防御旗帜赛：攻防实战中的安全技术较量

作者：Katie Moussouris（k8e）
职位：高级安全项目经理
时间：2008年8月4日
阅读时长：5分钟

拉斯维加斯的空气中弥漫着肾上腺素和行动的气息，各团队在微软于Black Hat USA举办的“防御旗帜”（Defend the Flag, DTF）培训中激烈角逐榜首。与“夺旗赛”（CTF）不同，DTF的评分完全基于防御能力。团队在攻击其他团队系统的同时，全力保持自身系统的运行。不俘虏、不夺旗——这是一场非赢即输的二进制战斗，关键在于如何应对挑战。

参与者配备了一套由我们的交付合作伙伴iSEC Partners和Immunity的最新CANVAS漏洞利用框架教授的防御技术，为这场安全“21点”游戏做好了基础准备。培训为期两天：第一天上午由Immunity的Dave Aitel和Bas Alberts指导动手实验，重点学习攻击技术和漏洞利用框架的使用；下午由iSEC Partners的Brad Hill和Andrew Becherer教授主机加固、取证和事件响应技术。第二天则是全面的混战式竞赛，班级被分为每队三到四名成员，每个团队同时包含攻击者和防御者，角色全天轮换，确保每个人都能亲身体验现代攻击工具的威力以及成功击退前线攻击的快感。

有人可能疑惑：为何在本课程中教授漏洞利用框架？如果重点是防御，为何要花时间学习攻击？这是为了为学生（主要是刚接触安全的IT专业人员）提供一个适当的框架，以内化他们每天面临的威胁。我们不是散布FUD（恐惧、不确定性和怀疑），而是展示真实的现代商业级工具包，演示攻击者利用未更新、未加固的系统是多么容易。这是最直接的方式：要么打补丁，要么被攻破；要么加固，要么被黑。

此外，我们并非教授新的漏洞利用技术，而是展示已经广泛公开的内容。正如19世纪关于锁具破解的辩论所言：“骗子们非常精通他们的行业，对于各种骗术，他们知道的远比我们能教的多。”既然我们知道骗术无处不在，且攻击变得越来越复杂和创新，我们必须通过了解他们的行当来跟上步伐。我们必须学习使用他们的工具和技巧，以教育下一代Windows防御者。

但真正的转折在于——DTF不允许更新！没错，我们通过剥夺最有效的安全措施之一来制造障碍。我们将学生扔进鲨鱼出没的水域，期望他们游到安全地带。如何做到？通过采用深度防御措施。为什么？因为这在部署的网络中往往是现实情况。IT专业人员要么因测试要求无法立即应用更新，要么因认为对关键基础设施存在风险而根本无法更新。这是现实世界的困境，DTF提供了工具，帮助IT专业人在心跳加速、拳头紧握、牙齿紧咬的比赛中管理它。

第二天，随着分数累积，紧张气氛升至可感知的脉冲。“防御者”团队在整个上午保持领先，“OneEqualsOne”团队位居第二，“DivideByZero”团队紧随其后，直到“DivideByZero”的Windows Server 2003被严重攻破，不得不从头重建。下午带来新的挑战，每个玩家必须切换出上午熟悉的角色——攻击者现在必须防御，而之前的防御者则在团队内承担攻击角色。

还有一个带有物理转折的奖励回合，每个团队必须模拟入侵者获得物理访问其系统的场景。每个团队尽可能加固系统，然后将其物理交给其他团队，同时他们攻击对手的系统。当每个团队返回基地时，他们必须弄清楚对手在物理访问期间做了什么（植入木马、禁用防火墙规则等），并恢复对系统的控制。

比赛陷入僵局，每个团队得分相差不超过25,000分（总分300,000）。“OneEqualsOne”团队几乎领先，直到物理挑战让他们在关键几分钟内防火墙未启用。

所有团队都测试了安全与功能之间的细微界限，最终“防御者”团队获胜。他们的奖品？一种在遭受攻击时（他们确实每天如此）该做什么的感知，如何首先加固系统的知识，以及每个团队成员带回真实网络的CANVAS副本，以确保他们采取了正确的步骤来防御实际的旗帜。

作为防御者，我们必须借助我们所面对的攻击工具来对抗攻击者。无论是CANVAS、Core IMPACT还是MetaSploit，行业技巧每天都在变得更复杂和易用。Defend The Flag是一个可以帮助教育大量Windows防御者的项目，即使在他们面临运行所有软件最新版本的艰难选择时。在防御者手中，这些是必要工具和技术的一部分，有助于 tipping the balance，保持系统和网络的安全。

在一个骗术 abound 的世界中，我们作为防御者必须加倍准备迎接挑战。

• Katie Moussouris

更多关于此和Black Hat的内容，请加入对话：https://twitter.com/k8em0

发布内容“按原样”提供，无任何保证，也不授予任何权利。
更新标题：上午10:13