《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 了解你的敵人,像黑客一樣去思考

了解你的敵人,像黑客一樣去思考

2022-11-30
來源:安全牛

  在網(wǎng)絡安全領域,安全管理者和研究人員一直致力于發(fā)現(xiàn)和識別可能的攻擊對手,以及他們的攻擊思路和策略。然而,在強調(diào)邊界防護的傳統(tǒng)安全建設模式中,防護者深入了解黑客思維的能力會受到很多制約和限制。

  為了了解攻擊者如何思考,國際安全培訓與研究機構SANS日前發(fā)布了《2022年道德黑客調(diào)查報告》,報告認為,盡管組織已經(jīng)投資各種安全技術,以緩解各種類型的網(wǎng)絡安全威脅,但攻擊者仍然能夠找到選擇阻力最小或最熟悉的路徑,原因在于很多安全團隊對于黑客如何攻擊組織的信息化系統(tǒng)始終存在誤解。他們往往過度關注漏洞管理,并急于盡快修補常見漏洞和暴露(CVE),然而事實上,這并不能顯著降低他們的風險,因為他們與黑客們的實際行為并不一致。

  在商業(yè)化社會里,非法黑客團伙的運營也像一個企業(yè)組織,旨在尋求資源最小化和回報最大化。他們通常希望盡可能少地付出努力來獲取最大的收益。因此,現(xiàn)代黑客攻擊活動通常遵循一定的行動路徑。黑客通常不會僅僅為了利用某個漏洞或某種策略而接近組織。相反地,他們會通過廣泛的發(fā)現(xiàn)和枚舉過程,檢查組織是否存在薄弱的安全防護指標。如果沒有發(fā)現(xiàn)有價值元素,那么組織被攻擊的可能性就會大大降低。這就是組織應該從黑客的角度而非他們自己的角度來評估企業(yè)安全的原因所在。

  了解黑客的思維模式和動機

  Nash Squared全球CISO Jim Tiller認為,如果現(xiàn)代企業(yè)的CISO們不能像黑客那樣思考,就無法采取真正適合企業(yè)所處環(huán)境的網(wǎng)絡安全防護行動。而要像黑客一樣思考,就意味著要全面考慮他們到底想要什么——所有這些都可能因人而異,往往會比假設的更廣泛。

  企業(yè)應該將這種洞察力不斷積累完善,并進一步塑造成構建縱深防御的戰(zhàn)略性方向,并以此創(chuàng)建一個真正由威脅驅(qū)動的安全戰(zhàn)略。了解黑客為什么要攻擊組織,以及為什么要攻擊您所在的組織同樣至關重要。您只是勒索軟件的攻擊目標嗎?您是否還有大量的機密信息可用于暗網(wǎng)出售牟利呢?這就涉及到犯罪的動機和心態(tài)問題,安全領導者必須利用這些來完善組織的安全策略。

  尚普蘭學院副教授Adam Goldstein認為,組織安全建設的目標是專注于識別對手或敵對性團體,并確定他們的意圖。它是破壞性的嗎?是出于經(jīng)濟動機還是知識產(chǎn)權盜竊?是否還為其他目標獲取資源?他們已經(jīng)有明確目的還是在尋找機會?要了解所有不同的對手以及他們的意圖,這樣才可以幫助組織識別不同類型的風險。

  這樣的調(diào)查很重要,因為它經(jīng)常會顛覆一些錯誤的假設,有時還會讓企業(yè)管理層發(fā)現(xiàn),他們對黑客的吸引力比自己想象得還要大,但目前許多企業(yè)安全部門仍未把黑客視角納入他們的戰(zhàn)略和防御體系。一些組織開展?jié)B透測試只是為了合規(guī)目的,卻并未評估他們可能淪為攻擊目標的原因。

  如何操作和利用黑客思維?

  從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡防御方面的不足。安全紅隊的工作本質(zhì)上是扮演攻擊性黑客的角色,梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑,以便更好地修復或應對風險。安全紅隊所具備的攻擊技能組合對企業(yè)來說很寶貴。其作用不僅僅在于發(fā)現(xiàn)安全問題,對系統(tǒng)開發(fā)人員深入了解計算機系統(tǒng)也會大有幫助。安全紅隊還可以為企業(yè)發(fā)揮更多的價值,比如滲透測試服務。

  安全紅隊可以用實戰(zhàn)化的演練方式,以任何方式嘗試對企業(yè)應用系統(tǒng)的攻擊,包括對員工進行真正的網(wǎng)絡釣魚攻擊,以觀察企業(yè)的訪問控制策略是否符合要求,是否實施有效的多因素身份驗證(MFA)產(chǎn)品。他們通常會直接向公司管理層匯報,公司其他人甚至不知道他們的存在或具體行動計劃。通過了解為企業(yè)效力的“壞人”的想法,有助于防止一些難堪的網(wǎng)絡安全事件影響企業(yè)及其客戶。

  不過毫不奇怪的是,企業(yè)在培養(yǎng)像黑客一樣思考的能力和組織攻防演習方面會面臨很多挑戰(zhàn)。安全領導者必須為各種安全任務投入資源,而這些資源中最寶貴的就是人。此外,CISO可能會發(fā)現(xiàn)很難為這些活動獲得資金,因為很難證明它們的價值,而且支持這些模擬演練活動往往也并不便宜。

  安全團隊可能還會發(fā)現(xiàn),將他們自己的技能集從防御轉(zhuǎn)移到攻擊同樣會具有很大的挑戰(zhàn)性,因為本質(zhì)上,這是一種犯罪心態(tài)。而且白帽黑客們可能也無法完全體會到真實黑客的低調(diào)行事意愿與犯罪動機。

  盡管如此,訓練藍隊的紅隊技能還是非常值得的。企業(yè)也需要通過越來越多的資源投入來幫助他們實現(xiàn)這種轉(zhuǎn)變。這些資源包括NIST框架、MITRE Engage和MITRE ATT&CK知識庫等。此外,還有來自服務商、開源社區(qū)以及學術機構的威脅情報信息等。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。