了解你的敵人:像黑客一樣思考可以促進網絡安全戰略
作為MITRE公司網絡對手交戰框架MITRE Engage的團隊負責人,Maretta Morovitz清楚地知道了解敵人的價值——她可以利用關于網絡對手的知識來分散、欺騙和轉移他們的注意力,并制定策略來幫助阻止威脅行為者得到他們想要的東西。
這可能意味著設置滿足攻擊者預期的誘餌,或者通過創造不符合攻擊者預期的場景,來故意迷惑他們。不過,無論采取何種方式,都要求我們了解對手的實際行為,以此來驅動更強大的防御機制。
事實上,了解對手的概念并不新鮮。早在公元前6世紀,《孫子兵法》中就提出了“知己知彼,百戰不殆”的思想。這種思想在網絡安全領域的應用也并非什么新鮮事。追溯到幾十年前的道德黑客行為(Ethical hacking),在一定程度上就是基于模擬黑客攻擊,幫助客戶尋找企業IT環境中的缺陷。
類似地,企業安全領導者長期以來也一直致力于識別可能的對手,以及對手可能針對的目標。然而,他們深入了解黑客思維的能力受到了現有資源和知識以及傳統戰略的限制,這些傳統戰略首先強調外圍防御,然后是為最有價值的資產提供最高保護的分級防御。
黑客思維有助于形成安全
如今,安全專家——MITRE和其他專家——提倡CISO及其安全團隊使用威脅情報、安全框架和紅隊技能來像黑客一樣思考,更重要的是,使用這種洞察力來制定安全策略。這意味著要考慮反過來影響他們堅持程度的動機和心態,他們可能采取的途徑,以及他們到底想要什么——所有這些都可能不同或比假設的更廣泛。這種洞察力應該進一步塑造縱深防御的方向,應該被用來創建一個真正的威脅驅動的安全戰略。
Nash Squared全球CISO Jim Tiller表示,“如果你不像黑客那樣思考,你就無法采取適合你所處環境的行動。你對這些威脅了解得越多,你就越能有效地應用這些技術。”
為了了解攻擊者如何思考、他們使用的工具、速度、專業性以及最喜歡的目標等信息,安全培訓協會SANS發布了《2022年道德黑客調查報告》。該報告指出,面對日益復雜且難以保護的攻擊面,這些洞察力對投資決策可謂至關重要。通常情況下,一些企業會投資各種安全技術,以緩解各種類型的威脅,但經常受到攻擊的端口和協議卻處于完全開放的狀態。攻擊者會選擇阻力最小或最熟悉的路徑——一般來說,這兩條路是一樣的。忽視或假設安全會帶來太多風險。
從黑客視角中獲益
SANS報告還強調了“鳥瞰對手”的價值,并認為它可以成為安全分析師和決策者的指路明燈。然而,研究發現,許多安全團隊并不具備這種洞察力,也沒想過去尋找它。
安全軟件制造商Pentera的研究副總裁Alex Spivakovsky表示,“安全團隊對于黑客如何攻擊我們的網絡始終存在誤解。今天,許多安全團隊過度關注漏洞管理,并急于盡快修補常見漏洞,因為他們始終認為黑客正迫切利用這些漏洞。然而事實上,此舉并不能顯著降低他們的風險,因為它與黑客的實際行為并不一致。”
擁有豐富滲透測試經驗,且曾在以色列國防軍負責收集信號情報(SIGINT)和代碼解密的Spivakovsky介紹稱,黑客的運作就像一個企業,旨在尋求資源最小化和回報最大化。換句話說,他們通常希望盡可能少地付出努力來獲取最大的收益。
黑客通常遵循一定的行動路徑:一旦他們侵入一個IT環境并擁有一個活躍的連接,他們就會收集用戶名、IP地址和電子郵件地址等數據。他們利用這些數據來評估企業網絡安全態勢的成熟度。然后,他們開始進行更深入的潛水,尋找開放的端口以及保護不力的領域,如報廢系統和管理不當的資源。在了解了操作系統的運行情況后,他們就能知道是否有什么東西可以用來發動黑客攻擊。
黑客在尋找薄弱的安全環節方面具有很強的適應性
黑客通常不會僅僅為了利用漏洞或任何一種策略而接近企業。相反地,當他們與企業互動時,他們非常能適應出現在自己身上的不同機會。他們會參與廣泛的發現和枚舉過程,檢查企業存在的薄弱環節的指標。這些因素可能是缺乏Web應用防火墻、存在太多匿名訪問服務或其他任何數量的指標。
如果沒有發現任何吸引人的元素,那么黑客侵入的可能性就會大大降低。然而,如果有什么東西激起了他們的興趣,他們就會從那里開始升級攻擊。這就是企業應該從黑客的角度而非他們自己的角度來評估企業安全的原因所在。
了解黑客的思維模式和動機
還有專家認為,了解黑客為什么要攻擊企業,以及為什么要攻擊你的企業同樣至關重要。你只是勒索軟件的目標嗎?或者你有機密信息嗎?如果我是一名犯罪分子,我怎樣才能最好地利用這些來牟利或造成最大的傷害?
