網絡安全事件模拟(譯文-來自:Uber)

所有最好的東西都是三件套的：三個火槍手、三個臭皮匠，當然還有您通過 UberEats 應用程式訂購的您最喜歡的三奶酪披薩。Uber 的工程安全 (EngSec) 對此表示贊同，我們已經組建了自己的三人組來模拟 Uber 的網絡安全事件，以鍛煉我們在事件發生時采取果斷行動的能力。這種三管齊下的方法包括桌面演練、紅隊操作和原子模拟。

網絡安全事件模拟的重要性

雖然采取強有力的預防措施至關重要，但關鍵人員和職能部門必須做好充分準備，以便在事件發生時采取行動，重要的是共同行動。

多種方法可以幫助獲得網絡安全事件模拟的全部好處，每種方法都有不同的好處和局限性。例如，需要大量計劃的模拟可能會導緻更複雜和更真實，但準備時間可能會限制此類模拟的執行頻率。結合使用時，我們的三重模拟為網絡安全事件響應準備提供了一系列選項。

我們方法的架構

我們三種不同的模拟方法中的每一種都有其獨特的重點：

桌面練習 (TTX)

這些練習模拟了持續數小時的安全事件。TTX 通過關注流程、角色和裝備上司者做出決策來補充更多的技術模拟。以下目标是我們已确定廣泛适用于我們所有 TTX 的目标，我們會反思這些 TTX 後的目标，以确定練習是否成功：

• 鍛煉優步應對大規模網絡安全事件的能力，提升跨團隊協作能力
• 促進執行上司團隊 (ELT) 的網絡安全意識和熟悉程度
• 鍛煉上司團隊 (LT) 決策過程
• 确定優勢和改進領域，以增強 Uber 的網絡安全響應能力
• 提高事件響應團隊對技術領域的了解，并對該領域的事件處理有一個總體了解

在優步，我們已經擺脫了更傳統的、高度腳本化的 TTX 格式，并重新構想了我們的 TTX，目标是讓每個參與者盡可能真實地扮演自己。我們的執行看起來像這樣：

• 發現或體驗由“發現”它的人轉發到虛拟安全營運中心 (vSOC)
• vSOC 收到報告、分類、調查并将問題上報給适當的人員，以便根據 SOP 進行額外的調查和協調
• 向部分組裝的網絡事件響應小組 (CIRT) 提供“注入”
• 引入更多 CIRT 成員并激活工作流
• 向組裝的 CIRT 提供額外的注入
• 執行上司參加 CIRT 團隊的預定簡報，重點是向 CIRT 團隊提問，就好像這是一個真實世界的場景一樣
• 在 TTX 結束之前，将激活額外的工作流，進行注入，并進行上司簡報

對于我們的 TTX，注入是“game-master”提供的附加資訊，以保持團隊的模拟向前推進。這些可以是任何東西，從調查結果到外部利益相關者的問題，再到設計模拟的人認為有利于鑽探的任何其他事情。這些注入是每隔一段時間給出的，允許 CIRT 成員在每次注入之間練習他們的過程并解決問題。

TTX 在将一系列跨職能團隊與近乎實時的場景結合在一起方面很有價值，這随後為我們提供了更多有價值的發現，以解決演習後的問題。

紅隊行動

與 TTX 或原子模拟相比，Uber 的紅隊操作開銷很大。這些操作需要大量的研究和規劃，但非常有益，可以與現實世界攻擊的複雜性相媲美。Uber 的 Red Team 操作旨在從入侵點通過目标行動或将其從網絡中驅逐來模拟現實世界的威脅行為者活動。Uber Cyber​ Defense 還舉辦年度奪旗活動，我們将全公司的團隊聚集在一起，共同響應和解決問題。

模拟模拟了在野外看到（或實際上可以看到）的攻擊鍊。這些使我們能夠以現實的方式測試我們的檢測、響應和調查能力。這些操作幫助我們應對在許多可能的環境中發生的複雜攻擊。這些模拟是未經宣布的，并被視為真實事件，因為響應團隊通常要到調查的後期階段才能确定它們是紅隊。

