红队从攻击者的角度解决网络安全问题

Viasat 网络安全专家识别弱点以抵御威胁

这是要标记的几篇文章中的第一篇 网络安全宣传月,由国家网络安全联盟和美国国土安全部于 2004 年开始的年度外展活动。该倡议的总体主题是 “尽自己的一份力量。 #BeCyber​​Smart。”

 

— — — 

 

在网络安全威胁快速增长的时代——每 39 秒就会发生一次黑客攻击,根据 马里兰大学研究 — Viasat 红队的工作比以往任何时候都更加重要。  

 

Viasat 工程师 Jonathan Wyatt 和 Jim Heyen 是一对好人,他们可以在朝九晚五的比赛中扮演坏人。他们是 Red Team 的成员,该小组由五人组成,他们致力于在 Viasat 内部以及为与公司签订服务合同的客户寻找网络安全系统漏洞。

 

红队的目标是渗透公司或产品的网络安全防御,并提供有关它在哪里以及如何发现这些弱点的反馈。

 

他们的方法可以包括漏洞扫描——显示安全漏洞的自动化、高级测试——或更深入的渗透(或“笔”)测试。这是一种更详细的动手检查,旨在检测和利用系统中的弱点。

 

“我们从对手的角度思考如何发现系统中的漏洞并利用它们,”Heyen 说。 “我们试图涵盖所有可能的攻击方式,以及在这些攻击中取得成功的可行性。然后我们将它们记录下来,以便其他人可以修复它们。”

 

红队在内部和外部提供其道德黑客服务。它的外部客户涵盖了从小型生物技术公司到大型政府和商业能源公司的各个领域。在内部,他们检查新硬件和软件更新的安全性。

 

该团队与 Viasat 的网络安全运营中心和企业 IT 安全密切合作。两者都被视为蓝队,是通过检测和响应、缓解、威胁情报和分析专注于保护网络来解决安全问题的独立小组。蓝队采用红队识别的情报并将其应用于他们的系统。

 

“我们通过测试他们的检测系统与这些团队合作,”怀亚特说。 “我们将运行模拟现实世界威胁的攻击,以确保他们的系统可以看到它们。”

 

两人都接受过充分的工作培训。他们与红队的其他成员一起获得了美国政府的安全许可。  

 

怀亚特是一名前海军陆战队员,专门从事信号情报、电子战和网络战。 Heyen 是亚利桑那州一家公用事业公司的网络安全架构师。他曾在多个网络安全活动中发表演讲,包括美国国家安全局 2017 年信息保障研讨会。

 

开展关键工作

大多数黑客攻击被部署为同时攻击数千台计算机的自动化脚本,使用常见的用户名和密码来搜索访问权限。

 

勒索软件是增长最快的恶意软件威胁,针对从家庭用户到企业网络的所有人。 2019 年至 2020 年间,勒索软件攻击上升了 全球 62%。 这种恶意软件会加密用户的文件,如果没有攻击者持有的密钥,就无法访​​问这些文件。

 

这些攻击不仅会关闭或威胁关键系统——医院、公用事业公司和管道都成为受害者——它们可能会毁掉小公司,甚至让大公司陷入财政混乱。

 

“勒索软件是您绝对不想受到攻击的软件,”怀亚特说。 “这对攻击者来说是创收,对公司来说也是最昂贵的。除了违规造成的高财务影响以及对公司品牌形象的影响之外,他们最终可能不得不支付赎金。”

 

但是勒索软件无法在没有找到访问权限的情况下进入网络,而这通常是通过员工进行的。

 

“人绝对是弱点,”怀亚特说。

 

黑客最常通过网络钓鱼电子邮件传播勒索软件,这些电子邮件旨在诱骗受害者打开附件或单击包含恶意文件的链接。红队使用了相同的策略来暴露漏洞,这不仅会使公司而且其员工都面临潜在的损害。此类物理攻击包括绕过锁、相机和 ID 徽章等有形控制。初始访问通常也可以通过使用网络钓鱼电子邮件、USB 驱动器甚至广告传单的社会工程活动获得。

 

“我们在进行身体锻炼方面取得了很多成功,”海恩说。 “一旦你进入,如果我收到某人的电子邮件,我就可以访问(旅行和费用平台)Concur,获取他们所有的信用卡号码、里程等等,”Heyen 说。

 

最成功的红队攻击之一是首先注册一个与客户公司相似的域名,然后发送似乎来自公司健康组织的邀请。 

 

它通知员工,他们将收到一个免费的 Fitbit 用于注册比赛。

 

“他们都做到了,”海恩说。 “我们甚至让 CFO 注册了这场假竞赛。这是我们做过的最成功的事情之一。”

 

“当他们登录时,我们就有了他们的密码。我们有包含信用卡和 CVE 编号的电子表格。他们很害怕我们这样做是多么容易。”

 

该团队使用假赛百味三明治优惠券也取得了类似的成功。在另一场活动中,红队成员将标有“RIF 2018”的 U 盘留在停车场。 RIF 是“Reduction in Force”的首字母缩写词。许多员工将这些棒插入他们的电脑。那些把他们交给保安的人反而得到了奖励。

 

借助一个特别具有挑战性的系统,红队终于通过使用默认密码的安全摄像头找到了访问权限。通过使用摄像头,团队成员可以记录员工在访问代码中打卡的情况。他们还发现了员工佩戴公司徽章的公司野餐照片。这使他们能够创建假徽章和假员工,最终获得进入服务器机房的权限。

 

弱密码是获得访问权限的最简单和最常见的方法,红队使用多个基于云的图形处理器单元 (GPU) 来帮助加快进程。

 

“我们曾经有过在对一家公司进行研究后的五分钟内,我们已经破解了 40 个帐户,”Heyen 说。 “我们使用的基于云的集群每秒尝试输入 30 亿个密码。大型集群每秒可以尝试 3000 亿次。”

 

加强安全

即使团队没有发现客户的网络安全问题,它仍然可以找到增强安全性的方法。

 

“对于拥有强大安全计划的客户,我们更专注于通过模拟对其组织的真实威胁来测试他们的检测系统,”怀亚特说。 “即使传统的渗透测试得出的结果很少,也总有一些事情要做。” 

 

两人都说他们热爱自己的工作,不仅是寻找网络威胁,还因为这让他们处于技术的最前沿。

 

“我喜欢解决难题的挑战,”怀亚特说。 “而且你必须不断跟上新技术、事物变化的方式以及市场上发生的一切。”

 

Heyen 喜欢他必须始终保持在比赛的顶端,“因为你永远不知道接下来会发生什么,”他说。 “如果你不喜欢今天所做的事情,那就等到明天吧。”

 

他也很高兴他的工作不是流水线式的。 “一个约定可能是泽西岛的一家制药公司,”他说。 “第二天,我们将攻击我们自己建筑物中的调制解调器。”

 

Viasat 的历史和产品组合使该公司具有提供网络安全服务的独特资格。 Viasat 作为一家国防承包商成立,拥有超过三年的政府经验,可确保其创建的产品(包括多种加密设备和军事通信设备)的安全性。

 

作为一家互联网服务提供商,Viasat 收集有关黑客如何操作的数据,并使用这些信息来构建可应用于其客户的新防御。

 

“我们的政府工作,以及我们既是 ISP 又是卫星公司的事实,使我们比标准咨询公司更具优势,这些公司只对传统数据中心和企业网络进行‘渗透’测试,”怀亚特说。

 

Viasat 的其他红队成员包括 Mike Rogers、Andrew LaMarche 和 Ian Kane。




最近的帖子

及时了解我们的最新消息