在網(wǎng)絡(luò)安全領(lǐng)域,安全管理者和研究人員一直致力于發(fā)現(xiàn)和識別可能的攻擊對手,,以及他們的攻擊思路和策略,。然而,在強(qiáng)調(diào)邊界防護(hù)的傳統(tǒng)安全建設(shè)模式中,,防護(hù)者深入了解黑客思維的能力會受到很多制約和限制。
為了了解攻擊者如何思考,,國際安全培訓(xùn)與研究機(jī)構(gòu)SANS日前發(fā)布了《2022年道德黑客調(diào)查報告》,,報告認(rèn)為,盡管組織已經(jīng)投資各種安全技術(shù),,以緩解各種類型的網(wǎng)絡(luò)安全威脅,,但攻擊者仍然能夠找到選擇阻力最小或最熟悉的路徑,原因在于很多安全團(tuán)隊對于黑客如何攻擊組織的信息化系統(tǒng)始終存在誤解,。他們往往過度關(guān)注漏洞管理,,并急于盡快修補(bǔ)常見漏洞和暴露(CVE),然而事實上,,這并不能顯著降低他們的風(fēng)險,,因為他們與黑客們的實際行為并不一致。
在商業(yè)化社會里,,非法黑客團(tuán)伙的運(yùn)營也像一個企業(yè)組織,,旨在尋求資源最小化和回報最大化。他們通常希望盡可能少地付出努力來獲取最大的收益,。因此,,現(xiàn)代黑客攻擊活動通常遵循一定的行動路徑,。黑客通常不會僅僅為了利用某個漏洞或某種策略而接近組織。相反地,,他們會通過廣泛的發(fā)現(xiàn)和枚舉過程,,檢查組織是否存在薄弱的安全防護(hù)指標(biāo)。如果沒有發(fā)現(xiàn)有價值元素,,那么組織被攻擊的可能性就會大大降低,。這就是組織應(yīng)該從黑客的角度而非他們自己的角度來評估企業(yè)安全的原因所在。
了解黑客的思維模式和動機(jī)
Nash Squared全球CISO Jim Tiller認(rèn)為,,如果現(xiàn)代企業(yè)的CISO們不能像黑客那樣思考,,就無法采取真正適合企業(yè)所處環(huán)境的網(wǎng)絡(luò)安全防護(hù)行動。而要像黑客一樣思考,,就意味著要全面考慮他們到底想要什么——所有這些都可能因人而異,,往往會比假設(shè)的更廣泛。
企業(yè)應(yīng)該將這種洞察力不斷積累完善,,并進(jìn)一步塑造成構(gòu)建縱深防御的戰(zhàn)略性方向,,并以此創(chuàng)建一個真正由威脅驅(qū)動的安全戰(zhàn)略。了解黑客為什么要攻擊組織,,以及為什么要攻擊您所在的組織同樣至關(guān)重要,。您只是勒索軟件的攻擊目標(biāo)嗎?您是否還有大量的機(jī)密信息可用于暗網(wǎng)出售牟利呢,?這就涉及到犯罪的動機(jī)和心態(tài)問題,,安全領(lǐng)導(dǎo)者必須利用這些來完善組織的安全策略。
尚普蘭學(xué)院副教授Adam Goldstein認(rèn)為,,組織安全建設(shè)的目標(biāo)是專注于識別對手或敵對性團(tuán)體,,并確定他們的意圖。它是破壞性的嗎,?是出于經(jīng)濟(jì)動機(jī)還是知識產(chǎn)權(quán)盜竊,?是否還為其他目標(biāo)獲取資源?他們已經(jīng)有明確目的還是在尋找機(jī)會,?要了解所有不同的對手以及他們的意圖,,這樣才可以幫助組織識別不同類型的風(fēng)險。
這樣的調(diào)查很重要,,因為它經(jīng)常會顛覆一些錯誤的假設(shè),,有時還會讓企業(yè)管理層發(fā)現(xiàn),他們對黑客的吸引力比自己想象得還要大,,但目前許多企業(yè)安全部門仍未把黑客視角納入他們的戰(zhàn)略和防御體系,。一些組織開展?jié)B透測試只是為了合規(guī)目的,卻并未評估他們可能淪為攻擊目標(biāo)的原因。
如何操作和利用黑客思維,?
從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足,。安全紅隊的工作本質(zhì)上是扮演攻擊性黑客的角色,梳理企業(yè)的IT資產(chǎn),、尋找漏洞和攻擊路徑,,以便更好地修復(fù)或應(yīng)對風(fēng)險。安全紅隊所具備的攻擊技能組合對企業(yè)來說很寶貴,。其作用不僅僅在于發(fā)現(xiàn)安全問題,,對系統(tǒng)開發(fā)人員深入了解計算機(jī)系統(tǒng)也會大有幫助。安全紅隊還可以為企業(yè)發(fā)揮更多的價值,,比如滲透測試服務(wù),。
安全紅隊可以用實戰(zhàn)化的演練方式,以任何方式嘗試對企業(yè)應(yīng)用系統(tǒng)的攻擊,,包括對員工進(jìn)行真正的網(wǎng)絡(luò)釣魚攻擊,,以觀察企業(yè)的訪問控制策略是否符合要求,是否實施有效的多因素身份驗證(MFA)產(chǎn)品,。他們通常會直接向公司管理層匯報,,公司其他人甚至不知道他們的存在或具體行動計劃。通過了解為企業(yè)效力的“壞人”的想法,,有助于防止一些難堪的網(wǎng)絡(luò)安全事件影響企業(yè)及其客戶,。
不過毫不奇怪的是,企業(yè)在培養(yǎng)像黑客一樣思考的能力和組織攻防演習(xí)方面會面臨很多挑戰(zhàn),。安全領(lǐng)導(dǎo)者必須為各種安全任務(wù)投入資源,,而這些資源中最寶貴的就是人。此外,,CISO可能會發(fā)現(xiàn)很難為這些活動獲得資金,,因為很難證明它們的價值,而且支持這些模擬演練活動往往也并不便宜,。
安全團(tuán)隊可能還會發(fā)現(xiàn),將他們自己的技能集從防御轉(zhuǎn)移到攻擊同樣會具有很大的挑戰(zhàn)性,,因為本質(zhì)上,,這是一種犯罪心態(tài)。而且白帽黑客們可能也無法完全體會到真實黑客的低調(diào)行事意愿與犯罪動機(jī),。
盡管如此,,訓(xùn)練藍(lán)隊的紅隊技能還是非常值得的。企業(yè)也需要通過越來越多的資源投入來幫助他們實現(xiàn)這種轉(zhuǎn)變,。這些資源包括NIST框架,、MITRE Engage和MITRE ATT&CK知識庫等。此外,還有來自服務(wù)商,、開源社區(qū)以及學(xué)術(shù)機(jī)構(gòu)的威脅情報信息等,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<