Raphael Magic Quadrant

blackhat akan mulai dalam beberapa hari. Saya rasa ini adalah saat yang tepat untuk berbagi non-teknis, hanya Post Bisnis.

Ada pasar baru untuk alat dan layanan ofensif. Tekan bisnis kami menulis tentang hal itu belum. Saya tidak percaya analis masuk ide-ide ini belum. Pemimpin untuk program keamanan dewasa berkumpul di ide-ide ini, isolasi diri. Aku melihat sebuah perusahaan berpikiran maju konsultasi beberapa untuk mempersiapkan arah ini juga. Saya juga melihat tawaran untuk ide-ide ini di berbagai sektor. Hal ini tidak terbatas pada bank, pemerintah atau militer.

Sword, yang Hones Perisai

pasar saat ini untuk penetrasi pengujian perangkat lunak dan layanan didorong oleh kebutuhan untuk menemukan kerentanan dalam jaringan dan membuat daftar prioritas hal untuk memperbaikinya aman. Layanan dan alat-alat di pasar ini mencerminkan masalah ini diatur.

Apa yang terjadi jika seorang penyerang mendapat? Terjadi, bahkan di jaringan yang paling terpelihara dengan baik. Pada titik ini, semua tidak hilang. Di sinilah kegiatan keamanan berikutnya. Ini adalah bagian dari rencana keamanan, yang bertujuan untuk menyelidiki dan menangani impor sebelum menjadi peristiwa besar.

Operasi Keamanan adalah investasi besar. Tidak ada kekurangan bahan di pasar yang menjanjikan untuk menghentikan APT atau 99,9% dari malware mendeteksi bahwa tes penjual. Ketika pelanggaran terjadi, kehadiran perangkat ini, penjual biasanya berpendapat bahwa klien tidak benar menggunakan debu sihir mereka. Perangkat ini sangat mahal.

Selain peralatan tiba untuk memantau karyawan. Ini adalah orang-orang yang mengikuti dapat kotak dan sensor lainnya untuk menentukan apakah aktivitas berbahaya pada jaringan mereka. Beberapa organisasi outsourcing Managed Services Provider Keamanan ini. Lainnya memiliki rumah staf untuk melakukannya. Either way, itu adalah beban yang sedang berlangsung, yang organisasi membayar untuk melindungi bisnis mereka jika pelanggaran terjadi.

Operasi Keamanan tidak hanya pemantauan pasif. Di pasar high-end, operasi keamanan juga mencakup analis terampil yang menyebarkan agen yang mengumpulkan informasi pengguna dan perilaku yang tidak tersedia sebelumnya. Agen ini menghasilkan sejumlah besar data. Pengumpulan, pengolahan dan analisis data tersebut sulit untuk dilakukan dalam tingkat. Untuk alasan ini, peralatan ini analis dan sistem biasanya mendeteksi jenis saat lain pemantauan kiat mereka. Ini analis yang terampil bekerja pada menemukan tanda-tanda intervensi, memahami, dan mengembangkan strategi untuk menunda aktor sampai mereka tahu cara terbaik untuk menghilangkan aktor dari jaringan mereka sepenuhnya. Hal ini sering disebut berburu.

Ketika sebuah organisasi berinvestasi dalam operasi keamanan dalam hal apapun, memiliki tanggung jawab untuk memastikan investasi itu dan memastikan bahwa keamanan ini bagian dari program kerja. Masalah ini diatur adalah kekuatan pendorong di belakang pasar ini baru untuk layanan ofensif dan alat.

Lawan Simulasi

Layanan baru saya bicarakan dengan banyak nama. Simulasi penuduh adalah nama yang sama. Ancaman cemburu berbeda. Red Team-lite adalah kata yang saya sering bercanda dengan teman-teman saya tentang hal itu. Konsep ini adalah sama. Latihan operasi keamanan ofensif profesional musuh panggung pertunjukan.