Uber 還舉辦了一年一度的紅色與藍色活動，為我們的模拟計劃形成了一個非官方的頂峰。這種預先宣布的模拟得到了主要利益相關者的支援和參與。來自優步的團隊聚集在一起，進行預先計劃的兩周，以響應紅隊并共同努力跟蹤并将他們從我們的環境中驅逐出去。本次活動是過去一年中所有模拟工作和實踐的有趣高潮，展示了所學到的經驗教訓，并以多次宣讀結束，以進一步推動 Uber 的網絡安全向前發展。

原子模拟

原子模拟是紅隊操作的更小、更簡單的輔助工具。這些模拟側重于測試檢測、SOP、現實世界事件的小片段以及我們威脅情報簡報中的詳細資訊。它們開銷低且可重複，使我們能夠近乎實時地測試改進。使用這些原子模拟，我們可以确定可以進行改進的區域，然後快速重新測試以衡量我們實施的更改的有效性。

我們通常将原子模拟作為 5 或 6 種政策、技術和程式 (TTP) 的鍊來執行，當它們組合在一起時形成威脅參與者可能遵循的可能路徑。與紅隊操作不同，原子模拟更易于計劃和執行，基本場景如下所示：

• 模拟團隊在員工主機的~/Downloads檔案夾中放置遠端通路木馬 (RAT)
• RAT 運作連接配接到指令和控制 (C2) 伺服器
• 然後模拟團隊嘗試運作以下指令：下載下傳并運作 Nmap 以發現網絡上的主機從 .ssh 目錄檢視和複制已知主機和 SSH 密鑰，并轉儲主機鑰匙串使用找到的資料橫向移動到不同的主機/環境cURLs down 其他工具，例如 ngrok 或 ADfind進行額外的偵察和持久性 TTP最後，将收集到的資料通過DNS發送給C2
• 響應團隊進行事後行動、事後審查，讨論已确定的差距和需要改進的地方

我們可以在大約兩天的時間内計劃、安排和運作這種類型的模拟。響應這些較小規模的事件為響應團隊提供了一個很好的方法來測試他們對可能響應模拟而觸發的低頻、高影響檢測的響應。

我們還使用原子模拟來幫助整合新的團隊成員。它們的靈活性和易用性使新成員能夠利用他們對我們的事件響應流程和技術的新知識。通過在具有多個 IOC 的 Uber 的幾個環境中進行模拟，我們能夠為團隊的新成員提供一個很好的機會來通過我們不同的工具和 SOP 進行調整。

彙集一切

我們的網絡安全事件模拟三管齊下的方法提供了一種廣泛的方法來測試我們的安全态勢。我們不僅通過環境（例如公司、産品、雲等）而且通過使用MITRE ATT&CK® 導航器來跟蹤我們的覆寫範圍。該架構使我們能夠将我們的模拟映射到 TTP，并快速确定我們在過去一年中模拟了多少。ATT&CK 地圖還與我們的威脅搜尋計劃相結合，以全面了解我們已經涵蓋的 TTP，這要歸功于我們的一些主動安全計劃。

圖 2：虛構示例 ATT&CK 矩陣顯示已模拟的 TTP

© 2022 The MITRE Corporation。本作品經 The MITRE Corporation 許可複制和分發。

結論

我們利用這些模拟來跟上不斷變化的威脅形勢，并幫助我們的網絡安全團隊做好應對最新威脅的準備。我們代表安全，我們的網絡安全事件模拟方法隻是我們保護乘客、收入者、消費者和員工的方式之一。

作者:Hunter Blackmore

Hunter Blackmore 是網絡防禦團隊的一名安全工程師兼技術主管。他熱衷于安全，并将航空等其他行業的最佳實踐應用到他在優步的工作中。

出處:https://www.uber.com/en-US/blog/cybersecurity-incident-simulation/