統(tǒng)中的所有漏洞；聰明的攻擊者試圖找到一個。這意味著紅隊花更多的精力尋找比特定漏洞更多的漏洞，這些漏洞可能導致APT黑客深入組織。這是評估安全性的正確且必要的方法，因為任何有互聯(lián)網(wǎng)存在的組織都面臨著廣泛的惡意活動。需要注意的是，在紅隊滲透測試期間可能會發(fā)現(xiàn)許多漏洞，其中沒有一個能夠訪問關鍵目標。因此，這些測試不適合評估APT黑客可能利用的特定攻擊手法，也不適合傳統(tǒng)黑客、腳本小子和自動攻擊使用的攻擊手法。紅隊的首要任務是識別組織攻擊面中最有可能暴露給攻擊者的漏洞。網(wǎng)絡中受攻擊最多的部分是那些可以從外網(wǎng)訪問的部分。由于采用云計算的速度令人眼花繚亂，面對互聯(lián)網(wǎng)的組織層面的攻擊面不斷增加，這增加了攻擊性的安全挑戰(zhàn)。

　　這并不是說紅隊是對資源的拙劣使用。紅隊是保護組織免受網(wǎng)絡威脅的一個組成部分。如前所述，APT還有改進的余地。使用CAPTR可以提高效率。它是通過檢查一個組織的方式實現(xiàn)的，這樣一個團隊就可以識別出一個APT黑客將用來破壞組織最關鍵的資產(chǎn)的攻擊向量。效率問題受到攻擊面的影響。紅隊必須解釋每一層防御的整個表面的漏洞。這迫使紅隊以代表所有和任何攻擊的方式耗費時間，而不是將時間用于發(fā)現(xiàn)APT黑客為實現(xiàn)數(shù)據(jù)盜竊的最終目標而可能實施的非常具體的攻擊。CAPTR 不關注每一層的整個攻擊面，而只關注每一層中能夠使攻擊者可以轉(zhuǎn)向能夠?qū)崿F(xiàn)關鍵或致命攻擊的位置。

　　引入的風險

　　開展進攻性安全評估也存在風險。利用漏洞需要使用潛在的不穩(wěn)定的漏洞，如系統(tǒng)進程（如MS08-067）中的緩沖區(qū)溢出或內(nèi)核競爭條件（如臟牛），這可能導致目標系統(tǒng)崩潰。當一個紅隊接近那些對可能成為APT黑客目標的組織具有關鍵或致命重要性的目標時，風險就會上升。當需要進行攻擊性安全評估時，這些就是業(yè)務成本。在演練過程中，有一些緩解因素有助于預防風險，如范圍界定和ROE（演練規(guī)則），這些都是在測試開始之前確定的。在追蹤高風險目標以模擬APT黑客的攻擊時，仍然存在演練范圍內(nèi)的目標的風險以及遠程攻擊和權限提升等攻擊技術帶來的不可預見的后果。

　　CAPTR 評估流程減少了客戶組織高風險環(huán)境的風險。評估從被確定為致命風險的目標作為開始，這一事實意味著在攻擊性評估期間，遠程代碼執(zhí)行漏洞崩潰或破壞這些目標不會造成威脅。傳統(tǒng)的紅隊需要主動掃描工具（如NMAP）來識別感興趣的目標。CAPTR依靠被動獲取的致命攻擊目標信息來指導評估關鍵點，并重復被動信息收集和瞄準過程。大大減少了對遠程掃描工具的依賴和對致命關鍵系統(tǒng)的遠程攻擊，使得CAPTR能夠針對APT攻擊者可能攻擊的高風險環(huán)境提供攻擊性安全評估，同時盡可能降低這些系統(tǒng)的風險。

　　缺點

　　為了盡可能完整地分析CAPTR范式，重要的是概述新方法不適用的情況。CAPTR模型的缺點也應作為安全評估剖析的一部分予以說明。成功啟動CAPTR的障礙包括方法上的缺點，以及任何新想法在現(xiàn)有團隊面前必須克服的問題。CAPTR流程的設計和基礎是感知APT攻擊者最有可能利用的漏洞來破壞致命的受損目標。因此，CAPTR方法在其他類型的威脅及其不同存在點的有效性方面受到限制。由于初始存在點和評估過程的影響，CAPTR模型不太可能識別網(wǎng)絡中所有面向互聯(lián)網(wǎng)的漏洞。這也留下了潛在的高危漏洞，可能會受到不太成熟的攻擊者的攻擊，如自動攻擊和腳本小子。這些不太成熟的攻擊者可能受到技能和資源的限制，無法攻擊組織在互聯(lián)網(wǎng)上的存在，并且沒有在網(wǎng)絡深處收集特定數(shù)據(jù)的傾向、能力或動機。關于這一新范式的最大挑戰(zhàn)是在評估過程的開始部分。這種新的安全評估方法的獨特之處在于既需要技術熟練的安全人員，也需要熟悉風險管理的人員。此外，在提取關鍵和致命的受損目標時，未能準確地將風險和安全性結(jié)合在一起會影響整個測試的結(jié)果。安全評估新流程的引入以及對CAPTR評估范圍創(chuàng)建產(chǎn)生的數(shù)據(jù)的依賴為評估的成功創(chuàng)造了潛在的致命弱點。CAPTR評估必須從初始存在點開始，這也帶來了困難和新的障礙。在非桌面的評估中，CAPTR流程要求測試從訪問組織中一些最有價值的數(shù)據(jù)和設備開始。這需要組織和使用CAPTR模型進行測試的人員之間要有大量的信任，同時這也引入了責任。在傳統(tǒng)的安全評估和測試協(xié)議中，獲取組織的皇冠寶石是一個敏感和困難的主題。這種風險可能更大，所需的信任也更完整，這一事實可能會影響組織接受此類測試的意愿以及安全公司提供此類服務的努力。此外，由于初始存在點在網(wǎng)絡中更深，這意味著在測試期間需要與IT和安全人員進行更多的協(xié)調(diào)。這種增加的壓力可能會影響組織使用這種方法的成本和收益，并決定是否繼續(xù)進行這種類型的評估。最后，如前所述，鑒于對潛在客戶網(wǎng)絡中包含的信息和數(shù)據(jù)類型進行風險評估，這種類型的評估肯定不適合某些組織。如果無法確定對組織構(gòu)成致命或關鍵受損的數(shù)據(jù)或機器，則他們不太可能希望接受CAPTR評估。此外，由于關注APT黑客和內(nèi)部持有的極有價值的數(shù)據(jù)，CAPTR 不是任何組織安全評估需求的完整解決方案。

　　總結(jié)

　　本章介紹了CAPTR 的概念。描述了其創(chuàng)建和設計的靈感，并將該方法與傳統(tǒng)的紅隊流程進行了比較，以突出CAPTR方法帶來的具體好處。同時還指出了CAPTR 評估的固有缺點。