蓝队成功的六个最佳实践
从CISO到红队,都希望蓝队能够成功抵御实战化的模拟网络攻击。以下建议将有助于实现这一目标。
如今,网络安全团队的内部命名可谓“色彩斑斓”,除了传统的黑白之外,红色、蓝色、紫色甚至灰色越来越多被提及。虽然每个团队都有其独特的视角和任务,但蓝队始终肩负着最重要的任务:保护企业免受网络安全威胁和漏洞的影响。
为此,蓝队必须了解企业的业务/任务需求、相关威胁、数字足迹和相关漏洞。然后,蓝队可通过实施安全控制和缓解措施来解决最紧迫的威胁和漏洞,从而加强组织的安全态势。
Aquia高级安全工程师和紫色团队负责人Maril Vernon对蓝队的描述如下:“蓝队的组成远不止SOC分析师和IT运营人员。从业务信息安全官(BISO)到网络威胁情报团队,再到企业风险和业务连续性计划(BCP)专业人员都要参与。甚至红队实际上也是在为蓝队服务。”
在紫队练习中,我们所做的最关键和最重要的任务是识别和整合各个蓝队的正确成员,并真正将对抗性目标、思维方式和交易技巧的教育性部分传授给他们。必须始终牢记:“在企业网络安全防御体系的不同层面中,蓝队都是第一、第二和第三道防线,我们不想赌他们中任何一个人的能力,我们不能承受在真实的网络安全攻击中识别和寻找控制差距的高昂成本,提高蓝队的成熟度才是我们建立优势的方式。”
以下是蓝队取得成功的六个最佳实践:
1、使用网络安全框架
虽然有些人听到网络安全框架时会翻白眼,但如果没有安全框架,就很难制定和实施连贯的网络安全计划。有大量的成熟网络安全框架可供参考,例如NIST的网络安全框架(CSF)和风险管理框架(RMF)都是最广泛应用的框架。
NIST CSF提供了缓解企业网络安全威胁的指南。它涵盖了识别、保护、检测、响应和恢复的基本活动。随着风险和威胁的出现,企业将多次经历这些活动。CSF的独特之处在于它还支持配置文件的使用,这允许企业优化CSF框架使其更好地与他们的行业和组织保持一致,并且有几个示例配置文件可供组织选择。
2、了解要保护的资产
如果没有充分的资产可见性和资产保护认识,任何网络安全计划都形同虚设。这就是为什么硬件和软件资产清单等控制多年来一直是CIS安全控制的基础。
网络安全的一个基本事实是,你无法保护你看不到或不知道其然的事物。在当今的云环境中,传统资产越来越多地被软件定义并存在于云服务提供商(CSP)的环境中。随着虚拟桌面的使用持续增长,这也适用于端点。资产可见性适用于所有组织资产,无论是物理的还是虚拟的。
3、降低噪音
今天的蓝队专业人员需要处理无数的工具、平台和资源,以覆盖他们必须监控和保护的环境。这意味着大量令人眼花缭乱的警报和通知,这些警报和通知会影响他们的注意力、认知能力,甚至士气。为了最大限度地提高蓝队的价值,当务之急是最大限度地减少误报、重复警报和无价值通知的数量,这些通知将蓝队的注意力从真正的威胁和风险上转移开。
蓝队可以尝试的方法之一是合理化工具组合以消除重复警报和通知,确保团队接收和响应高保真数据。
4、选择团队可以掌握和有效使用的工具
网络安全领导者希望采购和实施大量安全工具来应对不断增长的安全威胁和风险,这是合理要求,但也要提防工具堆栈膨胀带来的问题。研究表明,尽管安全工具增长迅猛,但相关指标表明这些工具并没有产生预期的影响。例如,Ponemon的报告称,平均每个受访企业有40个安全工具安全团队不了解其工作状况。Market Cube的一项研究指出,团队添加安全工具的速度比他们有效使用工具的速度要快。
具有讽刺意味的是,工具维护的负担正在拖威胁响应的后腿,并最终影响安全态势。每种工具的引入都会增加团队的整体认知负担。学习该工具、提供和配置它需要时间,然后对其进行监控以在运营中使用其遥测数据。
网络安全团队的倦怠和认知超载是非常严重的问题,不仅会消耗团队的精力和士气,而且工具太多意味着优化时间更少,不利于降低组织风险。因此,安全工具蔓延会加剧威胁和漏洞,而不是减轻它们。甚至,安全工具本身也成了企业攻击面的一部分,经常被黑客利用提升权限。
5、站在对手的角度看问题
网络安全流行一句话:“像黑客一样思考”。这句话饱含哲理,因为要阻止网络攻击,最好的办法就是了解敌人的想法,设身处地“为黑客着想”。
这意味着,蓝队专业人士花一些时间从进攻的角度进行练习是有价值的。了解攻击者使用的相关工具、策略和程序可以大大提高蓝队的防御能力。换而言之,蓝队可以通过获得一些实际的进攻性安全经验来更好地与攻击者“心意相通”。这并不意味着角色的改变或攻击真正的目标,蓝队成员可以通过实验室或参与夺旗(CTF)练习来积累进攻性安全经验。
6、像训练一样战斗
乔治巴顿将军曾言:“你需要像训练一样战斗。”他的意思是,到了战斗的时候,你应当发挥出你训练的水平(表现)。这类似于职业足球比赛,在高强度对抗的正式比赛中,球队的胜利不能寄希望于“天外飞仙”式的个人英雄主义,相反,队员们面对压力通常只能发挥出训练水平,甚至还要打折扣。这就是为什么要强调定期严格训练的原因,不仅仅是桌面练习和文本练习,而是真刀真枪地与红队“实弹演习”。红蓝对抗演练是一种成熟的方法,它迫使组织不仅要评估他们对事件检测、防范恶意行为者并最终瓦解攻击的准备程度,还要在实际操练中证明这一点。实战化训练能够让安全团队做好充分准备应对现实中的威胁。