Gartner最新指南:如何通过开展红队演习提高网络弹性

news2024/11/16 1:46:52

由于事件和监管要求不断增加,安全和风险管理领导者努力建立网络弹性并有效管理网络威胁。本研究指导这些领导者制定红队计划以支持弹性及其关键组件。

主要发现

  • 根据 2024 年 Gartner 设计和构建现代安全运营调查,73% 的组织认为红队角色对安全运营目标的贡献很大或非常重要。然而,只有 28% 的组织至少有一名全职红队成员。

  • 然而,组织通常认为红队不过是一次高级渗透测试,或者它过于昂贵、耗费资源和时间,这使得组织无法做好应对入侵的准备。

  • 许多组织越来越重视构建弹性。这应该会触发红队计划的启动,该计划会复制可能攻击组织的真实威胁行为者的策略、技术和程序 ( TTP ) 。

  • 建立有效管理潜在网络攻击的能力和信心将减少平均恢复时间,从而降低违规成本、对资源的影响及其潜在的品牌损害。

建议

负责运营的安全和风险管理领导应与其他安全和风险管理利益相关者合作:

  • 通过开展红队演习来发现安全运营在检测和响应能力方面的功能差距,从而提高弹性。使用紫队方法促进协作学习并指导具有可操作结果的活动,例如改进检测或加快响应流程。

  • 通过持续威胁暴露管理 (CTEM) 程序模拟预期真实威胁行为者的 TTP,为不断变化的法规做好准备。

  • 首先重点验证针对关键业务资产和流程的攻击的可行性。引入自动化来持续、一致地模拟攻击,并测试组织及时检测、响应和恢复攻击的能力。

介绍

网络攻击不仅影响直接受害者,有时还会影响组织的客户和合作伙伴以及普通公众(例如 Colonial Pipeline 勒索软件攻击)。尽管拥有大量预算、资源和网络防御策略,受害组织通常仍会受到攻击。因此,需要采用红队等整体方法,从整体上审视组织的准备工作(人员、流程和技术) 。

例如:如果检测失败,您无法及时做出响应,您该如何恢复?是否有足够的备份程序来恢复?将红队能力作为安全策略的一部分进行构建,不仅有助于回答这些问题,而且还能在攻击者发现漏洞之前弥补漏洞。

红队方法涉及以模拟潜在攻击者的意图、决心、动机和老练程度的方式“突破”组织。它与渗透测试的区别在于,它模拟真实的攻击场景来测试组织的安全态势和准备情况。红队方法不受有限范围的限制,而是受目标的约束。它将避开防御控制,保持隐蔽,不被发现,从而实现其目标。它为组织提供最接近真实攻击的体验,以便他们能够练习防御和响应能力并识别漏洞和盲点,从而提供机会来提高涉及技术、流程和人员的能力。

红队方法通过提供对哪些攻击有效以及哪些防御控制失败或缺失的洞察,展示了改善网络安全投资的精确方法。

分析

开展红队演习以提高组织弹性

我们认为,弹性是每个组织的重要目标,也是当今复杂动荡的世界的战略要务。弹性强的组织比弹性较弱的组织表现更好。

我们对网络弹性的定义如下:

网络弹性是指组织在不断变化且日益复杂的环境和威胁形势下抵抗、吸收、恢复和适应业务中断的能力,使其能够实现目标并反弹和繁荣。

确保组织的弹性策略具备通过漏洞评估和渗透测试识别、检测和保护的基础能力。该策略还应包括红队方法,该方法还扩展了测试响应和恢复过程的能力。虽然定期渗透测试可以提供有关安全状态和与漏洞利用相关的风险的良好信息,但渗透测试在行为和方法上仍然不同于真正的威胁。

红队将采取整体方法来测试人员、流程和技术,为组织提供机会测试蓝队在实际入侵时使用的技术和方法,了解团队如何反应,并找出改进点。红队演习为组织提供了最接近真实攻击的体验,有助于提高其弹性。

组织必须对蓝队/红队能力的成熟度以及后续步骤进行差距分析。这将确保他们最大限度地利用可用的时间、资源和预算。负责安全运营的安全和风险管理领导者必须了解红队的目标、工具和技术,以提高网络安全弹性并有效运营红队计划。

使用威胁情报来了解对组织或其所在行业构成重大风险的顶级威胁,无论其能力如何。使用该输出来制定方案并一次测试一个方案以深入了解并逐步提高成熟度。将收集到的信息与确定合适的起始位置和演习类型的目标相结合,如图 1 所示。

图 1:红队参与的目标和起始位置

                                          

