六、紫队剧本会商

在本节中

，我们将会商紫队剧本框架利用于安全测试场景时若何处置威胁建模中的问题

，此表

，我们还将会商PTP框架和其他利用法式的局限性
。

??

在对本文进行布景钻研的同时

，我们发现红队和蓝队不足可在其组织内部使用的威胁建？蚣
。紫队剧本通过提供一个框架来解决这一问题

，该框架可用于为组织提供有关的攻击和防御数据
。

PTP此刻仍处于原型阶段

，我们已经创建了框架的数据可视化部门

，并仿照了框架所需的数据馈送和数据模型
。PTP在解决一个复杂的问题

，即组织占有很多安全工具

，但无法接见集中知识库中的所罕见据

，因而可能无法齐全相识必要测试的内容
。

在一个组织中

，使用这个框架必要一些功夫和内部资源能力找到相宜的数据源并将其输入紫队数据集
。同时

，自动化数据馈送会使数据守护成本削减
。而后

，有关团队能够接见这些数据

，他们能够使用数据可视化工具以任何方式查看数据
。PTP的重要主张是提供一个框架

，供内部红蓝队使用

，以确定必要测试的内容
。

威胁建模的一个重要挑战是

，模型很难守护

，且取决于建模用户的能力
。PTP框架不能取代专业的红队或蓝队测试人员的经验

；然而

，它能够提供一个集中的知识库

，其中蕴含可用于安全测试建模的靠得住数据
。

我们认可

，有一些工具拥有类似的职能

，但成本高昂

，由于大多是贸易工具
。PTP能够被组织用作相识其安全数据的基础
。若是一个组织决定采办安全测试或自动化工具

，那么他们能够凭据PTP做出更明智的决定
。较幼的组织可能无法证明贸易工具成本的合理性

，因而PTP为他们提供了参考
。

安全测试的一个挑战是

，在一个组织中

，红队和蓝队之间存在脱节
。PTP允许红队和蓝队接见彼此的数据

，以便相识已测试的内容和必要测试的内容
。这激励了创新

，由于红队将知路攻击无法成功的原因

，因而他们将钻研和尝试新的攻击伎俩
。这也有助于蓝队造订新的防御措施

，如SIEM用例

，这些用例将凭据攻击者可能尝试的技术来鉴别行为
。

PTP还允许用户俯瞰整个组织

，以便他们判断缝隙的影响及其对资产的影响
。例如

，在一次测试中发现了一个web缝隙

，我们能够使用PTP来相识组织的其他web利用法式以及它们是否受到影响
。

PTP解决了STRIDE模型的一些问题

，在该模型中

，它被以为不足粒度

，并且没有提供威胁缓解措施
。PTP使用已成立的攻击库（如Mitre ATT&CK框架）提供所需的粒度级别

，还提供缓解措施和跟踪数据

，以相识组织是否已解决问题
。

PTP利用法式查看器解决了攻击树面对的挑战

，即攻击树可能变得无法治理
。通过PTP中杀伤链或Mitre框架中映射的数据

，用户能够明显地相识已测试的内容以及组织中存在的风险
。用户还能够使用PTP作为威胁建模工具（如Seaponge）的数据源
。

凭据PTES

，渗入测试威胁建模没有推荐使用的现成的模型

，因而PTP中的数据能够与其他模型互换使用
。例如

，它能够用于填充钻石模型的数据

，通过在PTP中提供高质量的数据

，分析师能够将这些数据使用于其他模型

，可确保他们在正确地鉴别威胁
。

??

