這可能意味著設(shè)置滿足攻擊者預(yù)期的誘餌,或者通過創(chuàng)造不符合攻擊者預(yù)期的場(chǎng)景,來故意迷惑他們。不過,無論采取何種方式,都要求我們了解對(duì)手的實(shí)際行為,以此來驅(qū)動(dòng)更強(qiáng)大的防御機(jī)制。
事實(shí)上,了解對(duì)手的概念并不新鮮。早在公元前6世紀(jì),《孫子兵法》中就提出了“知己知彼,百戰(zhàn)不殆”的思想。這種思想在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用也并非什么新鮮事。追溯到幾十年前的道德黑客行為(Ethicalhacking),在一定程度上就是基于模擬黑客攻擊,幫助客戶尋找企業(yè)IT環(huán)境中的缺陷。
類似地,企業(yè)安全領(lǐng)導(dǎo)者長期以來也一直致力于識(shí)別可能的對(duì)手,以及對(duì)手可能針對(duì)的目標(biāo)。然而,他們深入了解黑客思維的能力受到了現(xiàn)有資源和知識(shí)以及傳統(tǒng)戰(zhàn)略的限制,這些傳統(tǒng)戰(zhàn)略首先強(qiáng)調(diào)外圍防御,然后是為最有價(jià)值的資產(chǎn)提供最高保護(hù)的分級(jí)防御。
黑客思維有助于形成安全策略
如今,安全專家——MITRE和其他專家——提倡CISO及其安全團(tuán)隊(duì)使用威脅情報(bào)、安全框架和紅隊(duì)技能來像黑客一樣思考,更重要的是,使用這種洞察力來制定安全策略。這意味著要考慮反過來影響他們堅(jiān)持程度的動(dòng)機(jī)和心態(tài),他們可能采取的途徑,以及他們到底想要什么——所有這些都可能不同或比假設(shè)的更廣泛。這種洞察力應(yīng)該進(jìn)一步塑造縱深防御的方向,應(yīng)該被用來創(chuàng)建一個(gè)真正的威脅驅(qū)動(dòng)的安全戰(zhàn)略。
NashSquared全球CISOJimTiller表示,“如果你不像黑客那樣思考,你就無法采取適合你所處環(huán)境的行動(dòng)。你對(duì)這些威脅了解得越多,你就越能有效地應(yīng)用這些技術(shù)。”
為了了解攻擊者如何思考、他們使用的工具、速度、專業(yè)性以及最喜歡的目標(biāo)等信息,安全培訓(xùn)協(xié)會(huì)SANS發(fā)布了《2022年道德黑客調(diào)查報(bào)告》。該報(bào)告指出,面對(duì)日益復(fù)雜且難以保護(hù)的攻擊面,這些洞察力對(duì)投資決策可謂至關(guān)重要。通常情況下,一些企業(yè)會(huì)投資各種安全技術(shù),以緩解各種類型的威脅,但經(jīng)常受到攻擊的端口和協(xié)議卻處于完全開放的狀態(tài)。攻擊者會(huì)選擇阻力最小或最熟悉的路徑——一般來說,這兩條路是一樣的。忽視或假設(shè)安全會(huì)帶來太多風(fēng)險(xiǎn)。
從黑客視角中獲益