Dalam janji-janji, tidak peduli bagaimana penyerang mendapat dalam jumlah yang sama. Setiap langkah dari penyerang adalah kesempatan bagi kegiatan keamanan staf untuk menyelidiki dan menangani penyusup. Beberapa peran dapat meniru tahap awal sebelum setelah pelanggaran. Langkah-langkah awal untuk meningkatkan hak untuk mengambil kendali dari nama domain merupakan kesempatan penting untuk menangkap penyerang. Kreditur lain dapat meniru penyerang, yang memiliki lapangan dan memiliki kehadiran di internet selama bertahun-tahun. Untung mode ini, masing-masing dari komitmen ini adalah scoped untuk melatih staf untuk melaksanakan kegiatan keamanan dan jenis tertentu acara.

Aku menulis tentang lawan sebelum simulasi. Saya juga berbicara tentang mereka sering. Pikiran saya baru-baru ini diperbarui termasuk dalam konvergen di Detroit beberapa minggu untuk pergi:

simulasi Lawan bertujuan bagian lain dari proses dari banyak tes penetrasi ofensif. Tes penetrasi cenderung fokus pada akuisisi dan teriakan sukacita, ketika polong menerima. Simulasi penuduh setelah mempertimbangkan hampir secara eksklusif pada eksploitasi, gerakan yang stabil, dan kesabaran.

kebutuhan wadah simulasi Setan sangat berbeda. Novel ini menyangkut saluran rahasia jauh dari unpatched mengeksploitasi. fitur umum lawan simulasi kotak putih Pelanggaran menganggap merupakan bagian dari model. Sama seperti sering tidak, lawan akan menjalankan simulasi dan mengharapkan lapangan penuh kompromi. Tujuan dari layanan ini adalah dengan menggunakan teknik ini untuk mencapai efek dan mencuri data dengan cara yang membantu mengatur pelatihan staf dan keselamatan operasi, apa yang benar-benar menentangnya.

Lawan Simulasi Alat

Apa alat dapat digunakan untuk melakukan simulasi penuduh? Anda dapat membuat sendiri. PowerShell adalah sebuah platform umum untuk menciptakan alat kustom berdasarkan akses remote dan partisipasi partisipasi. Tim merah Microsoft berikut pendekatan ini. Salah satu wawancara favorit saya: tidak ada alat, tidak ada masalah. Buat botnet kustom di PowerShell (Chris Campbell, 2012), berjalan melalui langkah demi langkah

Cobalt Mogok Beacon telah terbukti menjadi alat simulasi penuduh efisien tujuan saya awalnya untuk kebutuhan tim high-end merah dan pengalaman dan merah vs biru. Latihan memaksa saya untuk mengembangkan toolkit yang menyediakan async setelah eksploitasi dan komunikasi rahasia fleksibilitas. Misalnya, C2 mercusuar marah menawarkan fleksibilitas untuk mewakili beberapa ekstensi / aktor dalam satu menembak Beacon Operator mengandalkan alat yang lebih alami. . mereka bekerja setelah pertambangan Pendekatan ini didasarkan pada baik-menyalin stabilitas mogok ancaman Cobalt 3.0 administrator akan dua kali lipat dengan pendekatan ini:

Pencegahan memiliki rasa kontainer. Aku terus mata saya pada sindiran dari sarung tangan pemberitahuan sebelumnya. sindiran diupgrade setelah alat eksploitasi yang dirancang untuk mensimulasikan tindakan dan intrusi musuh maju, dengan penekanan pada jalan rahasia. sindiran adalah sebagai sistem yang dikembangkan setelah eksploitasi karena merupakan alat akses remote. Pencegahan juga menawarkan layanan Setan Simulasi. Saya percaya pada tahap ini yang melihat pasar perlindungan ini dengan cara yang mirip dengan bagaimana saya melihatnya.