红队演习的目标和起始位置的示例:

  • 场景 1(原始/起步)—测试组织检测和响应特定于组织的顶级威胁载体的能力。为了有效利用时间和资源,采取假设的违规立场可以深入了解攻击的影响。

  • 场景 2(日趋成熟)——测试组织检测和应对特定威胁或威胁行为者群体的能力,从外部开始执行对手模拟。验证针对完整攻击链的控制能力或证明投资的合理性。

作为该计划的一部分,首先考虑紫色团队,即蓝队和红队在测试的不同阶段进行协作。开展紫色团队演习的主要好处包括:

  • 蓝队可以练习检测和应对模拟攻击的能力,并找出覆盖范围和技能方面的差距。

  • 它有助于避免蓝队和红队之间的摩擦,通过促进一种协作文化,双方都可以从学习中受益,并通过相互挑战来突破彼此技能和能力的界限,提高他们的成熟度。

紫队演习的好处超越了蓝队和红队。从整个组织的角度来看,一些关键的好处包括:

  • 他们可以帮助与包括高级管理人员、业务和 IT 领导者在内的各利益相关者建立关系。

  • 在规划阶段透明地纳入关键利益相关者有助于消除恐惧,并帮助利益相关者了解深入探索风险的好处。对未知的恐惧可能会造成不必要的损害,尤其是当生产系统成为目标时。

  • 这些演习确保关键系统纳入范围,设计出切合实际的场景,最大限度地降低红队活动直接或间接造成的任何风险。

建议

  • 加入红队来提高组织的网络弹性。

  • 使用威胁情报来指导进行红队演习的决策。

  • 首先采用紫色来促进协作和学习。这可以是一个根据参与目标和范围聚集在一起的虚拟团队。

通过复制 TTP 为不断变化的监管环境做好准备

敦促各组织考虑提高其恢复能力,以更深入地了解网络威胁形势,并更好地准备在攻击后迅速恢复并恢复正常状态。

例如,欧盟的《数字运营弹性法案》规定,各实体必须定期进行弹性测试,模拟各种场景,包括网络攻击和其他破坏,以评估系统和实施的策略在多大程度上能够承受并从此类事件中恢复。因此,这将是该组织的红队计划的一个宝贵贡献因素。

选择一个提供相关指导的框架,以制定一致且结构化的方法来执行红队演习,同时也有助于跟踪一段时间内的改进,以提高安全运营团队和流程的成熟度。根据组织所处的垂直行业,有各种框架可供选择,例如TIBER-EU、英国的 CBEST、香港的 iCAST、沙特阿拉伯的 FEER、澳大利亚的 CORIE 框架和新加坡的ASSE 。虽然这些都是为金融机构创建的,但其他行业也可以采用它们。图 2 显示了这些框架在执行红队演习方面的共同方面。

图 2:执行红队演习的框架影响因素

这些方面包括:

  • 确定关键功能——对组织运营至关重要并直接影响使命、收入创造和客户满意度的功能。

  • 定位 PPT 堆栈——了解与已确定的关键功能相关的人员、流程和技术。

  • 收集威胁情报——针对特定行业和/或组织。

  • 定义目标和起始位置——定义攻击场景、TTP 和策略,包括升级程序、沟通计划。

  • 进行红队评估——执行定义的场景和 TTP。

  • 制定补救计划——报告并汇报攻击场景的实施情况以及补救工作的重点。

  • 与利益相关者分享经验教训——哪些做法有效,哪些活动可以改进以供未来的评估。

对于大多数组织而言,加入红队需要改进其现有能力,例如漏洞和渗透测试程序。验证步骤是CTEM程序的关键组成部分之一,通过该程序,组织可以验证超出狭隘技术重点测试的范围,并评估程序和流程的有效性。CTEM验证步骤通过展示如何优先减少可能被利用的暴露来增强弹性,从而支持红队程序。

