Otomatik Emülasyon, özelleştirilebilir, otomatikleştirilmiş bir ihlal ve saldırı simülasyon laboratuvarı oluşturmak için tasarlanmış açık kaynaklı bir Terraform şablonudur.
Çözüm, AWS’de barındırılan aşağıdaki kaynakları otomatik olarak oluşturur:
- Caldera, Prelude Operator Headless ve VECTR’yi dağıtan bir Linux sunucusu
- Caldera aracı dağıtımı, Prelude pneuma ve diğer Kırmızı ve Mavi araçlar için otomatik olarak yapılandırılmış bir Windows İstemcisi (Windows Server 2022).
Bu laboratuvar, benzersiz tasarımı ve yaklaşımı nedeniyle diğer tanınmış siber aralıklardan öne çıkıyor. Ansible gibi ikincil araçlar gereksizdir ancak tercih ederseniz bunları kullanabilirsiniz. Ancak konfigürasyon yönetimi için gerekli değildirler. Bu laboratuvar, üçüncü taraf yapılandırma yönetimi araçlarına güvenmek yerine Terraform sağlayıcılarını (AWS SDK) ve yerleşik AWS özelliklerini (kullanıcı verileri) tercih eder.
Otomatik Emülasyon Geliştirme
Otomatik Emülasyonun yaratıcısı Jason Ostrom, TTP’leri birbirine bağlamaya ve çeşitli uç nokta güvenlik ürünlerini değerlendirmeye odaklanarak rakip simülasyon becerilerini geliştirmek için bir altyapı güvenlik laboratuvarı geliştirmeyi hedefledi. Bunu kişisel beceri geliştirme için özelleştirilebilir bir “Güvenlik Oyun Alanı” olarak tasavvur etti.
“Bir şeyleri hızlı bir şekilde inşa etmek, bir saldırıyı test etmek ve ardından yok etmek için böyle bir otomasyonun parmaklarınızın ucunda olması gerçekten çok güçlü. Bunu yapmanın, Caldera’yı farklı Atomik Kırmızı Takım atomları ve özel yüklerle oluşturabileceğiniz tek kullanımlık bir rakip emülasyon laboratuvarına sahip olmaktan daha iyi bir yolu var mı? TTP’lerde ve yüklerde yapılacak herhangi bir değişiklik için Terraform ve bash komut dosyaları, yeni, kaydedilmiş değişiklikleri otomatik olarak aktarmanıza olanak tanır. Ostrom, Help Net Security’ye şöyle konuştu: “Yani bir dahaki sefere laboratuvarı kurduğunuzda otomatik olarak itilirler.”
Ostrom, açık kaynak güvenliğini güçlü bir şekilde savunur ve topluluğa katkıda bulunma konusunda tutkuludur. Daha önce SANS’ta Cyber Ranges geliştiren bir Bulut Mühendisi olarak çalışmış olan Ostrom, AWS ve Azure projeleri oluşturmak için Terraform’u kullandı. Bu laboratuvarla hedefi, teknoloji yaklaşımının bazı yönlerini topluluk için daha erişilebilir hale getirmek, SANS’ın laboratuvar yaratımlarında kullanılan özel ve tescilli dünya biçimi modüllerini açığa çıkarmadan kullanıcıları yeni yöntemlerle tanıştırmaktı. Otomatik Emülasyon, SEC598 (“Saldırı, Savunma ve Bulut için Güvenlik Otomasyonu”) adı verilen yeni bir SANS sınıfının araştırmasıdır.
Özellikler
“En büyük benzersiz özelliği, VM oluşturulduktan sonra işletim sistemini ve hizmetleri önyüklemek için ikincil bir Yapılandırma Yönetimi (CM) aracı kullanmamasıdır. Bunun yerine, önyükleme yapmak için dünyasal ve bulut tabanlı özelliklere (kullanıcı verileri) sahip AWS SDK’yı kullanır. Bu, projenin hız, istikrar ve tutarlılık için çabalama hedefini karşılıyor” dedi Ostrom.
Ostrom, özellikle Hizmet Olarak Altyapı (IaaS) Sanal Makinelerine odaklanarak bulutta Kod Olarak Altyapı (IaC) oluşturulmasına ilişkin bir açıklama yaptı. Bu süreçte iki temel bileşenin bulunduğunu vurguladı. Bunlardan ilki, altyapıyı zorlamayı içeren terraform kullanılarak bulutta yeni bir VM oluşturulmasıdır. İkinci bileşen, VM’ye dağıtıldıktan sonra işletim sistemi hizmetlerini ve uygulamalarını yüklemek ve ayarlamak için gerekli olan yapılandırma yönetimi (CM) veya önyüklemedir.
