淺談系統安全的攻擊者

背景

設計開發一套安全可靠的系統，除了需要有穩定的功能支撐外還要設計開發能夠抵御各種攻擊者的攻擊，并且能保證受到攻擊者攻擊后能夠有應急響應方案確保業務正常運行。

所有的系統安全攻擊都可以追溯到有動機的攻擊者身上，對系統安全攻擊者的了解，有利于提高抵御各種災難的能力和生存能力。

攻擊者一般是通過執行惡意活動以破壞, 暴露, 更改, 禁用, 竊取或未經授權訪問資產或未經授權使用資產的個人或組織，通過了解攻擊者有利于我們提高我們產品的安全防御能力。

以攻擊者的角度進行思考設計開發系統安全問題。

攻擊者動機

攻擊者主要的目標圍繞著破壞系統安全性問題，通過深入了解系統安全的攻擊者，從攻擊者的視角上來考慮設計系統安全性，這樣能夠更好了解如何對系統采取主動和被動的安全措施。

攻擊者對系統進行發動攻擊的動機可細分: 

1、為了炫耀自己過硬的技術; 

2、通過攻破系統而進行獲取報酬; 

3、激進主義者，為了發表自己某種觀點或傳播某種言論; 

4、一些受雇傭的商業攻擊者; 

5、單純為了破壞系統、銷毀數據。

系統攻擊者攻擊手段不僅僅在于：密碼方面攻擊（暴力攻擊、字典攻擊、社會工程、密碼嗅探器、鍵盤記錄器）、勒索軟件攻擊、網絡釣魚、DDos、SQL注入攻擊、DNS欺騙、僵尸網絡等等。

通過了解系統攻擊者的動機，可以縮短溯源出真正的系統攻擊者的時間成本。

攻擊者畫像

通過思考和挖掘攻擊者的畫像，結合和理解攻擊者的系統攻擊動機，可以挖掘出系統攻擊者是誰，他們實施攻擊的目的，他們攻擊的利益鏈是什么。通過挖掘出攻擊者的畫像，有助于提高安全系統的安全防御能力。