建议

  • 了解如何根据相关法规和立法评估您的业务功能,以便您的红队计划能够满足这些要求。

  • 使用 CTEM 构建一种连续且结构化的方法,通过验证将优先问题减少到业务关键功能。

  • 与各自的利益相关者制定并传达补救计划,以取得快速胜利以及长期减少风险和提高恢复力。

通过红队演习创造积极主动的心态

在管理安全事件的影响时,时间至关重要。因此,必须转向主动管理,因为它有助于在危机响应规划和管理中充分利用人力、时间和金钱等可用资源。

与经验丰富的企业领导者一起针对历史中断进行桌面练习和情景规划练习,可以提供一个宝贵的起点,帮助了解潜在的中断点、业务影响以及减少这些影响并促进快速恢复的行动。

桌面演习是建立能力和信心的第一步,然而,由于桌面演习过于关注可预测事件的精确序列,因此容易受到认知偏差的影响,导致低估影响和缺乏对真正危机压力的接触。

红队方法有助于从被动应对转变为主动应对,通过为未知情况做好准备并建立预测和适应的能力,同时能够从独特的角度和对应视角了解不同的系统和检测能力。

红队评估将提供一个机会,让您的组织在安全的学习环境中面对危机情况。它允许现在犯错,以免在真正的破坏性事件中犯错。学习点可用于构建响应程序和能力,从而实现更强大的响应,减少业务影响并促进更有效地恢复正常业务运营。

在危机管理中采用红队方法可以实现以下效果:

  • 压力测试偏见和假设。

  • 确定对精确细节的不确定性。

  • 通过预测下一步行动并减少检测和恢复时间来更好地为组织做好准备。

  • 更好地支持沟通策略的制定,以确保将声誉损害降至最低。

  • 提供红队的独特见解。

组织应通过使用BAS、自动渗透和红队等技术引入一定程度的自动化,以实现一致性、规律性和可扩展性。自动化可以:

  • 从以前的攻击场景(手动红队)库和映射到框架的已知攻击场景(例如 MITRE)进行验证,以测试检测能力。

  • 允许团队专注于手动测试高级或独特的用例。

  • 通过以更快、更可重复的方式验证补救措施,帮助减少暴露窗口。

  • 启用连续方法以利于时间点方法。

将已知的TTP映射到已知针对您的行业群体和特定于您组织的技术的威胁行为者群体。自动化攻击以实现一致且连续的过程。使用CTEM 创建结构并构建工作流程以促进整个团队的协作,从而改善补救措施并优化安全投资。

结合 BAS、自动渗透测试或红队测试,实现CTEM 验证步骤的自动化,重点关注以下方面:

  • 通过验证减少优先问题

  • 跨协作动员以提高成熟度

建议

  • 通过构建能力来更好地预测和适应新出现的威胁,从被动应对转变为主动应对。

  • 引入自动化作为 CTEM 验证步骤的一部分,通过使用 BAS 或自动渗透测试或红队技术等工具来创建一致且连续的过程。

  • 建立跨协作工作流程以改善补救工作。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2161255.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【资源一号04A卫星(中巴地球资源卫星04A星)】

资源一号04A卫星(中巴地球资源卫星04A星) 资源一号04A卫星,全称为中巴地球资源卫星04A星(CBERS-04A),是中国与巴西两国合作研制的第六颗地球资源卫星。以下是对该卫星的详细介绍: 一、基本信…

解决Nodify框架因自带放大缩小、平移功能导致拖拽添加的控件无法准确在鼠标放下的位置显示控件

ViewModel中写具体关键的几段代码: var editor sender as NodifyEditor; Point p e.GetPosition(editor);//放大缩小比例double scale editor.ViewportZoom;//经过放大缩小、平移后获得坐标点位置p new Point(Math.Round((p.X - editor.ViewportT…

搜维尔科技:OptiTrack采集到的平衡数据,并对人形机器人进行编程,可以确保机器人的动作精度和准确性

OptiTrack具备高精度以及远追踪距离的双层特点,其捕捉范围最远可达91m,是大型场地(如体育馆、足球场、虚拟拍摄制作棚等)捕捉的最佳选择。 OptiTrack光学动作捕捉系统是目前全球市占率较高的全身动捕产品,可实现精度误…

第十六章 Javamail发送邮件

目录 一、邮件发送原理和流程图 二、Java发送邮件基本步骤 三、QQ邮箱授权码获取 四、示例代码 注:本章内容仅作为了解JavaMail邮件收发的基本原理,不建议作为实际项目使用,项目中建议通过SpringBoot项目加入mail的starter依赖来构建&am…

2.2 信道的极限容量

奈奎斯特定理 香农定理 🌏总结

怎么抠图把杂乱的人全部擦除?分享1个简单方法

前言 在图像编辑中,抠图是一项基本而重要的技能。它允许我们从一张图片中提取出想要的部分,或者去除不需要的元素。今天,我将分享一个简单而有效的方法来抠图,特别是如何擦除图片中杂乱的人物。 工具介绍 在众多的抠图工具中&a…

【近源攻击】badusb上线cs

❤️博客主页: iknow181 🔥系列专栏: 网络安全、 Python、JavaSE、JavaWeb、CCNP 🎉欢迎大家点赞👍收藏⭐评论✍ 0x01 实验前提 攻击设备:badusb cs服务器:公网部署了 cs 服务端 0x02 实验步骤 …