Salah satu perusahaan yang melakukan banyak merah mendorong tradecraft untuk tim pengujian penetrasi adalah Veris Group. Apakah Schröder telah melakukan banyak dalam kesempatan PowerShell ofensif untuk membantu perusahaan perlu tim merah. Hal-hal ini akan bekerja keluar dari sesi brainstorming. Mereka bekerja keras pada pertemuan penting. B-sisi Las Vegas, ia dan rekan Justin Warner rilis eksploitasi setelah agen yang disebut Kekaisaran. Hal ini belum-demi satu eksploitasi agen PowerShell. Ini catatan, dipoles, dan dibangun di atas fungsi baru menjalankan PowerShell dalam proses unmanaged. Diskusi ini telah ditolak oleh pertemuan lain, dan saya percaya bahwa penyelenggara konferensi membuat kesalahan di sini. Empire adalah dasar dari yang terdefinisi dengan baik alat simulasi musuh.

Perhatikan bahwa saya berbicara banyak tentang bermain bidang alat simulasi musuh hari ini. Saya berpikir bahwa masing-masing dari kemungkinan ini adalah awal, di terbaik. Kami sebagai sebuah industri memiliki jalan panjang untuk pergi untuk membantu perlu menjadi seorang penuduh Simulasi profesional yang aman, berulang dan berguna bagi konsumen yang membeli mereka.

Lawan Simulasi Pelatihan

Alat penuduh teknik simulasi. mobil sendiri tidak cerita. Alat simulasi membutuhkan penuduh lebih indah yang membutuhkan aktor yang baik.

musuh Informasi Operator Simulasi adalah seseorang yang mengerti konsep sistem aturan yang sangat baik. . Terlepas dari toolkit, banyak lawan Simulasi Kerja do-bisa dan alat dibangun ke dalam sistem operasi

musuh Informasi Operator Simulasi adalah seseorang yang tahu apa yang mereka terlihat seperti dalam sensor tindakan dan mereka menghargai yang menunjukkan sensor memiliki laporan kepatuhan kegiatan mereka . Dengan cara ini berpikir kesalahan-detail yang diperlukan untuk menghindari advokasi dan menerapkan tantangan lingkungan

Dan akhirnya, Setan Simulasi memerlukan pemahaman tentang tradecraft yang sudah tidak ada di kategori pengujian penetrasi belum. Tradecraft adalah cara terbaik untuk musuh modern. Apa saingan PlayBook? Apa yang daftar ikuti? Mengapa mereka melakukannya?

Aku melihat beberapa rekan-rekan saya menolak intelijen asing script kiddies, kapasitas penguji penetrasi sama atau lebih rendah. Itu membuat saya merasa ngeri. Kebanggaan ini bukan jalan ke depan untuk simulasi efisien musuh. Simulasi penuduh akan membutuhkan profesional dengan pikiran terbuka dan penghargaan untuk contoh-contoh lain dari pelanggaran.

Saat ini, sumber informasi terbaik tentang tradecraft adalah bagian dari cerita yang ditulis dengan baik dan laporan Ancaman Intelijen informatif. Baik Operator simulasi penuduh akan tahu bagaimana membaca berita yang baik, berspekulasi tentang proses musuh, menunjukkan konsep operasi yang mengemulasi proses ini. CrowdStrike Trik dan memperlakukan lawan blog posting adalah contoh dari cerita yang bagus. Kaspersky 2.0 Laporan Duqu juga menangkap informasi kunci tentang berapa aktor membuat gerakan yang kuat dan daya tahan. Sebagai contoh, seorang aktor yang bekerja dengan Duqu 2.0 menggunakan dana MSI dimulai dengan schtasks untuk gerakan stabil. Mengapa aktor kontemporer ini tenang lakukan? Hal ini bermanfaat bagi mereka itu? Baik penuduh Operator simulasi akan menanyakan pertanyaan-pertanyaan ini, datang ke kesimpulan mereka sendiri, dan belajar bagaimana untuk meniru gerakan ini dalam jaringan pelanggan mereka. Langkah-langkah ini akan membantu pelanggan mereka untuk pembangunan yang lebih baik dari mitigasi dan mengidentifikasi strategi yang bekerja.

