网络安全事件模拟(译文-来自:Uber)

所有最好的东西都是三件套的：三个火枪手、三个臭皮匠，当然还有您通过 UberEats 应用程序订购的您最喜欢的三奶酪披萨。Uber 的工程安全 (EngSec) 对此表示赞同，我们已经组建了自己的三人组来模拟 Uber 的网络安全事件，以锻炼我们在事件发生时采取果断行动的能力。这种三管齐下的方法包括桌面演练、红队操作和原子模拟。

网络安全事件模拟的重要性

虽然采取强有力的预防措施至关重要，但关键人员和职能部门必须做好充分准备，以便在事件发生时采取行动，重要的是共同行动。

多种方法可以帮助获得网络安全事件模拟的全部好处，每种方法都有不同的好处和局限性。例如，需要大量计划的模拟可能会导致更复杂和更真实，但准备时间可能会限制此类模拟的执行频率。结合使用时，我们的三重模拟为网络安全事件响应准备提供了一系列选项。

我们方法的架构

我们三种不同的模拟方法中的每一种都有其独特的重点：

桌面练习 (TTX)

这些练习模拟了持续数小时的安全事件。TTX 通过关注流程、角色和装备领导者做出决策来补充更多的技术模拟。以下目标是我们已确定广泛适用于我们所有 TTX 的目标，我们会反思这些 TTX 后的目标，以确定练习是否成功：

• 锻炼优步应对大规模网络安全事件的能力，提升跨团队协作能力
• 促进执行领导团队 (ELT) 的网络安全意识和熟悉程度
• 锻炼领导团队 (LT) 决策过程
• 确定优势和改进领域，以增强 Uber 的网络安全响应能力
• 提高事件响应团队对技术领域的理解，并对该领域的事件处理有一个总体了解

在优步，我们已经摆脱了更传统的、高度脚本化的 TTX 格式，并重新构想了我们的 TTX，目标是让每个参与者尽可能真实地扮演自己。我们的执行看起来像这样：

• 发现或体验由“发现”它的人转发到虚拟安全运营中心 (vSOC)
• vSOC 收到报告、分类、调查并将问题上报给适当的人员，以便根据 SOP 进行额外的调查和协调
• 向部分组装的网络事件响应小组 (CIRT) 提供“注入”
• 引入更多 CIRT 成员并激活工作流
• 向组装的 CIRT 提供额外的注入
• 执行领导参加 CIRT 团队的预定简报，重点是向 CIRT 团队提问，就好像这是一个真实世界的场景一样
• 在 TTX 结束之前，将激活额外的工作流，进行注入，并进行领导简报

对于我们的 TTX，注入是“game-master”提供的附加信息，以保持团队的模拟向前推进。这些可以是任何东西，从调查结果到外部利益相关者的问题，再到设计模拟的人认为有利于钻探的任何其他事情。这些注入是每隔一段时间给出的，允许 CIRT 成员在每次注入之间练习他们的过程并解决问题。

TTX 在将一系列跨职能团队与近乎实时的场景结合在一起方面很有价值，这随后为我们提供了更多有价值的发现，以解决演习后的问题。

红队行动

与 TTX 或原子模拟相比，Uber 的红队操作开销很大。这些操作需要大量的研究和规划，但非常有益，可以与现实世界攻击的复杂性相媲美。Uber 的 Red Team 操作旨在从入侵点通过目标行动或将其从网络中驱逐来模拟现实世界的威胁行为者活动。Uber Cyber​ Defense 还举办年度夺旗活动，我们将全公司的团队聚集在一起，共同响应和解决问题。

模拟模拟了在野外看到（或实际上可以看到）的攻击链。这些使我们能够以现实的方式测试我们的检测、响应和调查能力。这些操作帮助我们应对在许多可能的环境中发生的复杂攻击。这些模拟是未经宣布的，并被视为真实事件，因为响应团队通常要到调查的后期阶段才能确定它们是红队。

Uber 还举办了一年一度的红色与蓝色活动，为我们的模拟计划形成了一个非官方的顶峰。这种预先宣布的模拟得到了主要利益相关者的支持和参与。来自优步的团队聚集在一起，进行预先计划的两周，以响应红队并共同努力跟踪并将他们从我们的环境中驱逐出去。本次活动是过去一年中所有模拟工作和实践的有趣高潮，展示了所学到的经验教训，并以多次宣读结束，以进一步推动 Uber 的网络安全向前发展。

原子模拟

原子模拟是红队操作的更小、更简单的辅助工具。这些模拟侧重于测试检测、SOP、现实世界事件的小片段以及我们威胁情报简报中的详细信息。它们开销低且可重复，使我们能够近乎实时地测试改进。使用这些原子模拟，我们可以确定可以进行改进的区域，然后快速重新测试以衡量我们实施的更改的有效性。

我们通常将原子模拟作为 5 或 6 种策略、技术和程序 (TTP) 的链来执行，当它们组合在一起时形成威胁参与者可能遵循的可能路径。与红队操作不同，原子模拟更易于计划和执行，基本场景如下所示：

• 模拟团队在员工主机的~/Downloads文件夹中放置远程访问木马 (RAT)
• RAT 运行连接到命令和控制 (C2) 服务器
• 然后模拟团队尝试运行以下命令：下载并运行 Nmap 以发现网络上的主机从 .ssh 目录查看和复制已知主机和 SSH 密钥，并转储主机钥匙串使用找到的数据横向移动到不同的主机/环境cURLs down 其他工具，例如 ngrok 或 ADfind进行额外的侦察和持久性 TTP最后，将收集到的数据通过DNS发送给C2
• 响应团队进行事后行动、事后审查，讨论已确定的差距和需要改进的地方

我们可以在大约两天的时间内计划、安排和运行这种类型的模拟。响应这些较小规模的事件为响应团队提供了一个很好的方法来测试他们对可能响应模拟而触发的低频、高影响检测的响应。

我们还使用原子模拟来帮助整合新的团队成员。它们的灵活性和易用性使新成员能够利用他们对我们的事件响应流程和技术的新知识。通过在具有多个 IOC 的 Uber 的几个环境中进行模拟，我们能够为团队的新成员提供一个很好的机会来通过我们不同的工具和 SOP 进行调整。

汇集一切

我们的网络安全事件模拟三管齐下的方法提供了一种广泛的方法来测试我们的安全态势。我们不仅通过环境（例如公司、产品、云等）而且通过使用MITRE ATT&CK® 导航器来跟踪我们的覆盖范围。该框架使我们能够将我们的模拟映射到 TTP，并快速确定我们在过去一年中模拟了多少。ATT&CK 地图还与我们的威胁搜寻计划相结合，以全面了解我们已经涵盖的 TTP，这要归功于我们的一些主动安全计划。

图 2：虚构示例 ATT&CK 矩阵显示已模拟的 TTP

© 2022 The MITRE Corporation。本作品经 The MITRE Corporation 许可复制和分发。

结论

我们利用这些模拟来跟上不断变化的威胁形势，并帮助我们的网络安全团队做好应对最新威胁的准备。我们代表安全，我们的网络安全事件模拟方法只是我们保护乘客、收入者、消费者和员工的方式之一。

作者:Hunter Blackmore

Hunter Blackmore 是网络防御团队的一名安全工程师兼技术主管。他热衷于安全，并将航空等其他行业的最佳实践应用到他在优步的工作中。

出处:https://www.uber.com/en-US/blog/cybersecurity-incident-simulation/