受到互聯設備、云服務、物聯網技術和混合工作環境的影響，當今的安全領域領導者必須做好準備應對不斷發展的攻擊面和動態的威脅環境。面對對手日新月異的攻擊技術，并非所有公司都有內部紅隊（擅長攻擊戰法的安全團隊）或無限安全資源來應對威脅。最重要的是，今天的攻擊者目標范圍廣，所以每個企業，無論大小，都需要做好準備。僅靠安全團隊的檢測和響應已經不夠，還必須做到預測和預防。

當今的安全環境要求防御人員具備敏捷和創新的特質。換言之，就是需要他們掌握攻擊者的思維和路徑。

學習機會主義攻擊者的思維，不僅可以更好地了解潛在漏洞，還能更有效地確定補救工作的優先級。這也有助于安全領域從業人員擺脫錯誤認知，如認為自身組織架構和規模不足以吸引攻擊者。

讓我們更深入地探討一下這些概念。

攻擊者的思維與傳統的防御者

• 攻擊者思維有助于組織更好地了解潛在漏洞。

許多組織采用傳統的方法進行漏洞管理，記錄他們的資產并識別相關的漏洞。這種管理通常按照嚴格的時間表進行。但問題是，它迫使防御者借助列表來思考，而攻擊者用圖表來思考。在攻擊者確定目標后，對他們來說重要的就是找到攫取寶藏的路徑。與之相反，防御者應該問自己：什么資產連接并信任其他資產？哪些是面向外部的？攻擊者能否在非關鍵系統中建立立足點，并利用它進入另一個更重要的系統？這些都是識別真正風險的關鍵問題。

• 攻擊者思維能使組織更有效地確定補救措施的優先級。

決定哪些問題需要立即采取行動、哪些可以等待是一個復雜的權衡過程。很少有公司有無限的資源來一次性解決其所面臨的攻擊，但攻擊者致力于尋找最簡單的方法來獲得最大的收益。知曉哪些補救措施可以消除潛在可利用漏洞，可以幫助防御者在與攻擊者的較量中占據上風。

• 攻擊者思維有助于批判性地評估認知偏差。

小型組織時常錯誤地認為他們對攻擊者來說不具備吸引力。然而，現實表明并非如此。威瑞森2023年數據泄露調查報告在小型企業(員工少于1，000人)中發現了699起安全事件和381起確認的數據泄露，但在大型企業(員工超過1，000人)中僅發現了496起事件和227起確認的數據泄露。自動釣魚攻擊是不分對象的。在這些小型組織中，勒索攻擊仍然有利可圖。攻擊者思維告訴我們，任何組織都可能成為攻擊目標。

如何掌握攻擊者思維

企業的安全團隊可以通過以下四個步驟實現這種思維轉變。

• 了解攻擊者的戰術

采用攻擊者的思維方式有助于安全領導者預測潛在的突破點并建立防御。這首先需要對攻擊者使用的技術有客觀了解。

例如，如今的攻擊者盡可能多地使用自動化手段攻擊網絡上的大量系統。這意味著防御者必須準備好應對暴力攻擊、加載器、鍵盤記錄器、漏洞工具包和其他的快速部署策略。

安全團隊還必須評估他們在真實場景中對這些策略的響應。誠然在實驗室測試是一個不錯的想法，但只有直接評估生產系統才能夠徹底安心。類似地，模擬可以提供信息，但團隊必須更加明確地獲知，他們的防御是如何通過滲透測試和強大的模擬攻擊的。

秉持這種以攻驗防策略的安全廠商寧靜之盾自研的虎撥智能滲透測試系統，正是幫助組織了解攻擊者的攻擊手法和策略的有效工具。

系統通過大數據分析引擎對捕獲情報進行智能分析，以攻擊者視角進行持續自動化的滲透測試，發現系統薄弱點和可被利用的滲透路徑，獲取對網絡抗風險能力的全面掌控。

系統基于專家知識圖譜與動態決策算法構建科學合理的自動化滲透測試模型，與自動執行事先準備好的策略不同， 其核心智能決策引擎根據捕獲情報智能推演每一步滲透動作；隨著滲透經驗的累加， 不斷完善滲透測試知識圖譜和攻擊策略庫，持續提升模擬攻擊能力。