SANS報(bào)告還強(qiáng)調(diào)了“鳥瞰對(duì)手”的價(jià)值,并認(rèn)為它可以成為安全分析師和決策者的指路明燈。然而,研究發(fā)現(xiàn),許多安全團(tuán)隊(duì)并不具備這種洞察力,也沒想過去尋找它。
安全軟件制造商Pentera的研究副總裁AlexSpivakovsky表示,“安全團(tuán)隊(duì)對(duì)于黑客如何攻擊我們的網(wǎng)絡(luò)始終存在誤解。今天,許多安全團(tuán)隊(duì)過度關(guān)注漏洞管理,并急于盡快修補(bǔ)常見漏洞,因?yàn)樗麄兪冀K認(rèn)為黑客正迫切利用這些漏洞。然而事實(shí)上,此舉并不能顯著降低他們的風(fēng)險(xiǎn),因?yàn)樗c黑客的實(shí)際行為并不一致。”
擁有豐富滲透測(cè)試經(jīng)驗(yàn),且曾在以色列國防軍負(fù)責(zé)收集信號(hào)情報(bào)(SIGINT)和代碼解密的Spivakovsky介紹稱,黑客的運(yùn)作就像一個(gè)企業(yè),旨在尋求資源最小化和回報(bào)最大化。換句話說,他們通常希望盡可能少地付出努力來獲取最大的收益。
黑客通常遵循一定的行動(dòng)路徑:一旦他們侵入一個(gè)IT環(huán)境并擁有一個(gè)活躍的連接,他們就會(huì)收集用戶名、IP地址和電子郵件地址等數(shù)據(jù)。他們利用這些數(shù)據(jù)來評(píng)估企業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)的成熟度。然后,他們開始進(jìn)行更深入的潛水,尋找開放的端口以及保護(hù)不力的領(lǐng)域,如報(bào)廢系統(tǒng)和管理不當(dāng)?shù)馁Y源。在了解了操作系統(tǒng)的運(yùn)行情況后,他們就能知道是否有什么東西可以用來發(fā)動(dòng)黑客攻擊。
黑客在尋找薄弱的安全環(huán)節(jié)方面具有很強(qiáng)的適應(yīng)性
黑客通常不會(huì)僅僅為了利用漏洞或任何一種策略而接近企業(yè)。相反地,當(dāng)他們與企業(yè)互動(dòng)時(shí),他們非常能適應(yīng)出現(xiàn)在自己身上的不同機(jī)會(huì)。他們會(huì)參與廣泛的發(fā)現(xiàn)和枚舉過程,檢查企業(yè)存在的薄弱環(huán)節(jié)的指標(biāo)。這些因素可能是缺乏Web應(yīng)用防火墻、存在太多匿名訪問服務(wù)或其他任何數(shù)量的指標(biāo)。
如果沒有發(fā)現(xiàn)任何吸引人的元素,那么黑客侵入的可能性就會(huì)大大降低。然而,如果有什么東西激起了他們的興趣,他們就會(huì)從那里開始升級(jí)攻擊。這就是企業(yè)應(yīng)該從黑客的角度而非他們自己的角度來評(píng)估企業(yè)安全的原因所在。
了解黑客的思維模式和動(dòng)機(jī)
還有專家認(rèn)為,了解黑客為什么要攻擊企業(yè),以及為什么要攻擊你的企業(yè)同樣至關(guān)重要。你只是勒索軟件的目標(biāo)嗎?或者你有機(jī)密信息嗎?如果我是一名犯罪分子,我怎樣才能最好地利用這些來牟利或造成最大的傷害?
