在网络安全领域,安全管理人员和研究人员一直致力于发现和识别可能的攻击对手,以及他们的攻击思路和策略。然而,在传统的强调边界保护的安全建设模式中,防御者深入理解黑客思维的能力会受到诸多制约和制约。为了了解攻击者的想法,国际安全培训和研究机构SANS近日发布了《2022年道德黑客调查报告》,一份报告指出,尽管组织已经投资了各种安全技术来缓解各种类型的网络安全威胁,但攻击者仍然能够发现选项阻力最小或最熟悉的路径,因为许多安全团队继续误解黑客如何攻击组织的信息系统。他们倾向于过分关注漏洞管理并急于尽快修补常见漏洞和暴露(CVE),但实际上这并没有显着降低他们的风险,因为它们与黑客的实际行为不一致。在商业化社会中,非法黑客团伙也像企业组织一样运作,追求资源最小化和回报最大化。他们通常希望以尽可能少的努力获得最大收益。因此,现代黑客活动通常遵循特定的行动路径。黑客通常不会仅仅为了利用漏洞或策略而接近组织。相反,他们通过广泛的发现和枚举过程检查组织是否存在安全防御薄弱的指标。如果没有发现有价值的元素,组织被攻击的机会就会大大降低。这就是为什么组织应该从黑客的角度而不是他们自己的角度来评估企业安全。了解黑客的思维模式和动机NashSquared全球CISOJimTiller认为,如果现代企业的CISO不能像黑客一样思考,就无法采取真正适合企业所处环境的网络安全防护行动运作。像黑客一样思考意味着从整体上思考他们到底想要什么——所有这些都因人而异,而且往往比想象的更广泛。企业应不断积累和完善这种洞察力,进一步将其塑造为构建纵深防御的战略方向,并以此打造真正由威胁驱动的安全策略。了解黑客为何攻击组织以及他们为何攻击您的组织也很重要。您只是勒索软件的目标吗?您是否还有大量机密信息可以在暗网上出售以获取利润?这就提出了犯罪动机和心态的问题,安全领导者必须利用这些来完善其组织的安全策略。根据尚普兰学院副教授亚当戈德斯坦的说法,组织安全的目标是专注于识别对手或敌对团体并确定他们的意图。它具有破坏性吗?是出于经济动机还是盗窃知识产权?是否也在为其他目标获取资源?他们已经有了目标还是正在寻找机会?了解所有不同的对手及其意图可以帮助组织识别不同类型的风险。此类调查很重要,因为它们经常推翻错误的假设,有时还会向企业管理层揭示他们对黑客的吸引力比他们想象的要大,但许多企业安全部门仍然没有将黑客视角纳入他们的战略和防御体系。一些组织仅出于合规目的进行渗透测试,而没有评估它们可能成为攻击目标的原因。如何操作和运用黑客思维?从攻击者的角度思考可以更快地了解您的组织的网络防御不足的地方。安全红队的工作本质上是扮演进攻型黑客的角色,对企业的IT资产进行梳理,寻找漏洞和攻击路径,从而更好地修复或应对风险。安全红队所拥有的进攻技能对企业来说是无价的。它的作用不仅在于发现安全问题,还在于帮助系统开发人员深入了解计算机系统。安全红队还可以为企业发挥更多的价值,比如渗透测试服务。安全红队可以通过实战演练,尝试以任何方式攻击企业应用系统,包括对员工进行真实的钓鱼攻击,观察企业的访问控制策略是否符合要求,实施有效的多因素身份认证(MFA)产品.他们经常直接向公司管理层报告,而公司的其他人甚至不知道他们的存在或具体的行动计划。通过了解为您的企业工作的“坏人”的想法,您可以帮助防止一些令人尴尬的网络安全事件影响您的企业及其客户。然而,毫不奇怪,组织在培养像黑客一样思考的能力以及组织攻防演练方面面临许多挑战。安全领导者必须将资源投入到各种安全任务中,而这些资源中最有价值的是人。此外,CISO可能会发现很难为这些活动获得资金,因为很难证明它们的价值,而且支持这些模拟练习通常并不便宜。安全团队也可能发现将自己的技能组合从防御转向进攻同样具有挑战性,因为从本质上讲,这是一种犯罪心态。而且,白帽黑客可能并不完全了解真正黑客的低调意愿和犯罪动机。尽管如此,用红队技能训练蓝队还是很值得的。企业也需要投入越来越多的资源来帮助他们实现这一转变。这些资源包括NIST框架、MITREEngage和MITREATT&CK知识库等。此外,还有来自服务提供商、开源社区和学术机构的威胁情报信息。
