聶奧

在網(wǎng)絡(luò)安全領(lǐng)域，安全管理者和研究人員一直致力于發(fā)現(xiàn)和識(shí)別可能的攻擊對(duì)手，以及他們的攻擊思路和策略。然而，在強(qiáng)調(diào)邊界防護(hù)的傳統(tǒng)安全建設(shè)模式中，防護(hù)者深入了解黑客思維的能力會(huì)受到很多制約和限制。

為了解攻擊者如何思考，國(guó)際安全培訓(xùn)與研究機(jī)構(gòu)SANS近日發(fā)布了《2022年道德黑客調(diào)查報(bào)告》，報(bào)告認(rèn)為，盡管組織已經(jīng)投資各種安全技術(shù)，以緩解各種類型的網(wǎng)絡(luò)安全威脅，但攻擊者仍然能夠找到選擇阻力最小或最熟悉的路徑，原因在于很多安全團(tuán)隊(duì)對(duì)于黑客如何攻擊組織的信息化系統(tǒng)始終存在誤解。他們往往過度關(guān)注漏洞管理，并急于盡快修補(bǔ)常見漏洞和暴露（CVE），然而事實(shí)上，這并不能顯著降低風(fēng)險(xiǎn)，因?yàn)樗麄兣c黑客的實(shí)際行為并不一致。

在商業(yè)化社會(huì)里，非法黑客團(tuán)伙的運(yùn)營(yíng)也像一個(gè)企業(yè)組織，旨在尋求資源最小化和回報(bào)最大化。他們通常希望盡可能少地付出努力來(lái)獲取最大的收益，因此，現(xiàn)代黑客攻擊活動(dòng)通常遵循一定的行動(dòng)路徑，黑客通常不會(huì)僅僅為了利用某個(gè)漏洞或某種策略而接近組織。相反，他們會(huì)通過廣泛地發(fā)現(xiàn)和枚舉過程，檢查組織是否存在薄弱的安全防護(hù)指標(biāo)，如果沒有發(fā)現(xiàn)有價(jià)值的元素，那么組織被攻擊的可能性就會(huì)大大降低。這就是組織應(yīng)該從黑客的角度而非他們自己的角度來(lái)評(píng)估企業(yè)安全的原因所在。

了解黑客的思維模式和動(dòng)機(jī)

Nash Squared全球CISO Jim Tiller認(rèn)為，如果現(xiàn)代企業(yè)的CISO們不能像黑客那樣思考，就無(wú)法采取真正適合企業(yè)所處環(huán)境的網(wǎng)絡(luò)安全防護(hù)行動(dòng)。而要像黑客一樣思考，就意味著要全面考慮他們到底想要什么———所有這些都可能因人而異，往往會(huì)比假設(shè)的更廣泛。

企業(yè)應(yīng)該將這種洞察力不斷積累完善，并進(jìn)一步塑造成構(gòu)建縱深防御的戰(zhàn)略性方向，并以此創(chuàng)建一個(gè)真正由威脅驅(qū)動(dòng)的安全戰(zhàn)略。了解黑客為什么要攻擊組織，以及為什么要攻擊您所在的組織同樣至關(guān)重要，您只是勒索軟件的攻擊目標(biāo)嗎？您是否還有大量的機(jī)密信息可用于暗網(wǎng)出售牟利呢？這就涉及到犯罪的動(dòng)機(jī)和心態(tài)問題，安全領(lǐng)導(dǎo)者必須利用這些來(lái)完善組織的安全策略。

尚普蘭學(xué)院副教授Adam Goldstein認(rèn)為，組織安全建設(shè)的目標(biāo)是專注于識(shí)別對(duì)手或敵對(duì)性團(tuán)體，并確定他們的意圖。它是破壞性的嗎？是出于經(jīng)濟(jì)動(dòng)機(jī)還是知識(shí)產(chǎn)權(quán)盜竊？是否還為其他目標(biāo)獲取資源？他們已經(jīng)有明確目的還是在尋找機(jī)會(huì)？要了解所有不同的對(duì)手以及他們的意圖，這樣才可以幫助組織識(shí)別不同類型的風(fēng)險(xiǎn)。

