本章将详细介绍外部、DMZ、内部和关键资产的入网点的初始演练视角。初始视角是攻击性安全评估的出发点，评估人员从此开始与目标系统进行交互，然后进行枚举和漏洞利用。每种视角都会通过其在组织中评估和利用漏洞的能力进行对比。然后，根据攻击面审查的效率和方式对这些视角进行比较。另外，文本还概述了每种视角的优缺点。在本章末尾，你就能了解不同的演练初始化点如何影响攻击性安全评估，并了解 CAPTR 团队使用的关键资产视角是值得甚至是必要的。重要的是要注意，攻击性安全评估是一个人工进行的过程，除了技术漏洞识别和利用工具外，还涉及情报和技能。初始视角几乎影响手动攻击性安全评估的所有方面，下面的分析将演示如何从不同的初始视角进行演练。下图说明了演练中不同的初始视角。

外部初始演练视角

外部演练视角是安全评估最传统的出发点。外部演练初始视角通常从基于互联网的入口开始，并将重点放在组织安全的外围，如下图所示。

DMZ 初始演练视角

从DMZ的视角评估网络需要从DMZ本身作为开始进行评估，重点不仅是从侧面攻击面向互联网的服务器，而且还要评估从DMZ内部攻击组织内部的能力。该视角评估的重点是确定对恶意攻击者在DMZ内从一个DMZ托管的面向互联网的设备转移到另一个设备的能力以及攻击者从DMZ移动到内部网络的能力进行安全评估，如下图所示。

内部初始演练视角

内部视角使用网络本身作为出发点。此视角通常通过网络中机器上的用户上下文来开展。在这个演练视角中，评估的重点是确定在该内部网络中定位跳板机器和提升权限的能力，如下图所示。

关键资产初始演练视角

CAPTR 团队从对组织构成最大风险的一个或多个存在点开始使用关键观点。从这个视角进行评估的重点是识别此类设备的本地漏洞，这些漏洞可能使攻击者入侵关键资产。然后，可以将评估扩展到组织中允许攻击者转向关键资产的点，并继续向外扩展。第四种视角旨在缓解组织内网遭到破坏行为的影响，而不管允许攻击者进入的漏洞或内部威胁的位置是否会影响这种评估视角。以入侵为目标开始安全评估，而不是评估潜在的起点，可以增强抵御各种威胁的能力。该视角不同于内部初始视角，因为该视角是从CAPTR团队范围内确定的致命或关键资产点作为开始，而不仅仅是组织内的非特定特权或非特权访问，如下图所示。

对风险评估的影响

为了比较和对比安全评估的四种不同初始视角，我接下来将对风险进行定量分析。影响面是衡量不同攻击对象的破坏程度的指标。评级风险的另一部分是它发生的可能性。时间度量用于显示可能性，它表示所花费的时间量，从给定的角度评估产生不同影响的信息折衷所需的时间。此评估还表明攻击者可能也会这样做。为了确定这些评估视角可能导致的结果的影响，我将影响分为四个级别，数字越高，表明该级别的设备如果受到攻击，对组织的影响越大（见下图）。0级项目的影响可以忽略不计；3级项目对组织的存在和功能是致命的。为了确定每个视角可能识别的信息类型，我在下图中创建了一个大图，显示了网络的哪些部分可能在黑匣子中包含哪些级别的数据保护分类。

如前所述，可能性表示为从给定视角进行评估以确定具有给定影响面的结果所需的时间。例如，如果一个评估视角几乎能够立即找到具有给定保护级别的数据，那么使用的视角很可能会评估该影响级别的风险。如果某个视角是需要花费时间并且通过跳板来访问到不同的数据保护级别，则可能性很低。

重要的是要理解，评估过程中时间的流逝也可能会改变评估视角。评估可以从网络的外部初始视角开始，然后通过漏洞利用，访问DMZ中的设备。从这一点开始，评估就是多个攻击角度的表示。随着评估进一步深入网络，该过程将继续进行。所涉及的定义增量是时间、过渡视角和可能性。

对风险评估的影响：外部视角

外部初始评估视角侧重于网络的外围，只有在识别并利用组织最外层的漏洞后，才能转移到组织的其他部分。因此，在评估的早期，很可能只有0级和1级相关的结果。时间可能允许演练通过深入网络来破坏更高级别的数据；但是，因为这需要更长的测试时间，所以可能性被认为很低。下图显示了随着评估时间的持续，这种视角的变化。

由于外部视角与网络中的3级数据相距甚远，因此到达这一点所需的时间较长，因此不太可能。尽管0级信息的影响很小，但几乎可以肯定的是，这种可能性会产生与从这个视角发现的结果相关的中等风险。此视角不太可能产生更高级别的数据，因为它需要时间来发现其他漏洞，从而使该演练视角能够深入组织。可能被评估的风险水平为低至中等。

对风险评估的影响：DMZ视角

DMZ视角相对于外部视角具有优势，因为它从组织的DMZ内已经存在的一个点开始，并且不必发现允许其从外网转到DMZ的漏洞（见下图）。

由于从这一角度进行评估不需要时间从外部角度进行内部分析，因此与高级别数据保护相关的发现更有可能，因为识别这些发现所需的时间较少，从而增加了发现有影响的威胁的可能性。DMZ视角在评估中等风险水平方面具有最大潜力。

对风险评估的影响：内部视角

从网络中间存在点的初始视角来看，评估更有可能在1级和2级数据早期发现结果。与前面讨论的两种视角相比，这种视角还有一个副作用，即使用这种初始视角进行评估，实际上不太可能发现导致0级信息的发现。与前两个视角一样，从内部初始视角到能够入侵3级数据的轴心需要时间。 下图显示，与0级数据一样，从这一初始视角进行评估，要得出关于3级数据的调查结果，仍然需要时间。因此，最有可能找到风险等级1和2的数据。因为从这个视角来看，很快发现的漏洞不太可能破坏3级数据，所以它仍然不能代表对最高风险级别的有效评估。然而，内部视角显然代表了大的潜在风险截面。

