在上下文中审视网络安全事件

依赖自动化系统解决安全警报可能是一把双刃剑

自动化安全工具在处理现代网络中生成的大量警报方面非常宝贵，但存在导致自满情绪的风险。安全响应人员可能会倾向于让这些工具处理所有事情，这可能导致错失捕捉复杂攻击的机会。

响应人员必须避免过度依赖这些工具，他们还需要确保培养攻击者的思维方式并采取相应行动。

红队演练的力量

在网络安全领域，红队演练是一项基本练习，它将一组道德黑客（红队）与公司的安全团队（蓝队）在受控环境中进行对抗。这种方法通过模拟模仿真实对手战术、技术和程序（TTPs）的攻击场景，来测试公司安全态势的有效性。在Cyberis，我和同事们参与这些模拟，以挑战并增强客户的防御策略。

红队演练提供了几个好处。主要是帮助组织识别其检测能力以及响应人员用于遏制违规和解决事件的方法中的弱点。在演练后分析中，我们经常与蓝队讨论他们的响应可以在哪些方面改进。我们的行动可能触发了一个警报，但由于认为安全控制已经缓解了威胁，该警报被忽视或没有适当升级。

在攻击的早期阶段，特别是在试图突破目标防御的初始尝试中，端点检测和响应（EDR）系统的警报常常没有得到充分调查。

例如，如果我们试图通过电子邮件、网络或直接向工作站发送恶意负载，并且安全系统标记并阻止了此负载，随后的警报可能不会被进一步检查。普遍的假设是，既然安全控制阻止了威胁，就不需要进一步行动。然而，对阻止的负载进行更深入的分析可能揭示关于攻击技术和使用的基础设施的重要细节，例如攻击中涉及的域。

高安全警报量的挑战

挑战来自于安全团队接收到的警报量；调查每个网络钓鱼电子邮件或每个警报几乎是不可能的。这种限制通常在攻击的初始阶段对红队有利，使我们在试图在目标环境中获得立足点时保持不被发现。

一旦进入内部，当我们试图横向移动通过网络时，不同的控制可能会阻碍我们。例如，我们可能从一个不寻常的端点访问服务器，或尝试使用无效的凭据。此类行动可能会在扩展检测和响应（XDR）系统中触发进一步的警报。偶尔，我们的行动甚至可能触发防病毒产品的阻止事件。

然而，依赖自动化系统解决这些警报有时可能是一把双刃剑。

例如，在一次模拟中，我们向服务器上传了一个特洛伊木马化的文档，该文档被自动检测为恶意软件并被删除，同时向安全团队发送了警报。当我们上传了绕过检测机制的修改版本负载时，它通过了，因为初始警报在第一个文档自动删除后已被关闭。第二次成功上传没有引发任何警报，展示了安全流程中的一个关键缺口。

自动化系统并不总是像攻击者一样思考

根本问题是自动化系统——以及操作它们的响应人员——并不总是像攻击者一样思考。如果一个文档被标记并移除，威胁不一定被消除。威胁不是文档；而是其背后的对手，他们不会在一次失败尝试后停止，通常会继续调整他们的战术直到成功。

我们观察到一些场景，例如在敏感组（如域管理员）中创建新用户等活动未能引起足够的怀疑。例如，在一次测试中，我们向域管理员组添加了一个用户，期望这会立即触发响应。然而，生成的警报被驳回，因为用于创建新用户的帐户本身是授权的域管理员。处理警报的响应人员认为该活动是合法的，并在没有进一步调查的情况下关闭了警报。

这指出了安全培训中的一个关键缺口：像攻击者一样思考的能力。有效的安全响应不仅需要理解每个警报的含义，还需要理解看似孤立的事件如何在更广泛的活动中相互关联。它需要关于业务的实质性情报、出色的态势感知和健康的怀疑态度。

因此，红队演练具有双重目的。它们不仅测试组织的安全框架，还训练响应人员更像攻击者一样思考，将不同的事件联系起来形成一个连贯的叙述。

培养这种对抗性思维至关重要，因为它有助于在持续、复杂的网络攻击的背景下分析安全事件。这种方法是从被动安全态势演变为更主动、战略性态势的基础。