在前文中

，我们钻研了两种安全测试场景

，并在测试的威胁建模阶段使用PTP框架
。出于这些场景的主张

，我们只查看了测试的威胁建模阶段

，并使用数据可视化工具“Tableau”查看PTP数据
。

在第一个测试场景中

，我们进行了一个web利用法式的传统渗入测试

，在这样的通例测试中

，测试人员将使用他们自己储蓄的测试知识以及从有关业务人员处获得的数据
。凭据我们自己的经验

，测试所需的有关数据将起源于分歧的处所

，例如之前的测试了局、资产数据和威胁数据
。

此表

，在传统的渗入测试中

，蓝队通常不会参加

，因而我们不知路利用法式的所有安全节造措施
。PTP允许测试人员在集中知识库找到测试所需的所有有关数据

，他们还能够查看蓝队数据

，这增长了测试的价值
。由于这是一个正常的渗入测试

，所以指标更多的是确保利用法式是安全的

，因而测试领域仅限于利用法式和支持基础设施
。

总的来说

，我们以为PTP能够援手传统的渗入测试

，由于它为所有效户提供了一个集中的数据源

，这应该确保每个用户在PTP中界说威胁时以一致的方式建模
。

在第二个场景紫队测试中

，我们遵循紫队测试流程
。作为测试的一部门

，红队和蓝队能够会晤查看PTP

，以相识哪些已经测试

，哪些必要测试
。在这个场景中

，我们专门钻研了APT用于进入金融机构的鱼叉垂钓技术
。

PTP提供了已经测试的数据以及已经有蓝队防御节造的有关数据

，这界说了本次所必要的测试内容
。我们发现

，PTP还能够让我们相识用户点击网络垂钓链接的内部威胁

，由于我们能够存储网络垂钓仿照数据
。这为测试增长了价值

，由于我们能够发现哪些技术有效

，以及深刻相识若是有大量用户点击垂钓电子邮件对组织的风险
。我们在仿照测试时发现

，关联内部数据能够让我们预测攻击者将来的行为
。这些幼型测试场景旨在展示PTP若何为通常渗入测试以及紫队测试增长价值
。

在本文的威胁建模简介中

，我们谈到了在威胁建模时让用户像攻击者一样思虑的难题
。PTP 能够通过测试攻击者技术来援手红队和蓝队测试人员获得有关经验

，随着功夫的推移

，他们将起头把稳到行为模式
。这应该有助于激励组织中的创新

，由于测试人员可能会想到其他步骤来攻击
。这对组织有利

，由于他们能够援手在内部培训他们的测试人员

，这样他们就不那么依赖第三方测试人员

，并且组织会更好地检测到攻击行为
。

为了使 PTP 正常工作

，必要有一种步骤靠得住地从现有系统中获取数据并确保数据体式正确
。这会产生数据不兼容的问题
。大型组织有许无数据源

，因而可能无法从我们必要的每个起源或险些所有起源获取数据
。在这种情况下

，必要做出决定

，优先思考某些数据源的沉要性以及它将若何援手PTP整体
。

此表

，某些系统可能会出现安全问题

，由于必要适当鉴别和治理接见权限

，因而必要关注谁能够接见 PTP 数据
。用户接见蓝队数据也可能存在问题

，组织但愿将这些安全节造的知识仅限蓝队把握

，由于组织不安“内部”攻击者
。为了使框架阐扬作用

，应该造就红队和蓝队之间的优良关系

，以便他们之间成立信赖
。

此表

，组织必要在执行层面参加框架成立

，以确保有资金和功夫来成立框架
。有经验的人员还必要监督框架的设置

，以确

；竦谜返氖莶⒔渥晃菘

，并且有足够的接见节造机造
。

鉴于我们只测试了PTP的概想验证版本

，这并不能真实地注明该框架将若何在真正的组织中执行
。我们在POC中使用了有限数量的仿照数据

，PTP还必要在真实组织中作为POC进行测试

，以相识框架的限度在哪里

，以及是否必要对框架进行更改
。

当然

，每个组织的工作方式都分歧

，因而PTP能够作为一个指南

，以实现紫队威胁建模的指标
。就PTP的有效性而言

，我们认可剧本中可能有太多的信息

，这可能会让用户信息过载
。在使用攻击库时也是如此

，因而有必要仔细使用剧本中必要的数据建模
。

我们发现有很多论文涉及威胁建模和自动化安全测试