這就涉及到動機和心態問題,安全領導者也可以利用這些來完善企業的安全策略。
尚普蘭學院副教授Adam Goldstein認為,企業的目標是專注于識別對手或敵對團體,并確定他們的意圖。它是破壞性的嗎?是出于經濟動機還是知識產權盜竊?為其他目標獲取資源?他們是否使命必達,所以無論防御有多強,他們都會不斷地嘗試、嘗試、再嘗試?還是他們只是在尋找機會?了解所有不同的對手以及他們的意圖,可以幫助企業識別不同類型的風險。
這樣的調查很重要,因為它經常會顛覆錯誤的假設,有時還會讓企業領導人發現,他們對黑客的吸引力比自己想象得還要大。舉個例子,大概10年前,境外黑客瞄準了與美國政治人物和機構有關聯的教師,他們使用技術來鎖定和獲取既無貨幣價值又非研究文件的通信,比如電子郵件和文件。事實上,他們真正關注的是獲取可能在國際政治格局中有價值的通信,以及一些間諜元素。此事著實打了高等教育界一個措手不及,不過,這也最終改變了高等教育界的安全策略。
不具備黑客思維會留下安全缺口
不過,即便如此,許多企業的安全部門仍未把黑客視角納入他們的戰略和防御體系。一些企業開展滲透測試只是為了合規目的,卻并未評估他們可能淪為攻擊目標的原因。以電信公司為例,它可能是通過勒索軟件攻擊尋求經濟回報的黑客的目標。但如果該電信公司也支持警方的通信,它也可能淪為更持久的威脅行為者的目標,以發起更具破壞性的攻擊活動。
這就強調了驗證假設的重要性。你對攻擊者可能采取的路徑做了什么假設?通過成立一個紅隊來挑戰這些假設并驗證它們。CISO及其團隊必須權衡這樣一個事實:黑客與他們一樣可以訪問所有的安全博客、培訓和工具。
操作和利用黑客思維
毫不奇怪,安全團隊在培養像黑客一樣思考的能力和利用演習獲得的見解方面面臨挑戰。安全領導必須為任務投入資源,而這些資源通常是人,而不是可以部署和運行的工具和技術,對于資源緊張的安全團隊和努力尋找人才的安全企業來說,所有這些都是一項艱巨的任務。
此外,CISO可能會發現很難為這些活動獲得資金,因為很難證明它們的價值,而且支持這些活動的一些工具也相對昂貴。
安全團隊可能還會發現,將他們自己的技能集從防御(例如,識別和關閉漏洞)轉移到進攻極具挑戰性,因為本質上,這是一種犯罪心態。而且在防御行業工作的人(白帽黑客)可能無法總是考慮到(黑客們必須)低調行事的意愿。
盡管如此,專家們認為,訓練藍隊的紅隊技能還是值得的。企業現在也可以獲得越來越多的資源來幫助他們實現這種轉變。這些資源包括NIST框架、MITRE Engage和MITRE ATT&CK。此外,還有來自供應商、信息共享與分析中心、以及學術界、政府和類似實體的威脅情報。
如今,關于黑客思維的會議議程項目證明,越來越多的安全團隊正試圖像黑客一樣思考,以此為他們的戰略提供信息。而向黑客思維轉變也確實有諸多好處,例如,了解黑客的做法將有助于企業重新調整安全優先事項,以最大限度地發揮其效用。