這就涉及到動(dòng)機(jī)和心態(tài)問題,安全領(lǐng)導(dǎo)者也可以利用這些來完善企業(yè)的安全策略。
尚普蘭學(xué)院副教授AdamGoldstein認(rèn)為,企業(yè)的目標(biāo)是專注于識(shí)別對(duì)手或敵對(duì)團(tuán)體,并確定他們的意圖。它是破壞性的嗎?是出于經(jīng)濟(jì)動(dòng)機(jī)還是知識(shí)產(chǎn)權(quán)盜竊?為其他目標(biāo)獲取資源?他們是否使命必達(dá),所以無論防御有多強(qiáng),他們都會(huì)不斷地嘗試、嘗試、再嘗試?還是他們只是在尋找機(jī)會(huì)?了解所有不同的對(duì)手以及他們的意圖,可以幫助企業(yè)識(shí)別不同類型的風(fēng)險(xiǎn)。
這樣的調(diào)查很重要,因?yàn)樗?jīng)常會(huì)顛覆錯(cuò)誤的假設(shè),有時(shí)還會(huì)讓企業(yè)領(lǐng)導(dǎo)人發(fā)現(xiàn),他們對(duì)黑客的吸引力比自己想象得還要大。舉個(gè)例子,大概10年前,境外黑客瞄準(zhǔn)了與美國政治人物和機(jī)構(gòu)有關(guān)聯(lián)的教師,他們使用技術(shù)來鎖定和獲取既無貨幣價(jià)值又非研究文件的通信,比如電子郵件和文件。事實(shí)上,他們真正關(guān)注的是獲取可能在國際政治格局中有價(jià)值的通信,以及一些間諜元素。此事著實(shí)打了高等教育界一個(gè)措手不及,不過,這也最終改變了高等教育界的安全策略。
不具備黑客思維會(huì)留下安全缺口
不過,即便如此,許多企業(yè)的安全部門仍未把黑客視角納入他們的戰(zhàn)略和防御體系。一些企業(yè)開展?jié)B透測(cè)試只是為了合規(guī)目的,卻并未評(píng)估他們可能淪為攻擊目標(biāo)的原因。以電信公司為例,它可能是通過勒索軟件攻擊尋求經(jīng)濟(jì)回報(bào)的黑客的目標(biāo)。但如果該電信公司也支持警方的通信,它也可能淪為更持久的威脅行為者的目標(biāo),以發(fā)起更具破壞性的攻擊活動(dòng)。
這就強(qiáng)調(diào)了驗(yàn)證假設(shè)的重要性。你對(duì)攻擊者可能采取的路徑做了什么假設(shè)?通過成立一個(gè)紅隊(duì)來挑戰(zhàn)這些假設(shè)并驗(yàn)證它們。CISO及其團(tuán)隊(duì)必須權(quán)衡這樣一個(gè)事實(shí):黑客與他們一樣可以訪問所有的安全博客、培訓(xùn)和工具。
操作和利用黑客思維
毫不奇怪,安全團(tuán)隊(duì)在培養(yǎng)像黑客一樣思考的能力和利用演習(xí)獲得的見解方面面臨挑戰(zhàn)。安全領(lǐng)導(dǎo)必須為任務(wù)投入資源,而這些資源通常是人,而不是可以部署和運(yùn)行的工具和技術(shù),對(duì)于資源緊張的安全團(tuán)隊(duì)和努力尋找人才的安全企業(yè)來說,所有這些都是一項(xiàng)艱巨的任務(wù)。
此外,CISO可能會(huì)發(fā)現(xiàn)很難為這些活動(dòng)獲得資金,因?yàn)楹茈y證明它們的價(jià)值,而且支持這些活動(dòng)的一些工具也相對(duì)昂貴。
安全團(tuán)隊(duì)可能還會(huì)發(fā)現(xiàn),將他們自己的技能集從防御(例如,識(shí)別和關(guān)閉漏洞)轉(zhuǎn)移到進(jìn)攻極具挑戰(zhàn)性,因?yàn)楸举|(zhì)上,這是一種犯罪心態(tài)。而且在防御行業(yè)工作的人(白帽黑客)可能無法總是考慮到(黑客們必須)低調(diào)行事的意愿。
盡管如此,專家們認(rèn)為,訓(xùn)練藍(lán)隊(duì)的紅隊(duì)技能還是值得的。企業(yè)現(xiàn)在也可以獲得越來越多的資源來幫助他們實(shí)現(xiàn)這種轉(zhuǎn)變。這些資源包括NIST框架、MITREEngage和MITREATT&CK。此外,還有來自供應(yīng)商、信息共享與分析中心、以及學(xué)術(shù)界、政府和類似實(shí)體的威脅情報(bào)。
如今,關(guān)于黑客思維的會(huì)議議程項(xiàng)目證明,越來越多的安全團(tuán)隊(duì)正試圖像黑客一樣思考,以此為他們的戰(zhàn)略提供信息。而向黑客思維轉(zhuǎn)變也確實(shí)有諸多好處,例如,了解黑客的做法將有助于企業(yè)重新調(diào)整安全優(yōu)先事項(xiàng),以最大限度地發(fā)揮其效用。
