企业安全团队与黑客、网络犯罪分子之间的攻防战并不对等,尽管蓝队和红队使用的工具、框架和技术往往更加透明和重叠,但在思维方式上还是有很大的差异。攻击者不是研究人员,他们总是寻找阻力最小的路径来实现他们的目标:以最少的访问权限实现他们的目标,尽可能地掩盖他们的踪迹,使用最少的漏洞发现漏洞的技术和方法。一些技术和方法可以让攻击者更快地成功,而另一些则需要更多时间。查找和利用漏洞可能需要数小时到数月甚至更长时间。一些攻击者使用久经考验的方法,但一些最有创造力的黑客会找到通过意想不到的途径侵入系统的方法。企业安全团队必须了解攻击面的哪些部分对对手最具吸引力,以便制定有效的防御策略。Randori的联合创始人兼CTODavidWolpoff分享了四种鲜为人知的黑客搜索漏洞的攻击方法。这些从攻击者角度出发的漏洞发现方法可以帮助防御者提高和优化防御能力,具体如下:1.从已知漏洞开始对他们的经营目的很重要。攻击者可以以目标为起点交叉检查漏洞,但关键漏洞(CVE)并不总是有效的(这些漏洞众所周知并且可能受到安全团队的良好监控)。但是,已知的CVE是发现代码中隐藏的类似错误的绝佳起点。例如,在软件开发周期中,部署在企业中的代码可能会被重用和回收,从而使攻击者能够渗透到环境中。如果您为当前正在开发的代码(而不是其他版本)修补一个错误,那么在其他版本的代码中仍然会存在许多错误。对攻击者来说,一个更简单的选择是审计开源代码以找到漏洞和进入企业网络的捷径。2.“这里没有银子”代码注释源代码就像是攻击者的藏宝图。在软件开发周期中,开发人员为彼此留下的代码错误评论在攻击者眼中是唾手可得的果实。在开发软件时,开发人员遍历代码并标记已知的错误区域。但是开发进展很快,可能无法及时解决这些问题。当攻击者在开发人员的代码中发现诸如“FIXME”(待修复)或“RBF”(待解决后立即删除)之类的标签时,他们一定会欣喜若狂。像这样的标签将靶心放在潜在的可利用的、未修补的漏洞上。我在标记为“FIXME:此处可能存在缓冲区溢出,请勿使用未修改的”的函数中发现错误。事实是,许多有问题的代码“未经修改”就投入生产,攻击者可以轻松利用此漏洞。3.支持论坛中的帮助信号有一次,在寻找攻击目标的切入点时,我的团队注意到该公司正在测试一种新设备。公司的IT团队使用公司的电子邮件地址在一般支持论坛上发布了几个问题。暴露的资产似乎容易受到黑客攻击。通过快速谷歌搜索,我们确定该设备是一家知名电话设备制造商的昂贵产品。我们在支持论坛上四处搜寻,发现在线发布的固件更新的一部分包含三个错误。在这种情况下,URL路径解析功能中存在一个错误,使我们能够绕过身份验证。另一个错误让我们可以在没有系统管理员的情况下访问代码路径,从而允许我们上传和下载文件。最后一个是任意文件泄漏错误,它允许我们读取应用程序文件系统中的每个文件。这些漏洞都是公开的信息,每一个都是下一个漏洞的关键。攻击者喜欢在Internet上跟踪您的团队成员的足迹,寻找可能导致攻击的线索。4.矛式模糊测试模糊测试往往是一种费时费力的漏洞查找方式,而且效果也不尽如人意。我们曾经受命入侵一家公司,所以我从一些相对简单的东西开始——它的员工登录页面。我开始“盲测”,输入“a”作为用户名,但被拒绝访问。我输入了两个“a”,但再次被拒绝访问。然后,我尝试输入1000个“a”,网站终止了会话。一分钟后,系统重新上线,我立马再次尝试输入1000“a”,登录入口又掉线了,发现了一个bug。模糊测试是找到几乎所有网络漏洞的一种简单方法,但它是一种很少对攻击者单独起作用的策略。而且,如果攻击者对实时系统进行模糊测试,他们几乎肯定会引起系统管理员的注意。我更喜欢这种所谓的“矛式模糊测试”:用人类研究的元素来补充这个过程,使用现实世界的知识来缩小攻击面并识别攻击点可以节省大量时间。防御者一直专注于让攻击者更难入侵,但黑客根本不像防御者那样思考。黑客受个人时间和精力成本的约束,但不受公司政策或工具的约束。对企业而言,培养黑客思维,找出目标对黑客的吸引力,是攻防的第一步。首先要了解被盗资产的潜在影响以及它们受到威胁的可能性。这将防御注意力集中在关键的攻击面上。然后,防御者可以采取有针对性的强化措施,并专注于真正重要的漏洞。透过黑客的视角,组织能够建立超越传统最佳安全实践的弹性,以创建分层的纵深防御策略,甚至可以阻止最顽固的黑客。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