• 逐步揭示完整的攻擊路徑

沒有孤立存在的弱點。攻擊者幾乎總是將多個漏洞組合在一起，形成一個完整的攻擊路徑。因此，安全領導者必須能夠看到整體情況并測試整體環境。通過識別攻擊者從偵察到利用過程中可能采取的關鍵路徑，防御者可以確定優先級并進行有效補救。

風險管理廠商云科安信基于“防御疊加度量前移”理念，在今年中期推出了「信息圖鑒」產品矩陣，依托NIST通用風險模型和風險的優先級技術，構建覆蓋攻擊源探查、攻擊路徑發現、攻擊者溯源以及疊加防御的全鏈路數字風險管理體系。

產品矩陣中的朝天數字風險攻擊圖鑒系統意在解決“誰攻擊了我”這一關鍵問題，通過“數字留痕側寫技術”“攻擊者能力畫像技術”“全流量隱寫技術”，對攻擊者進行全面的測繪與度量，從源頭上鎖定攻擊目標。

另一款嘲風數字風險路徑圖鑒系統，通過實時嗅探等功能，協助用戶檢測自身已知與未知的敏感脆弱資產，觸發API訪問、弱口令訪問、數據交互訪問等場景時，對企業隱性攻擊路徑進行識別和防護。

• 根據影響確定補救的優先級

攻擊者通常會尋找阻力最小的途徑。這意味著安全領導者應該首先解決影響最大的可利用路徑。由此開始，在資源允許的情況下，從大到小處理潛在漏洞。

領導者還應該考慮需要補救的漏洞的潛在業務影響。例如，單個網絡配置錯誤或單個用戶擁有過多權限會衍生出許多潛在攻擊途徑。對高價值資產和關鍵安全缺口進行優先級排序有助于避免因資源過度分散而遭遇攻擊。

弱點優先級評估技術（VPT）是落地該步驟的有效方法，攻擊面管理廠商華云安打造的靈鑒·弱點檢測與風險評估系統Ai.Scan可快速發現系統弱點并進行自動化驗證。

系統基于深度學習算法和知識圖譜技術構建AI指紋檢測模型，實現全量資產識別；憑借實時漏洞情報能力，精準檢測系統中存在的弱點，支持弱口令、主機、Web、容器、云平臺等多種數字資產的漏洞檢測與基線核查；將長期漏洞挖掘和攻防實戰經驗轉化為實戰檢測模型，精準驗證系統中存在的漏洞；結合華云安紅隊經驗快速響應新爆發0day、1day漏洞。幫助安全領導者將安全工作聚焦在最具價值的漏洞上。

• 驗證安全投資的有效性

測試安全產品和程序的真實效果至關重要。例如，所用EDR是否能準確檢測到可疑活動？SIEM是否按預期發送警報？SOC反應有多快？最重要的是，安全堆棧中的所有工具如何有效地合作？衡量安全成果時，這些測試是必要的。

傳統的攻擊模擬工具可以測試已知的場景，并測試針對已知威脅的現有防御措施。但是如何針對未知攻擊進行測試呢？對抗性視角允許對所有場景和威脅進行自主測試，它可以揭示隱藏的錯誤配置，隱藏IT或關有關控制的錯誤假設。

驗證測試的結果需要側面展示其業務影響，并將之傳達給CEO和董事會。報告已修補漏洞的百分比（或其他類似的虛榮心指標）并不能真正顯示出安全計劃的有效性。因此，必須采用更有效的途徑來展現安全成果。