过去一年,随着数字化转型的步伐,大量企业和应用开始向云端迁移,新冠病毒大流行与远程办公加速了这个过程。在企业IT安全团队努力适应云原生环境的同时,针对云系统(数据)的攻击在去年激增了250%。这意味着蓝队必须变得敏捷,才能有效保护他们的攻击面。这里的敏捷不仅仅指安全牛之前报道的《网络安全迫切需要一场敏捷革命》中的敏捷,还包括对红队逻辑和黑客思维的同理心。云中越来越多的资产对蓝队提出了挑战,但这并不意味着攻击更容易。一家大型企业在云端拥有数以万计的资产,攻击者没有时间去深究每一项资产。云中资产的庞大规模不仅对安全团队而且对攻击者都是一个挑战。攻击者的时间和预算以及技术能力都有限。对于蓝队来说,挑战也是显而易见的。许多安全团队淹没在安全警报中,试图从噪音中找到有用的信息。这些安全团队往往“武装到牙齿”——配备了数十种安全工具、检查表和一堆防御策略和程序,但在与红队的对抗中仍然存在巨大差距。一个主要原因是蓝队无法理解红队逻辑——攻击者如何评估资产并使用它们来指导安全策略和防御优先级。曾协助数百名CISO对抗红队的网络安全专家DavidWolpoff认为,CISO在制定防御重点时,应基于“红队思维”或“黑客思维”,提出以下六个问题:从外面看有什么有用的信息?(可枚举)攻击面上的每个目标都有一个“故事”,其中一些比其他的更详细。攻击者收集到的关于防御者正在使用的特定技术(或组织中的某人)的信息越多,他们就越有信心计划下一阶段的攻击并自信地破坏网络。有关目标的详细信息是可枚举性——攻击者可以从外部收集有关目标的详细信息级别。例如,Web服务器目标信息包括从无服务器标识符到特定服务器名称(“Apache”或“Apache2.4.33”)的任何内容,具体取决于服务及其部署。如果攻击者可以看到正在使用的服务的确切版本及其配置,他们就可以进行精确的利用和攻击,从而最大限度地提高成功的机会并减少被发现的机会。资产对攻击者有多大价值?(关键)黑客采取的每一步行动都需要付出努力、时间、金钱和风险。最好的攻击方式是瞄准目标,而不是瞎子摸象。一些目标比其他目标更有“潜力”将攻击引向纵深。因此,攻击者在采取行动之前评估目标的重要性,以便专注于最相关的目标。VPN和防火墙等安全设备或外围的远程支持解决方案是打开内部网络“宝库”的众所周知的钥匙。同样,受损的凭证存储和身份验证系统将允许攻击者获得额外的帐户凭证。总之,攻击者首先寻找能够提供最佳立足点和访问权限的工具。该资产是否已知可利用?(弱点)与常识相反,在CVE数据库中具有高CVSS严重性分数的漏洞(和相关资产)并不一定意味着攻击者会对目标产生极大的兴趣。事实上,有许多“严重的、可蠕虫感染的、类似Thanos的”漏洞实际上无法被利用。许多漏洞利用都是理论上的或依赖于上下文的,攻击者必须考虑攻击资产目标的成本和可能性。是否有可用于漏洞的概念证明(POC)是一个很好的指标。如果业界对某个漏洞做了大量的研究和分析,那么利用它的难度也会大大降低。总之,时间就是金钱,利用漏洞需要时间,因此黑客必须考虑公开可用、负担得起或可以购买的工具(例如Canvas或Zerodium)。对于特定资产,在某些情况下,对手购买以前开发的漏洞利用的方式比许多人意识到的要多得多。被利用的资产是否“宜居”(利用后的潜力)所谓资产的“环境宜居性”,是对攻击者长期潜伏、活动不被发现的安全性的定义。由于缺乏安全防御,恶意软件可以来去无踪的资产被认为是“宜居的”,因此攻击者的首选目标通常是那些蓝队无法部署任何防御措施的资产。充分保护和监控的目标(例如端点)不容易受到攻击者的欢迎。物理联网且具有熟悉的执行环境的桌面固定电话、VPN设备和未受保护的硬件设备是很好的目标。许多设备基于Linux开发,具有完整的用户空间和黑客熟悉的预装工具,因此是具有高后利用潜力的目标。利用漏洞需要多长时间?(研究潜力)从锁定特定的攻击目标到获得必要的利用和攻击技术还有很长的路要走。在侦察特定目标时,黑客必须评估成功利用新漏洞的可能性和成本。在攻击之前,攻击者往往会利用漏洞研究(VR)进行成本评估,包括研究成本和测试改进工具的成本,并据此判断目标是否值得攻击。文档齐全、研究充分或开源的工具更容易成为攻击目标。昂贵且“神秘”的平台,例如VoIP系统等硬件,或那些昂贵的安全设备,通常需要特殊的技能和资源来执行攻击(即使存储在这些系统上的数据或凭据很有价值)。任何进入壁垒都会降低攻击者攻击特定平台、工具或服务的动机。开发的漏洞是否可重复使用?(适用性)从防御性思维转向黑客逻辑最大的不同在于,你需要了解攻击者的商业模式。攻击者在开发漏洞利用工具上投入了大量的时间、资源和人力,因此他们希望获得最高的投资回报。您的组织很可能是许多黑客感兴趣的(同类)目标之一,因此在攻击一个目标时,黑客会评估漏洞利用工具对多个受害者的适用性,从而将攻击成本分摊给更多受害者。攻击者总是希望能够基于有限的资源为广泛采用的技术开发漏洞利用工具,以获取高额利润。还记得Mac电脑曾被认为可以抵御黑客和病毒吗?事实上,这是因为微软有更多的市场份额,所以利用Windows的回报会更高,而不是因为Mac系统更安全。随着Windows变得更难受到攻击以及Mac在企业中的部署激增,这种情况已经发生了变化。出于同样的原因,iOS漏洞利用过去比Android漏洞利用昂贵得多,但随着iOS漏洞利用变得越来越普遍,在市场力量的推动下,iOS漏洞利用变得(相对)便宜。总之,攻击者不会根据漏洞的CVSS评分来确定攻击目标。攻击计划设计有多个组成部分,而攻击的执行包括一系列战术、技术和程序。攻击者必须在实现目标的同时管理资源。攻击者实际上是在“经营”业务,会为了实现业务目标而做出取舍。防守者也应该牢记这一点。企业安全防御需用好钢材在刀刃上。不分青红皂白地保护所有资产,不分青红皂白地防御所有攻击者,这是不科学的。攻击总是不可避免的,在风险管理的背景下,这是关于以最佳方式部署防御资源以进行防御部署以优化业务成果。像攻击者一样思考可以让您确定防御的优先级,专注于对攻击者更有价值且难度较小的资产,同时评估哪些安全强化成本会超过收益。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