，PTP能够从自动化的紫队活动的安全测试部门中受益
。例如

，一个组织能够采办一个自动化工具

，使其可能进行紫队测试

，并将PTP用作界说测试的数据源
。

PTP能够用于其他主张

，而不仅仅是安全测试
。它能够用于教育主张

，例如红队和蓝队培训
Ｊ⒖焦シ榔教ㄎ抡胀绻シ朗嫡教峁┝艘桓隹雌教
。PTP可以为该平台提供数据

，以便在该平台中仿照蓝队的用户能够获得有关环境当前状态的一些信息
。

从性质上讲

，这将是一个剧本

，他们能够在仿照攻防实战时使用、参考来沉新强化自己的进建
。它还能够用于培训新员工

，由于当他们查看PTP

，能够很好地相识组织面对的威胁和攻击者技术的信息
。

PTP中的数据也可用于鉴别风险领域

，例如

，它能够显示员工的各类属性
。这可用于鉴别高风险员工

，例如

，若是他们拥有接见关键系统的高权限

，则必要出格把稳他们的密码合规性

，或者查看他们是否接受了最新的安全培训
。若是组织但愿将某些安全流程自动化

，也能够使用它来援手组织
。我们钻研了一些安全测试工具

，例如

，PTP数据能够被输入到“Vectr”工具或“Caldera”工具中

，用以自动化测试
。

七、结论和将来的工作

在本节中

，我们将评估若何实现本文一路头设定的指标

，我们还将钻研将来工作
。

?

在本文中

，我们起头索求当前的威胁建模步骤和工具

，以及威胁建模和安全测试之间的关系
。我们发现

，没有推荐的安全测试模型

，齐全取决于组织使用哪个模型来确定其威胁
。在js1996官网钻研过程中

，我们还发此刻紫队和威胁建模领域没有好多学术钻研
。这是一个组织中的红队和蓝队合作测试其系统的步骤
。

因而

，我们着手设计一个紫队剧本框架

，该框架利用组织现罕见据进行安全测试
。由于组织能够使用任何模型和工具进行威胁建模

，因而我们必须成立一个蕴含有效建模所需所罕见据的框架
。此表

，通过利用现罕见据

，从长远来看

，这能够提高成本效益
。

在本文中

，我们还钻研了PTP在传统渗入测试和紫队测试中的援手
。我们发现

，通过占有这个集中的知识库

，我们可能很容易地发现测试中的差距

，并相识js1996官网防御措施目前的水平
。我们还能够以更有效的方式将数据与其他数据源关联起来

，例如通过使用员工网络垂钓培训纪录来相识网络垂钓攻击风险的影响
。PTP必要在一个真实的组织中作为POC进行测试

，以便我们充分相识它将带来的益处

，以及是否必要进行优化
。

我们已经实现了我们在本文起头时的指标

，即让组织中的红队和蓝队一路工作
。正如我们在介绍中所会商的

，我们面对的威胁在不休演变

，组织很难跟上攻击者的所有技术和战术
。

通过允许两个团队共享数据

，我们相信这也激励了创新

，由于员工将可能找到新的步骤来尝试和躲避防御

，并提出新的防御能力
。这只会使组织受益

，由于他们必要员工像攻击者一样积极自动

，以便

；ぷ橹馐芄セ髡叩那趾
。我们还介绍了组织能够用来相识其威胁的威胁模型和工具
。js1996官网 PTP 框架补充了这些工具和模型

，并为用户提供数据

，以便进行威胁建模
。

??

我们筹算在现实组织中执行PTP

，以提高安全测试能力
。通过使用 PTP 框架设计

，指标是确定我们必要的适当数据

，并将 PTP 用作正常测试过程的一部门
。这将有助于我们在组织中成立内部紫队能力

，并将援手我们提高进攻和防御能力
。如本文所述

，我们能够使用 PTP 作为理解安全数据的基础
。

在本文中

，我们创建了PTP查看器

，为用户提供一个易于使用的利用法式

，他们能够使用它来包办数据可视化工具


；鼓芄唤疚闹谢嵘痰耐胁建模工具利用于js1996官网安全测试打算
。PTP 的利用法式视图将通过在杀伤链视图中显示数据来援手我们将测试了局通报给技术水平较低的用户
。我们但愿将PTP 框架和查看器利用法式用于教育主张

，例如培训新员工

，以及援手现有员工成立有关攻击者技术的有关知识
。

（完）