一種新的安全檢測的方法
不要只測試已有系統,強安全要求更積極主動的策略。
我們當中有多少人曾說出過下面這句話:“我希望這能起到作用!”?
毫無疑問,我們中的大多數人可能都不止一次地說過這句話。這句話不是用來激發信心的,相反它揭示了我們對自身能力和當前正在測試的功能的懷疑。不幸的是,這句話非常好地描述了我們傳統的安全模型。我們的運營基于這樣的假設,并希望我們實施的控制措施 —— 從 web 應用的漏掃到終端上的殺毒軟件 —— 防止惡意的病毒和軟件進入我們的系統,損壞或偷取我們的信息。
滲透測試通過積極地嘗試侵入網絡、向 web 應用注入惡意代碼或者通過發送釣魚郵件來傳播病毒等等這些步驟來避免我們對假設的依賴。由于我們在不同的安全層面上來發現和滲透漏洞,手動測試無法解決漏洞被主動打開的情況。在安全實驗中,我們故意在受控的情形下創造混亂,模擬事故的情形,來客觀地檢測我們檢測、阻止這類問題的能力。
“安全實驗為分布式系統的安全性實驗提供了一種方法,以建立對抗惡意攻擊的能力的信心。”
在分布式系統的安全性和復雜性方面,需要反復地重申混沌工程界的一句名言,“希望不是一種有效的策略”。我們多久會主動測試一次我們設計或構建的系統,來確定我們是否已失去對它的控制?大多數組織都不會發現他們的安全控制措施失效了,直到安全事件的發生。我們相信“安全事件不是偵察措施”,而且“希望不要出事也不是一個有效的策略”應該是 IT 專業人士執行有效安全實踐的口號。
行業在傳統上強調預防性的安全措施和縱深防御,但我們的任務是通過偵探實驗來驅動對安全工具鏈的新知識和見解。因為過于專注于預防機制,我們很少嘗試一次以上地或者年度性地手動測試要求的安全措施,來驗證這些控件是否按設計的那樣執行。
隨著現代分布式系統中的無狀態變量的不斷改變,人們很難充分理解他們的系統的行為,因為會隨時變化。解決這個問題的一種途徑是通過強大的系統性的設備進行檢測,對于安全性檢測,你可以將這個問題分成兩個主要方面:測試,和我們稱之為實驗的部分。測試是對我們已知部分的驗證和評估,簡單來說,就是我們在開始找之前,要先弄清楚我們在找什么。另一方面,實驗是去尋找獲得我們之前并不清楚的見解和知識。雖然測試對于一個成熟的安全團隊來說是一項重要實踐,但以下示例會有助于進一步地闡述兩者之間的差異,并對實驗的附加價值提供一個更為貼切的描述。
示例場景:精釀啤酒
思考一個用于接收精釀啤酒訂單的 web 服務或者 web 應用。
這是這家精釀啤酒運輸公司的一項重要服務,這些訂單來自客戶的移動設備、網頁,和通過為這家公司精釀啤酒提供服務的餐廳的 API。這項重要服務運行在 AWS EC2 環境上,并且公司認為它是安全的。這家公司去年成功地通過了 PCI 規則,并且每年都會請第三方進行滲透測試,所以公司認為這個系統是安全的。
這家公司有時一天兩次部署來進行 DevOps 和持續交付工作,公司為其感到自豪。
在了解了混沌工程和安全實驗方面的東西后,該公司的開發團隊希望能確定,在一個連續不斷的基礎上,他們的安全系統對真實世界事件的有效性和快速恢復性怎么樣。與此同時,確保他們不會把安全控件不能檢測到的新問題引入到系統中。
該團隊希望能小規模地通過評估端口安全和防火墻設置來讓他們能夠檢測、阻止和警告他們 EC2 安全組上端口設置的錯誤配置更改。
- 該團隊首先對他們正常狀態下的假設進行總結。
- 在 EC2 實例里為端口安全進行一個假設。
- 為未認證的端口改變實驗選擇和配置 YAML 文件。
- 該配置會從已選擇的目標中隨機指定對象,同時端口的范圍和數量也會被改變。
- 團隊還會設置進行實驗的時間并縮小爆破攻擊的范圍,來確保對業務的影響最小。
- 對于第一次測試,團隊選擇在他們的測試環境中運行實驗并運行一個單獨的測試。
- 在真實的游戲日風格里,團隊在預先計劃好的兩個小時的窗口期內,選擇災難大師來運行實驗。在那段窗口期內,災難大師會在 EC2 實例安全組中的一個實例上執行這次實驗。
- 一旦游戲日結束,團隊就會開始進行一個徹底的、免于指責的事后練習。它的重點在于針對穩定狀態和原始假設的實驗結果。問題會類似于下面這些:
事后驗證問題
- 防火墻是否檢測到未經授權的端口更改?
- 如果更改被檢測到,更改是否會被阻止?
- 防火墻是否會將有用的日志信息記錄到日志聚合工具中?
- SIEM 是否會對未經授權的更改發出警告?
- 如果防火墻沒有檢測到未經授權的更改,那么配置的管理工具是否發現了這次更改?
- 配置管理工具是否向日志聚合工具報告了完善的信息?
- SIEM 最后是否進行了關聯報警?
- 如果 SIEM 發出了警報,安全運營中心是否能收到這個警報?
- 獲得警報的 SOC 分析師是否能對警報采取措施,還是缺少必要的信息?
- 如果 SOC 確定警報是真實的,那么安全事件響應是否能簡單地從數據中進行分類活動?
我們系統中對失敗的承認和預期已經開始揭示我們對系統工作的假設。我們的使命是利用我們所學到的,并更加廣泛地應用它。以此來真正主動地解決安全問題,來超越當前傳統主流的被動處理問題的安全模型。
隨著我們繼續在這個新領域內進行探索,我們一定會發布我們的研究成果。如果您有興趣想了解更多有關研究的信息或是想參與進來,請隨時聯系 Aaron Rinehart 或者 Grayson Brewer。
特別感謝 Samuel Roden 對本文提供的見解和想法。