系統攻擊者的群體可能是為了賺錢的漏洞研究員、網絡犯罪分子、內部人員、業余愛好者，如果我們了解了這些攻擊者的畫像可以更清晰挖掘出攻擊者攻擊的方向。

下面就針對這些攻擊者畫像簡短的解析。

漏洞研究員

他們應用自身所掌握的安全技能，進行對目標系統尋找挖掘系統中存在的一些漏洞。漏洞研究員他們可以是全職的員工、兼職的自由職業者，甚至是偶然發現漏洞的普通人員。

一般情況下漏洞研究員，會在規定或約定的安全規范下進行對系統安全漏洞的分析挖掘，因為只有在系統許可并且合規下才能獲取對應的獎勵并且不被認定為犯罪行為。

和他們相關的，紅隊和滲透測試人員在系統所有者的許可下對目標系統進行攻擊。這方面的人員主要目標就是尋找攻破系統安全的方法，專注于提高系統安全性。

業余愛好者

一般來說業余愛好者的攻擊者，它們一般是對安全技術比較感興趣，在興趣的驅動下嘗試對指定的系統安全進行攻擊。

他們在一般情況下都會遵守系統安全規則，不會對系統采取破壞系統安全的行為，也不會越界進行從事犯罪行為。

犯罪分子

犯罪分鐘通過利用自身技術進行對系統實施各種手法的攻擊，他們需要具備足夠強的技術。

在犯罪分子的攻擊手法中：

1、社會工程還是一個非常常見的攻擊手法；

2、實施勒索軟件手法也是很高頻方式，通過對用戶實施勒索威脅，威脅用戶以敏感信息進行交換金錢，直到受害者向攻擊者支付金錢才能解決；

3、還有一些敏感信息收集軟件手法，犯罪分子惡意將軟件植入受害者的計算機或者手機中或通過誘導受害者進行安裝啟動惡意軟件。盜取用戶的敏感信息，用于威脅或二次出售。

總之犯罪分子會通過一系列非常規的攻擊手段進行持續的攻擊直到攻陷整個系統。

內部人員

每個公司都很多安全和不安全的內部人員，這些內部人員被信任的擁有系統內部訪問權限或特有權限，內部安全風險往往是這些內部人員構成的威脅。

當他們通過執行對公司造成損害的各種惡意、疏忽或者意外情況的操作時，就會觸發對系統安全威脅。

當要對系統安全做防御時候，出于抵御內部人員的目的來設計的系統時，可靠性和安全性往往是相輔相成的。

內部安全的威脅可細分為:內部員工、乙方內部人員、第三方內部人員、相關知情人。

針對內部人員風險可以參考下面幾個原則來降低風險

最小特權原則：無論訪問范圍或者訪問時間，僅授權履行工作職責所需的最小特權。

零信任：設計自動化機制來管理系統，這樣內部人員就不會過高訪問權限，從而避免造成危害。

多方授權：使用技術控制手段要求多人授權敏感操作

審計和檢測：審閱所有訪問日志和理由，確保安全性。

可恢復性：在破壞性操作后恢復系統的能力。

防御攻擊者

理解和分析透攻擊者是如何進行對系統攻擊的難度就像變魔術一樣，由于網絡中各種攻擊技術的不斷迭代更新。

下面主要從威脅情報、網絡殺傷鏈和TTP這三方面展示分析下防御攻擊者方法。

威脅情報

威脅情報是識別和分析網絡威脅的過程，它描述了現存的、或者是即將出現針對資產的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應。

威脅情報是關于威脅的信息，利用公開的資源，用于發現威脅并指導企業行動以改善安全狀況。

目前市面上很多的安全公司對搜集捕獲到的安全威脅都做了詳細的分析和描述，這種威脅情報可以幫助構建系統防御者了解真正的網絡攻擊者是如何進行工作的，以及如果抵御這些攻擊者的攻擊的。

通過利用好威脅情報有助于降低安全風險、避免數據泄露、降低成本。

威脅情報生命周期：1.方向；2.收集；3.處理；4.分析；5.傳播；6.反饋。

威脅情報有多種展現形式：書面報告、失陷指標、惡意軟件報告。

網絡殺傷鏈

網絡殺傷鏈又稱為網絡攻擊生命周期，它是攻擊準備的一種方法是列出所有攻擊者為實現其攻擊目標必須采取的所有步驟流程。

通過使用像網絡殺傷鏈的形式化框架來分析網絡安全攻擊。這種有助于在構建防御控制的同時繪制攻擊的過程。

網絡殺傷鏈的7個詳細步驟：1.偵察；2.武器化；3.交付；4.利用；5.安裝；6.命令與控制；7.行動。

TTP

通過對攻擊者的TTP（攻擊者技術、戰術和成效的3方面）進行系統下分類，列舉攻擊者所采用各種攻擊手段是一種越來越常見的方法。

通過列出將攻擊者可能出現的攻擊行為，然后進行針對每種攻擊方法構建防御機制，它能夠為安全分析人員提供一定的決策支持。

小結

通過關注了解安全公司發布的威脅情報，雖然很多步驟攻擊的方法可能是無效的，但它也提供了多個接觸點，我們可以在軟件做安全防御方面實現檢測和防御攻擊。

網絡攻擊首當其沖做好內部安全威脅防御，這種內部的安全風險往往是最不好防御的。

了解潛在的攻擊者是誰及其可能使用的方法是復雜又微妙的，復雜的攻擊策略下，往往最簡單粗暴的網絡釣魚可能最有效果。

在系統軟件的安全防御上，進行評估各種攻擊者造成的安全風險的時候，對資產信息的排查很重要，這些很可能成為攻擊者的首要攻擊目標的目標點。

通過在系統中盡可能的收集數據了解系統安全的情況，從而更好做好對系統的防御。