攻击性威胁情报:红队视角下的CTI实战应用

本文深入探讨攻击性威胁情报(CTI)在红队操作中的实践价值,涵盖 adversary emulation、行为模式分析、操作安全优化等核心技术维度,揭示如何通过真实威胁情报提升组织防御体系的有效性。

攻击性威胁情报

CTI不仅适用于蓝队。正确使用时,它能锐化红队技术,使操作与现实世界威胁对齐,并暴露防御者常忽略的盲点。关键不在于了解威胁,而在于暂时"成为"威胁以帮助他人击败它们。

向对手学习以优化实践

网络威胁情报(CTI)常被误解为仅仅是阅读威胁报告或追踪高级攻击者。CTI尤其其"网络"层面常由缺乏技术背景的人员处理,这导致分析缺乏对攻击发生机制和真实世界技术应用的深度理解。

良好运用的CTI不应被动。它涉及使用历史数据、不断演变的事件模式以及红蓝队能力重叠来理解对手的思维、行动和适应方式。有效实施的CTI通过指导防御设计、测试和演进来加强组织整体安全态势。与攻击性安全一样,最终目标不是炫耀或破坏(破坏常触发警报,因此避免与常规操作区分很重要)。总体目标是改进防御——红队进行的所有攻击性安全操作都是出于防御目的。

攻击性安全 ≠ 威胁情报?

技术圈仍存在攻击性安全与CTI的分歧。尽管威胁导向测试和红队操作日益受到关注,攻击性威胁情报很少被作为独立学科讨论。

但这应该改变。

这远超越复制妥协指标(IoC)或阅读完成情报(fintel)报告。攻击性威胁情报意味着在技术层面理解对手行动,识别其工具和策略变化,并将该知识转化为能力开发以改进红队攻击方法。它馈入模拟规划、操作决策和控制验证。这使得红队不仅从攻击者思维中受益,还从理解攻击者在真实世界中如何演进和被捕获中获益。

弥合差距

传统CTI角色倾向于靠近防御端。分析师生成报告指导蓝队或馈入SIEM规则创建,而非理解攻击者技术并发现新 ones。但对攻击团队同样有价值。关键差异在于情报如何应用和构建——利用被捕获的"坏演员"的知识(“坏"既指非法目的,也指他们被捕获的事实)。

当CTI用于指导攻击模拟和对手模拟(这两个短语可互换但实际不同)时,它成为力量倍增器,极大改进红队方法。红队可以将其目标与真实攻击者在特定行业或特定动机下的行动对齐,帮助更好地测试蓝队并匹配真实世界预期,鼓励他们适应并理解今天足够的可能明天就不够。这将练习从基本漏洞演示提升到更高级的威胁知情操作,迫使防御者解决检测和响应程序中的盲点,并鼓励蓝队保持领先一步,为红队发现的新兴技术开发检测,从而识别环境中何时发生恶意行为。

了解你的敌人…及其动机

最佳操作员不只懂技术。他们理解攻击者逻辑、动机和时机。知道如何利用某物是一回事,但理解对手何时会使用它、如何融入网络噪声以及他们追求什么结果,这将普通红队与优秀红队区分开。

对手是人。他们遵循激励。需要时走捷径。他们重用基础设施,采用公开发布的工具,有时留下操作错误。但他们也创新并在组间分享知识。

通过仔细审查高级持久威胁、勒索软件操作者、访问经纪人和其他犯罪团体的策略,我们作为红队、对抗工程师和操作员更好地洞察真实攻击如何展开。我们学习他们如何将弱点链在一起、利用不良分段或瞄准被忽视的服务(如那个似乎没人在意的内部Web应用)。这种背景塑造红队操作方式,帮助他们模拟现实行为而非仅仅反复追逐域管理员等高价值访问。

理解威胁行动者瞄准还提供特定行业意识。知道哪些行业垂直被瞄准、被谁用何种技术瞄准,允许团队定制操作以实现最大相关性和现实主义。

一个好例子可能是红队瞄准组织的方式:传统社会工程->获取有效负载执行并遍历内部网络可能并非总是最佳练习方式。理解可能以特定职位伪装下作为合法员工启动团队可能在理解控制和检测差距同时保持现实主义方面提供更好价值。威胁格局不断扩展,威胁行动者/对手使用的方法也在变化——就像宏被淘汰一样,其他初始访问方法正被不同类型攻击者使用,且取决于动机将决定他们如何攻击你的组织。

CTI作为攻击性安全专注专业者

核心上,CTI是关于在威胁打击前理解它们(或理解已发生的违规)。它涉及收集、分析和合成揭示数字资产如何被破坏的信息。但对红队,它不是关于指标。它是关于行为模式以及这些模式如何随时间演变,以及如何采取现有技术并修改它们,如我描述为时间戳扩展的技术——提交戳(Commit Stomping)为例。

理解威胁、违规和行动者阻止红队陷入总是追求相同目标和目的的陷阱。威胁知情操作员围绕真实违规发生方式塑造攻击,而非每次追逐域管理员。这可能意味着瞄准生产系统而非测试系统,或步出传统Active Directory以打击实际重要的数据存储。它可能意味着模仿间谍团体的缓慢、谨慎移动而非普通罪犯和勒索软件团体的大声、快速策略。有时,使用可能让你被捕获的技术是重点——它迫使防御者正确反应并测试其响应计划。

虽然本文不聚焦红队,但理解它及其如何与CTI对齐很重要。这种思维迫使防御者更深入查看。阻止哈希或IP不再足够。他们必须理解意图、横向移动模式以及在特定条件下什么行为可能良性 versus 恶意。

情报引导的红队在参与的所有领域创建更对抗的思维模式。从基础设施设置到有效负载交付到操作员的决策过程,一切都由真实对手的行为塑造。

CTI也能揭示内部威胁

不仅是APT、罪犯和勒索软件团体。CTI还揭示内部风险如内部威胁、可信访问滥用、不良角色分离或高价值错误配置。这些常更难检测,但可能与外部对手一样破坏性。

由目标威胁情报知情的良好红队练习可能模拟内部人员出售访问或使用合法访问进一步访问源代码或供应链等领域。了解内部威胁通常使用什么工具允许组织构建对这些东西的检测并再次理解差距可能存在的地方。

情报不是静态馈送:它是操作赋能器

CTI不是静态的,良好情报应以流动方式操作。它不仅是另一个PDF或指示器馈送,被管道输入SIEM直到出事才再见。当适当嵌入时,它成为操作组件,指导攻击操作如何规划和执行。

这是攻击性威胁情报显示其真实价值的地方。

使用它构建反映真实世界攻击者设置的基础设施,从域名、CDN选择和使用TLS配置镜像目标到有效负载如何暂存(或无暂存)和交付。更好观察威胁行动者错误帮助你构建操作安全模型以避免它们并适应。理解对手如何 pivot 并将这些教训应用于测试客户控制是否在响应中做任何有意义的事情是一个关键点,也是许多红队和攻击性安全专业人员错过的一点。

CTI帮助将红队从运行工具的组转变为像对手一样行动的团队。它为现实参与设定基调,提供远超越漏洞列表的价值。

最终思考

CTI锐化红队像对手一样思考的能力,且更重要的是以受控、可重复和可测量方式像他们一样操作。当与扎实技术配对时,该思维模式使红队提供真实价值,不仅通过证明某物可利用,而且通过展示真实威胁行动者将如何接近它、为什么他们会瞄准它以及他们可能保持未被检测多久。

最终,它不仅是知道威胁。它是关于足够深入地理解它们以暂时"成为"它们,然后帮助防御者学习如何击败它们。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次