這樣的調(diào)查很重要，因?yàn)樗?jīng)常會(huì)顛覆一些錯(cuò)誤的假設(shè)，有時(shí)還會(huì)讓企業(yè)管理層發(fā)現(xiàn)，他們對(duì)黑客的吸引力比自己想象得還要大，但目前許多企業(yè)安全部門仍未把黑客視角納入他們的戰(zhàn)略和防御體系。一些組織開展?jié)B透測(cè)試只是為了合規(guī)目的，卻并未評(píng)估他們可能淪為攻擊目標(biāo)的原因。

如何操作和利用黑客思維

從攻擊者的角度思考可以更快速地了解企業(yè)在網(wǎng)絡(luò)防御方面的不足。安全紅隊(duì)的工作本質(zhì)上是扮演攻擊性黑客的角色，梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地修復(fù)或應(yīng)對(duì)風(fēng)險(xiǎn)。安全紅隊(duì)所具備的攻擊技能組合對(duì)企業(yè)來(lái)說很寶貴。其作用不僅僅在于發(fā)現(xiàn)安全問題，對(duì)系統(tǒng)開發(fā)人員深入了解計(jì)算機(jī)系統(tǒng)也會(huì)大有幫助。安全紅隊(duì)還可以為企業(yè)發(fā)揮更多的價(jià)值，比如滲透測(cè)試服務(wù)。

安全紅隊(duì)可以用實(shí)戰(zhàn)化的演練方式，以任何方式嘗試對(duì)企業(yè)應(yīng)用系統(tǒng)的攻擊，包括對(duì)員工進(jìn)行真正的網(wǎng)絡(luò)釣魚攻擊，以觀察企業(yè)的訪問控制策略是否符合要求，是否實(shí)施有效的多因素身份驗(yàn)證產(chǎn)品。他們通常會(huì)直接向公司管理層匯報(bào)，公司其他人甚至不知道他們的存在或具體行動(dòng)計(jì)劃。通過了解為企業(yè)效力的“壞人”的想法，有助于防止一些難堪的網(wǎng)絡(luò)安全事件影響企業(yè)及其客戶。

不過毫不奇怪的是，企業(yè)在培養(yǎng)像黑客一樣思考的能力和組織攻防演習(xí)方面會(huì)面臨很多挑戰(zhàn)。安全領(lǐng)導(dǎo)者必須為各種安全任務(wù)投入資源，而這些資源中最寶貴的就是人。此外，CISO可能會(huì)發(fā)現(xiàn)很難為這些活動(dòng)獲得資金，因?yàn)楹茈y證明它們的價(jià)值，而且支持這些模擬演練活動(dòng)往往也并不便宜。

安全團(tuán)隊(duì)可能還會(huì)發(fā)現(xiàn)，將他們自己的技能從防御轉(zhuǎn)移到攻擊同樣會(huì)具有很大的挑戰(zhàn)性，因?yàn)楸举|(zhì)上，這是一種犯罪心態(tài)。而且白帽黑客們可能也無(wú)法完全體會(huì)到黑帽黑客的低調(diào)行事意愿與犯罪動(dòng)機(jī)。

盡管如此，訓(xùn)練藍(lán)隊(duì)的紅隊(duì)技能還是非常不錯(cuò)的，企業(yè)也需要通過越來(lái)越多的資源投入來(lái)幫助他們實(shí)現(xiàn)這種轉(zhuǎn)變。這些資源包括NIST框架、MITRE Engage、MITRE ATT&CK知識(shí)庫(kù)等。此外，還有來(lái)自服務(wù)商、開源社區(qū)以及學(xué)術(shù)機(jī)構(gòu)的威脅情報(bào)信息等。