Geliştirici, çoğu şirketin ve kullanıcının VM’yi yapılandırmak için genellikle CM’ye yönelik ikincil bir araç kullandığını belirtti. Bu yaklaşım, değişiklikleri zorlamak için Ansible taktik kitapları gibi araçların kullanıldığı diğer birçok güvenlik laboratuvarında ve Cyber Range araçlarında yaygındır. Ancak tartıştığı laboratuvarın ayırt edici yönüne dikkat çekti: bu tür ikincil araçları kullanmıyor. Bunun yerine laboratuvar, “kullanıcı verileri” olarak bilinen bir bulut sağlayıcı özelliğinden yararlanıyor. Bu özellik, terraform ve bulut sağlayıcının yerel yetenekleriyle birlikte değişiklikleri uygulamak için kullanılıyor ve bu laboratuvarın yaklaşımını alandaki diğerlerinden farklı kılıyor.
“Kendi bash ve PowerShell komut dosyalarınızı yazabilirsiniz ve belgeler bu yeteneği gösterir. Bu komut dosyaları bir hazırlama S3 klasöründe depolanır ve Windows ve Linux sistemleri bunları indirip çalıştırır. Bu tür yapılara ilk başladığımda Ansible’ı kullanıyordum. Bu sebeplerden dolayı artık bu yönteme geçtim,” yorumunu yapıyor Ostrom.
“Tanıdığım pek çok güvenlik görevlisi Ansible’ı seviyor ve onu yalnızca CM için kullanıyor. Kesinlikle birçok geçerli kullanım durumu var. Burada istiyorsanız kesinlikle Ansible oyun kitaplarını kullanabilirsiniz, ancak bunlar gerekli değildir. İkincil bir araç eklediğinizde, yanlış gidebilecek olası şeylerden oluşan başka bir BT “hamuru” katmanı eklenir. Ağ gecikmesi, yanlış yapılandırılmış kimlik bilgileri, WinRM/SSH’ye izin vermeyen Güvenlik Grupları ve bu araçların etrafındaki güncel olmayan python kitaplıkları (Ansible’ı kaynak sisteme ve bazen de üzerine inşa ettiğiniz hedefe yüklemeniz gerekebileceğinden bahsetmiyorum bile). Ayrıca işlerin her zaman yapılması gerektiğini “bu şekildedir” demiyorum. Ne münasebet. Alternatif yaklaşımlara karşı şeffaf, açık ve esnek olmanın önemli olduğunu düşünüyorum.”
Ostrom, projesinin birçok benzersiz ve yenilikçi yönünü vurguladı. Projenin, Caldera Sandcat aracısını Windows sisteminde otomatik olarak önyükleyerek tamamen kayıtlı ve kullanıma hazır olmasını sağlamak üzere tasarlandığını vurguladı. Bu özellik, kullanıcıların laboratuvar çalışır duruma gelir gelmez hedef Windows sistemine karşı yükleri ve yetenekleri hemen test etmeye başlamasına olanak tanır. Bu otomasyonun önemli bir zaman tasarrufu sağladığını belirtti. Ayrıca proje, tüm yükleri ve yetenekleri yerel bir dizinden doğrudan Caldera sunucusuna yükleyecek şekilde yapılandırılmıştır. Bu, Caldera sistemi çalışır duruma gelir gelmez kullanıcının tüm yerel çalışmalarına anında erişilebileceği ve çalışmalarını yeniden yükleme ihtiyacını ortadan kaldıracağı anlamına gelir.
“Genel olarak, pek çok güzel yetenek bir araya geldi. Ayrıca, Linux sunucusunda Kırmızı ve Mavi takım etkinliği takibi için VECTR’nin yanı sıra, Windows’ta kayıtlı bir Pneuma aracısını otomatik olarak önyükleyen bir Prelude Operatör dağıtımını da otomatik olarak dağıtır. Windows hedefine otomatik olarak Atomic Red Team ve PurpleSharp’ı da ekler,” diye tamamladı Ostrom.
Otomatik Emülasyon GitHub’da ücretsiz olarak mevcuttur.
Dikkate alınması gereken daha fazlası: