红队从攻击者的角度解决网络安全问题

这是几篇值得纪念的文章中的第一篇 网络安全宣传月美国国家网络安全联盟(National Cyber Security Alliance)于2004年开始了一项年度推广活动 & 美国.S. 国土安全部. 该倡议的首要主题是 “做你的部分. # BeCyberSmart.”

 

— — — 

 

在一个网络安全威胁迅速增长的时代——每39秒就会发生一次黑客攻击, 根据一项 马里兰大学的研究 Viasat红队的工作比以往任何时候都重要.  

 

Viasat的工程师乔纳森·怀亚特(Jonathan Wyatt)和吉姆·海恩(Jim Heyen)是一对好人，但他们却在朝九晚五的工作中扮演坏人. 他们是红队的成员, 该团队由五人组成，致力于寻找Viasat内部以及与该公司签订服务合同的客户的网络安全系统漏洞.

 

红队的目标是渗透公司或产品的网络安全防御，并就发现这些弱点的地点和方式提供反馈.

 

他们的方法可以包括一个漏洞扫描-一个自动的, 显示安全性缺陷的高级测试——或者更深层次的渗透(或“笔”)测试. 这是一种更详细、动手操作的检查，旨在发现和利用系统中的弱点.

 

“欧宝体育官网入口从对手的角度思考如何找到系统的漏洞并加以利用,”Heyen说. “欧宝体育官网入口试图掩盖所有可能的攻击方式, 以及成功应对这些袭击的可行性. 然后欧宝体育官网入口将它们记录下来，以便其他人能够修复它们.”

 

红队在内部和外部都提供道德黑客服务. 它的外部客户从小型生物技术公司到大型能源公司无所不有, 政府及商业. 在内部，他们检查新硬件和软件更新的安全性.

 

该团队与Viasat的网络安全运营中心和公司IT安全部门密切合作. 两支球队都被认为是蓝队, 通过检测和响应来集中保护网络来解决安全问题的独立小组, 缓解, 威胁情报与分析. 蓝队获取红队识别的情报并将其应用到他们的系统中.

 

怀亚特说:“欧宝体育官网入口与这些团队合作，测试他们的探测系统。. “欧宝体育官网入口将模拟现实世界的威胁进行攻击，以确保他们的系统能够看到这些威胁.”

 

两人都受过充分的工作训练. 他们，连同红队的其他队员，有U.S. 政府安全许可.  

 

怀亚特是前海军陆战队队员，专门从事信号情报工作, 电子战和网络战. Heyen是亚利桑那州一家公用事业公司的网络安全设计师. 他在多个网络安全活动上做过演讲, 包括国家安全局2017年信息保障研讨会.

 

进行关键工作

大多数黑客攻击被部署为自动脚本，同时攻击数千台计算机, 使用普通用户名和密码搜索访问.

 

勒索软件是增长最快的恶意软件威胁, 针对从家庭用户到公司网络的所有人. 2019年至2020年期间，勒索软件攻击增加了 全世界的62%. 这种恶意软件对用户的文件进行加密, 如果没有攻击者持有的密钥，就无法访问.

 

这些攻击不仅会关闭或威胁关键系统——医院, 公用事业公司和管道公司都是受害者——他们可以毁掉较小的公司, 甚至让大型国家陷入财政混乱.

 

怀亚特说:“勒索软件是你绝对不想被攻击的软件。. “这是攻击者的收入来源，对公司来说是最昂贵的. 他们最终可能不得不支付赎金，同时还要承担违约带来的巨大财务影响, 以及对公司品牌形象的影响.”

 

但勒索软件在没有找到访问权限的情况下是无法进入网络的，而这通常是通过员工实现的.

 

“人绝对是弱点，”怀亚特说.

 

黑客最常通过钓鱼邮件传播勒索软件，这些邮件旨在欺骗受害者打开一个附件或点击一个包含恶意文件的链接. 红队用同样的策略来暴露漏洞, 这不仅会让公司，也会让员工面临潜在的损害. 这些物理利用包括绕过诸如锁、摄像头和身份标识之类的有形控制. 最初的访问也经常通过使用钓鱼邮件的社会工程活动获得, u盘，甚至广告传单.

 

Heyen说:“欧宝体育官网入口已经成功地利用了很多物理资源。. “一旦你进去了, 如果我收到别人的邮件, 我可以访问(差旅和费用平台)Concur, 拿走他们所有的信用卡号码, 里程和更多,”Heyen说.

 

红队最成功的利用涉及首先注册一个域名类似于客户的公司, 然后发出了一份邀请函，似乎是来自该公司的健康小组. 

 

该公司通知员工，只要注册参加比赛，就可以免费获得一个Fitbit.

 

“他们都这么做了，”海恩说. “欧宝体育官网入口甚至有首席财务官报名参加这个虚假的比赛. 这是欧宝体育官网入口做过的最成功的事情之一.”

 

“当他们登陆时，欧宝体育官网入口有他们的密码. 欧宝体育官网入口有带有信用卡和CVE数字的电子表格. 他们害怕欧宝体育官网入口这么容易就能做到.”

 

该团队使用假冒的赛百味三明治优惠券也取得了类似的成功. 在另一场活动中，红队成员在停车场留下了标着“RIF 2018”的u盘. RIF是“裁减部队”的缩写.许多员工将这些棒插入他们的电脑. 而那些把他们交给保安的人则会得到奖励.

 

一个特别有挑战性的系统, 红队终于用默认密码通过监控摄像头找到了入口. 通过使用摄像头，团队成员可以记录下员工输入门禁密码的过程. 他们还发现了公司野餐的照片，员工们戴着公司徽章. 这使得他们可以制造假徽章和假员工, 最终访问服务器机房.

 

弱密码是获得访问权限的最简单和最常见的方法, 红队使用多个, 基于云的图形处理器单元(GPU)帮助加速这个过程.

 

“欧宝体育官网入口曾经有过这样的经历，在5分钟内就对一家公司进行了研究, 欧宝体育官网入口已经破解了40个账户,”Heyen说. “欧宝体育官网入口使用的基于云的集群每秒尝试30亿个密码. 大型星团每秒可以尝试3000亿次.”

 

加强安全

即使团队没有发现客户的网络安全问题, 它仍然可以找到加强安全的方法.

 

“对于拥有强大安全程序的客户来说, 欧宝体育官网入口更专注于测试他们的检测系统，通过模拟针对他们组织的真实世界的威胁,”怀亚特说. “即使传统的渗透测试得出的结果很少，总有一些事情可以做.” 

 

两人都说他们热爱自己的工作, 不仅是寻找网络威胁，还因为这让他们处于技术前沿.

 

“我喜欢解开谜题的挑战，”怀亚特说. “你必须不断跟上新技术的发展, 事情正在发生变化, 以及市场上发生的一切.”

 

海恩喜欢他必须一直保持在比赛的顶端, 因为你永远不知道接下来会发生什么,”他说. “如果你不喜欢你今天所做的事，那就等到明天。.”

 

他也很享受自己的工作不是那种流水线上的工作. 他说:“其中之一可能是泽西的一家制药公司。. “第二天欧宝体育官网入口就攻击欧宝体育官网入口大楼里的调制解调器.”

 

Viasat的历史和业务组合使其具有提供网络安全服务的独特资格. 作为一个国防承包商成立, Viasat在政府部门拥有超过30年的经验，确保其生产的产品的安全性，其中包括多种加密设备和军事通信设备.

 

作为互联网服务提供商, Viasat收集黑客如何操作的数据, 并利用这些信息建立新的防御机制，应用于其客户.

 

“欧宝体育官网入口的政府工作, 以及欧宝体育官网入口既是ISP又是卫星公司的事实, 这让欧宝体育官网入口比那些只对传统数据中心和公司网络做“手写”测试的标准咨询公司有了优势,”怀亚特说.

 

Viasat的其他红队成员包括迈克·罗杰斯(Mike Rogers)、安德鲁·拉马克(Andrew LaMarche)和伊恩·凯恩(Ian Kane).