HaXM 是自动化渗透测试项目的合理进化,不仅提供方便配置的持续扫描,还能给出帮助修复问题的建议。
今天的企业网络复杂到令人叹为观止,一个小小的配置错误就能整个企业暴露在危险的漏洞和攻击之下。想要抢在黑客之前发现这些问题,网络安全团队通常会执行所谓的红队演练,也就是让训练有素的攻击者尝试入侵网络,然后报告其发现。但如今世界变化快,云计算和软件定义网络更是随时在变,这种演练的执行频度就显得太低了。
为填补红队测试的频度空白,很多网络安全公司开发出能够随时执行红队任务的渗透测试工具。但大多数此类工具都要求至少要给出用户希望扫描的漏洞类型信息,而能够针对所发现问题给出解决建议的倒没有几个。
XM Cyber 出品的 HaXM 从多个方面改进了类似程序的当前状态,旨在提升自动化渗透测试的可靠性和可用性。首先,HaXM 不要求用户具备任何攻击技术。比如说,你不必扫描 Web 服务器特定代码注入漏洞,只需指定该 Web 服务器为网络上重要资产,然后就可以任 HaXM 自行发现入侵该服务器的各种方式了。其次,HaXM 提供持续扫描功能,扫描结果永远不会过时。最后,除了执行红队类演练,HaXM 还能提供针对所发现问题的优先级确定和问题解决建议,尽职尽责地承担起安全演练中所谓蓝队的职责。
评测开始
XM Cyber HaXM 的安装过程相对简单。该程序的大脑托管在主服务器上,安全要求极高的组织机构可以本地部署,也可以部署成软件即服务 (SaaS) 模式通过云来访问。然后,需受保护的每个关键资产上都要安装非常轻量的软件代理,供 HaXM 对资产进行模拟攻击。
HaXM 按年订阅模式计价,根据组织机构拥有的终端数量浮动。但关键资产上部署的代理数量不受限,增加代理并不影响价格。
配置 HaXM 同样不复杂,但通常需要年度订阅中包含的 XM Cyber 的辅助才可完成。配置过程涉及关键资产定义、代理部署和安全问题设置。比如说,安全问题可以设为:“我的数据库可以被非授权用户访问吗?”,或者“攻击者能够使用其他漏洞利用程序横向移动到服务器上吗?” 配置后将生成持续特定时间的几个测试,从几分钟到数天或数周不等。测试亦可设置为定期重复模式。
测试HaXM
执行模拟攻击后,用户可以通过 HaXM 主服务器获取一份报告。HaXM 可被设为向安全信息及事件管理 (SIEM) 通报扫描结果,但用户仍需通过主界面查看实际的报告。攻击报告视图的名称为“战场” (The Battlground),看起来像是战争游戏中的作战地图,六边形代表不同网络资产,菱形表示需受保护的关键资产。
XM Cyber HaXM 攻击模拟可在战场视图中以类似电影的形式演示。测试完成后可控制攻击关键部分快进或快退。
攻击模拟由一系列各资产间缓慢延伸的箭头表示,如果真实攻击能以特定技术黑掉该资产,颜色就会从蓝变红。图形化攻击模拟过程就好像实时电影一样,屏幕底部还有播放、快进、快退和暂停按钮可供控制。本次评测的第一个测试中,仅仅 3 分钟之内,就有一个关键服务器被黑了,不知道现实中的黑客会怎么完成这一壮举。
关键资产被攻破后,用户可看到模拟黑客的所有攻击路径,所利用的全部漏洞,甚至可被用于进一步深化攻击的用户。所有这些都是采用 HaXM 保护网络中的真实数据模拟的。
模拟攻击的每个元素都含有非常详细的真实网络资产被黑途径信息。另一个测试中,模拟黑客黑掉一台 Web 服务器,想要以此为跳板跳转到更好的目标上,但必须等到真实用户用未打补丁的脆弱浏览器访问该被黑 Web 服务器,模拟黑客才有机会执行更深入的横向移动。如果为期数天乃至更长的测试期限内都没有真实用户这么做,那 HaXM 就无法利用该特定漏洞——虽然期间 HaXM 也会尝试其他方法。
尽管本程序真正的价值在具体报告中,HaXM 也有图形化的仪表板可以警示用户关键漏洞的发现情况。
一旦测试完成,HaXM 会自动排序所发现的漏洞。排序因素主要有:攻击者利用该漏洞的难度、构造修复方案的难度、关键资产被黑的程度等等。这么一来,安全团队就能先处理最容易修复的关键问题了。HaXM 在测试网络中发现的很多问题都是配置错误类漏洞,这在当今复杂网络环境中毫不令人意外。HaXM 主仪表板上也可以查看覆盖每次扫描与所检出问题的完整报告。
除了指出漏洞和将漏洞放到模拟攻击上下文中呈现,XM Cyber HaXM 还会给出问题修复及修复顺序建议。
HaXM 不仅会给出漏洞优先级建议,还提供有关漏洞修复最佳方式的可行性建议,以便未来的模拟和真实黑客无法再用本次扫描中发现的攻击途径入侵关键资产。建议写得很明智周到,比如凭证使用后不要存储在缓存文件中之类的。HaXM 还会阐述怎样完成这些修复。比如上面这个例子,HaXM 给出的具体修复方法就是将管理员和其他高权限用户加入 Windows 网络的受保护用户组里。想要验证蓝队修复是否有效,再触发一次扫描就行。
结语
XM Cyber HaXM 是自动化渗透测试程序的合理进化,不仅提供甚至初级网络安全分析师都能用方便配置的持续扫描,还能给出帮助修复问题的建议。HaXM 为发现和修复复杂网络攻击途径提供了非常完整而有用的工具包。
相关阅读