对风险评估的影响：关键视角

使用关键初始视角的评估从网络最有价值的地方开始。这意味着，与其他三个角度不同，3级数据被攻击的结果在评估开始时确定。不幸的是，使用视角需要时间才能到达网络中包含0到2级数据的点（见下图）。

使用此视角可降低在评估期间发现1级和2级数据的可能性，且评估不太可能遇到0级数据的发现。关于一个组织的总体评估效率，这种初始视角在涵盖所有风险级别时可能是最不有效的。它在查找级别3数据时非常有效，因为它从承载此类信息的设备开始。因此，这种评估视角更有可能发现导致3级数据被攻击外泄的漏洞，因此，代表了评估组织面临的最极端风险水平的能力。

对攻击面覆盖的影响

下一步要在初始视角之间进行比较的是每个视角在评估期间审查攻击面的能力。这是证明安全评估有效性的一个极其重要的属性。尽管评估可能不会产生涵盖极有价值的风险敞口的结果，但如果能够评估组织的大部分攻击面，评估仍然可能有效。攻击面是能够影响给定目标的任何实体或资产。安全评估的责任是通过评估漏洞来覆盖攻击面。但是，不能平等对待所有攻击面，因为整个攻击面的不同部分代表了对不同级别数据的潜在即时访问。 例如，有一个更广泛的攻击面，由面向外网的面表示，因为它们受到的攻击和枚举尝试次数要多得多。然而，正如已经显示的那样，允许访问面向外网的服务器的漏洞最初可能并不一定会削弱组织。对每个初始视角如何影响攻击面分析方式的剖析进一步说明了每个初始视角作为有效安全评估视角的情况，并展示了它们如何共同构成组织充分网络安全评估的必要部分。

攻击面覆盖：外部视角

组织中面向互联网的部分是最容易暴露的，并且可以被最多的用户和攻击者访问。因此，网络的面向互联网的层可以被归类为具有最多的攻击面。这里存在的漏洞如果被利用，可能不会导致最严重的后果，但这是最有可能被发现的地方。大多数现代组织不得不承认，为互联网用户提供服务的本质增加了他们的风险。安全评估的外部视角为评估该攻击面提供了最直接的方法，如下图所示。

外部视角攻击面评估

外部视角允许覆盖组织的大片攻击面。但是，如果在测试期间进行评估，那么在评估深入到网络之前还有一段时间。下图显示了评估的攻击面（红色部分），以及评估如何随着时间推移过渡到攻击面更深的部分。初始化时，第一个攻击面金字塔（如下图左侧）显示外部视角如何仅看到组织的外部攻击面。中间金字塔表示从外部角度评估的中间部分，以及它将如何达到评估组织内部更深层次攻击面的能力。右边的金字塔显示了评估的结束，以及它是如何检查组织深层攻击面的一部分，但不是全部。

攻击面覆盖：DMZ 视角

在DMZ中开始评估消除了对漏洞的需要，从而使得评估人员绕过面向互联网的防御。因此，从这一视角进行的评估能够更直接地评估DMZ中的其他设备，并通过横向枚举确定其脆弱性（见下图）。

如上图所示，DMZ演练视角在能够开始评估DMZ中的设备之前不需要时间。它还能够以比外部视角更快的方式开始探测内部网络，因为外部视角是组织攻击面的主体，在继续之前必须首先解决。然而，这一评估视角面临的一个潜在障碍是，它可能无法识别基于互联网的扫描和攻击存在的漏洞，因为DMZ中的设备应该与互联网通信，而不是相互通信。

攻击面覆盖：内部视角

内部视角承担了内部威胁的责任，因此可以从网络的更深层次入手，接触到更多的攻击面。这也意味着，与DMZ视角一样，评估一个组织面对互联网的威胁向量的能力并不容易实现，事实上，在这种情况下可能相当耗时（见下图）。

内部视角攻击面评估 内部演练视角的好处是，在直接环境中分析的攻击面可能会导致漏洞的发现，这些漏洞可能会危害组织无意公开的数据。这与外部和DMZ评估观点相反，外部和DMZ演练视角可能会在更大、更易访问互联网的攻击面上发现许多意义不大的漏洞。

攻击面覆盖：关键视角

关键视角分析了迄今为止一个组织最少的攻击面。它与外部视角截然相反，外部视角在开始的时候就聚焦于一个非常大的面；关键视角关注的是优先部分。从这一点来看，假设从这个视角开始的评估能够在任何合理的时间范围内评估面向互联网的服务是不现实的。该视角旨在提供与影响较大的对象相关的最危险攻击面的最有效分析（见下图）

关键视角攻击面评估 关键视角评估接近组织攻击面的不同部分的方式也与其他三个视角不同。例如，当IT部门在一个组织面向互联网的周边发现尽可能多的漏洞时，可以通过外部演练视角获得最大的价值。这可能意味着评估人员不会利用已识别的漏洞深入组织，直到他们认为已对整个外部网络进行了评估。这种尝试的完整攻击面覆盖是其他评估视角的必要组成部分。关键资产视角不需要完全评估下一层。相反，关键视角将重点放在攻击者如何将数据或机器转移到无法接受的损失上。它不是寻找攻击面上的所有漏洞，而是将重点放在那些使访问能够转向致命和关键的风险项的点上。

全系列文章请查看：https://www.4hou.com/member/dwVJ

本文由作者“丝绸之路”整理发布，如若转载，请注明原文地址