了解你的敵人,像駭客一樣去思考

在網路安全領域,安全管理者和研究人員一直致力於發現和識別可能的攻擊對手,以及他們的攻擊思路和策略。然而,在強調邊界防護的傳統安全建設模式中,防護者深入了解駭客思維的能力會受到很多制約和限制。

為了了解攻擊者如何思考,國際安全培訓與研究機構SANS日前發佈了《2022年道德駭客調查報告》,報告認為,儘管組織已經投資各種安全技術,以緩解各種類型的網路安全威脅,但攻擊者仍然能夠找到選擇阻力最小或最熟悉的路徑,原因在於很多安全團隊對於駭客如何攻擊組織的資訊化系統始終存在誤解。他們往往過度關注漏洞管理,並急於儘快修補常見漏洞和暴露(CVE),然而事實上,這並不能顯著降低他們的風險,因為他們與駭客們的實際行為並不一致。

在商業化社會里,非法駭客團伙的運營也像一個企業組織,旨在尋求資源最小化和回報最大化。他們通常希望儘可能少地付出努力來獲取最大的收益。因此,現代駭客攻擊活動通常遵循一定的行動路徑。駭客通常不會僅僅為了利用某個漏洞或某種策略而接近組織。相反地,他們會通過廣泛的發現和列舉過程,檢查組織是否存在薄弱的安全防護指標。如果沒有發現有價值元素,那麼組織被攻擊的可能性就會大大降低。這就是組織應該從駭客的角度而非他們自己的角度來評估企業安全的原因所在。

了解駭客的思維模式和動機

Nash Squared全球CISO Jim Tiller認為,如果現代企業的CISO們不能像駭客那樣思考,就無法採取真正適合企業所處環境的網路安全防護行動。而要像駭客一樣思考,就意味著要全面考慮他們到底想要什麼——所有這些都可能因人而異,往往會比假設的更廣泛。

企業應該將這種洞察力不斷積累完善,並進一步塑造成構建縱深防禦的戰略性方向,並以此創建一個真正由威脅驅動的安全戰略。了解駭客為什麼要攻擊組織,以及為什麼要攻擊您所在的組織同樣至關重要。您只是勒索軟體的攻擊目標嗎?您是否還有大量的機密資訊可用於暗網出售牟利呢?這就涉及到犯罪的動機和心態問題,安全領導者必須利用這些來完善組織的安全策略。

尚普蘭學院副教授Adam Goldstein認為,組織安全建設的目標是專注於識別對手或敵對性團體,並確定他們的意圖。它是破壞性的嗎?是出於經濟動機還是智慧財產權盜竊?是否還為其他目標獲取資源?他們已經有明確目的還是在尋找機會?要了解所有不同的對手以及他們的意圖,這樣才可以幫助組織識別不同類型的風險。

這樣的調查很重要,因為它經常會顛覆一些錯誤的假設,有時還會讓企業管理層發現,他們對駭客的吸引力比自己想象得還要大,但目前許多企業安全部門仍未把駭客視角納入他們的戰略和防禦體系。一些組織開展滲透測試只是為了合規目的,卻並未評估他們可能淪為攻擊目標的原因。

如何操作和利用駭客思維?

從攻擊者的角度思考可以更快速了解企業在網路防禦方面的不足。安全紅隊的工作本質上是扮演攻擊性駭客的角色,梳理企業的IT資產、尋找漏洞和攻擊路徑,以便更好地修復或應對風險。安全紅隊所具備的攻擊技能組合對企業來說很寶貴。其作用不僅僅在於發現安全問題,對系統開發人員深入了解計算機系統也會大有幫助。安全紅隊還可以為企業發揮更多的價值,比如滲透測試服務。

安全紅隊可以用實戰化的演練方式,以任何方式嘗試對企業應用系統的攻擊,包括對員工進行真正的網路釣魚攻擊,以觀察企業的訪問控制策略是否符合要求,是否實施有效的多因素身份驗證(MFA)產品。他們通常會直接向公司管理層彙報,公司其他人甚至不知道他們的存在或具體行動計劃。通過了解為企業效力的「壞人」的想法,有助於防止一些難堪的網路安全事件影響企業及其客戶。

不過毫不奇怪的是,企業在培養像駭客一樣思考的能力和組織攻防演習方面會面臨很多挑戰。安全領導者必須為各種安全任務投入資源,而這些資源中最寶貴的就是人。此外,CISO可能會發現很難為這些活動獲得資金,因為很難證明它們的價值,而且支持這些模擬演練活動往往也並不便宜。

安全團隊可能還會發現,將他們自己的技能集從防禦轉移到攻擊同樣會具有很大的挑戰性,因為本質上,這是一種犯罪心態。而且白帽駭客們可能也無法完全體會到真實駭客的低調行事意願與犯罪動機。

儘管如此,訓練藍隊的紅隊技能還是非常值得的。企業也需要通過越來越多的資源投入來幫助他們實現這種轉變。這些資源包括NIST框架、MITRE Engage和MITRE ATT&CK知識庫等。此外,還有來自服務商、開源社區以及學術機構的威脅情報資訊等。

參考連結:

https://www.csoonline.com/article/3680371/know-thy-enemy-thinking-like-a-hacker-can-boost-cybersecurity-strategy.html

相關文章

人工智慧不是網路安全的「救世主」

人工智慧不是網路安全的「救世主」

在有關新一代網路安全技術的討論中,AI無疑是一個高頻出現的詞彙,總是被反覆提及。當前的網路攻擊形勢愈發嚴峻,安全人員對於利用AI技術保護數字...