入耳式耳机戴久不舒服?真心劝你试试这五款骨传导耳机~

基于对运动耳机长时间的使用体验和细致研究,我有以下几点务实的建议想与大家交流:在做出购买决定之前,请多加思考,避免盲目追逐市场热点。有时候,那些突然风靡的网红耳机可能只是短暂的流行;同样&#xff0…

新学期月考成绩发布工具-易查分

老师们,新学期的第一次月考即将到来,是不是在想如何高效又安全地发布成绩呢?别担心,我来给你们介绍一个超实用的小工具——易查分小程序! 新学期,新挑战,但发布成绩这件事,可以变得…

# Windows环境下VSCode + Jupyter + Conda的AI学习环境配置指南

Windows环境下VSCode Jupyter Conda的AI学习环境配置指南 目录 Windows环境下VSCode Jupyter Conda的AI学习环境配置指南 优点 1. 安装Anaconda 2. 安装Visual Studio Code 3. 在VSCode中配置Python环境 4. 安装和配置Jupyter 5. 创建和管理虚拟环境 6. 安装常用的…

通信工程学习:什么是VNF虚拟网络功能

VNF:虚拟网络功能 VNF(Virtual Network Function)即虚拟网络功能,是网络功能虚拟化(NFV)架构中的一个核心概念。VNF允许通过软件化和虚拟化的方式,将传统的网络设备功能(如路由器、交…

CREO教程——2 绘制标准图纸

CREO教程——2 绘制标准图纸 说明:继承第一章设置好的配置文件,这一章进行学习分享如何定制自己的图纸图框,参考国家标准距,定制属于设计师或单位的通用图框。 1.设置工作目录 1.1设置工作目录 1.打开软件设置工作目录&#x…

MySQL按照经纬度排序 查询出商家信息

首先自己写公式算法,这个我们懒 就不写了,pass~ ST_Distance_Sphere用法和示例: 我们懒人使用MySQL自带的函数先看查询出的结果示例:示例代码(看代码直接跳这):注意事项 我们懒人使用MySQL自带的函数 ST_Distance_Sphe…

scrapy spider框架download下来就可以用

一.通过命令行创建scrapy项目 1.scrapy startproject project_Spider 二.通过命令行创建spider 1.scrapy genspider firstspider 2.定义需要抓取的字段,在items.py文件中对目标字段进行定义 # Define here the models for your scraped items # # See documentation in: # …

Java面试篇基础部分-Semaphore及其用法详解

Semaphore 是一种基于计数的信号量,在定义信号量对象的时候可以设置一个阈值,然后基于这个阈值,多线程可以竞争访问信号量,线程竞争到许可的信号之后,开始执行具体的业务逻辑,业务逻辑在执行完成之后释放这…

程序员修炼之道 13:务实的项目

不记录,等于没读。 这里是我阅读《程序员修炼之道》这本书的记录和思考。 务实的团队 一个项目不只你一个人,就需要建立一些基本规则,并依次将项目的各部分分配出去。 程序员有点像猫:聪明、意志坚强、固执己见、独立、并且经常…

3. 函数

函数是 JavaScript 编程中最重要的工具之一。用一个值封装一段程序的概念有很多用途。它为我们提供了一种结构化大型程序的方法,可以减少重复,将名称与子程序关联起来,并将这些子程序相互隔离。 函数最明显的应用是定义新的词汇。在散文中创造…

一款前后端分离CRM客户关系管理系统,支持客户,商机,线索,合同,发票,审核,商品等功能(附源码)

前言 在当今竞争激烈的商业环境中,企业面临着各种挑战,其中包括如何更有效地管理和跟进潜在客户以提高销售业绩。传统的客户管理方式往往效率低下,无法实时更新客户-信息,导致销售机会流失。因此,市场上急需一款能够简…

计算机毕设选题推荐-基于python的电子健康信息分析系统【源码+文档+调试】

精彩专栏推荐订阅:在下方主页👇🏻👇🏻👇🏻👇🏻 💖🔥作者主页:计算机毕设木哥🔥 💖 文章目录 一、电子健康信息…

【解决虚拟机NAT联网】收藏这份教程就不用再辛苦找了

网上的教程一大堆,看的云里雾里,对于一个小白来说这里看懂了,下一步又看不懂了,一模一样的去设置也不一定成功。 解决办法01 恢复默认设置: 首先公布一个最基础的最直接最有效的恢复网络的办法: 关闭虚拟…