Simulasi tidak Penetrasi Pengujian Setan. Ada beberapa tumpang tindih dalam keterampilan yang diperlukan, tetapi lebih kecil daripada banyak berpikir. Untuk Lawan Simulasi benar-benar matang sebagai sebuah layanan, kita perlu kelas pelatihan yang menekankan setelah eksploitasi, sistem manajemen, dan bagaimana menggunakan ancaman laporan. Saat ini, program yang dirancang untuk high-end tim merah adalah pilihan terbaik.

Jasa

Lawan Simulasi

Setan Layanan Simulasi [Seseorang memilih yang lebih baik singkat] didorong oleh kebutuhan untuk memverifikasi dan meningkatkan keamanan. Ini bukan organisasi matang-masalah-satunya. Jika organisasi ini cukup matang untuk menyewa konsultan independen untuk mengevaluasi keamanan investasi rentan dan organisasi dalam operasi keamanan akan mendapatkan keuntungan dari layanan memvalidasi atau memperkuat investasi ini.

Apa Untuk Simulasi musuh menarik adalah bahwa ini adalah kesempatan untuk sebuah perusahaan konsultan untuk mengkhususkan dan menggunakan kelemahan mereka.

Jika Anda bekerja untuk sebuah kecerdasan ancaman perusahaan, simulasi lawan kesempatan untuk menggunakan Intelijen Ancaman ini untuk mengembangkan dan melaksanakan acara membuktikan dan meningkatkan penggunaan klien Intelijen Ancaman Anda dapat menjual. iSight Mitra adalah di ujung tombak ini sekarang. Hal ini sangat canggih, namun diperbarui situs web mereka untuk menggambarkan layanan ini. Konsep mereka mirip dengan bagaimana saya menggambarkan agresor ShowMeCon Mei 2014:

Jika Anda memiliki sebuah perusahaan pengujian penetrasi yang berfokus pada SCADA; Anda memiliki kesempatan untuk mengembangkan kegiatan yang berhubungan dengan kondisi yang unik untuk pelanggan mereka sebagai layanan untuk menjual, antara lain, niche Anda dapat memberikan.

Beberapa organisasi yang lebih dalam operasi keamanan mereka penyedia pihak ketiga. Ini keren. Ketika bekerja dengan organisasi-organisasi ini, Anda masih bisa menjual jasa Anda untuk membantu pelanggan membenarkan investasi. . Melihat ke dalam model keamanan praktek MI SEC dan datang dengan peristiwa yang memakan waktu satu sampai dua hari untuk melaksanakan dan memberikan umpan balik pelanggan

Jika Anda memiliki organisasi high-end bekerja pada penuduh kemampuan simulasi penangkapan bangunan-penting untuk Anda juga. Anda tidak dapat mengirim eksekutif untuk berburu, dan menganggap bahwa mereka siap untuk menangani keluar APT paling menakutkan. Tim lawan simulasi dapat bermain sebagai tim kereta pergumulan dan mengevaluasi kemampuan berburu.

Untuk setiap organisasi yang Anda bekerja dengan, simulasi lawan adalah kesempatan untuk menawarkan mereka layanan baru untuk audit operasi keamanan mereka. Ada berbagai model untuk simulasi lawan. Masing-masing model ini cocok untuk berbagai tingkat organisasi jatuh tempo.

Saya memprediksi bahwa penuduh akan jasa pengujian Penetrasi kuantitas simulasi dan alat pasar di masa depan. Sekarang adalah waktu yang tepat untuk membantu menentukan

& amp; amp; nbsp;


Filed under:. Simulasi penuduh