作为MITRE的网络对手参与框架MITREEngage的团队负责人,MarettaMorovitz清楚地了解了解敌人的价值——她可以利用有关网络对手的知识来分散注意力、欺骗并转移他们的注意力,并制定策略来帮助防止威胁行为者得到他们想要的东西。这可能意味着设置符合攻击者期望的诱饵,或者通过创建不符合攻击者期望的场景来故意迷惑他们。然而,无论采用哪种方法,都需要我们了解对手的实际行为,以驱动更强大的防御机制。事实上,了解对手的概念并不新鲜。早在公元前6世纪,《孙子兵法》一书就提出了“知己知彼,百战不殆”的思想。这种思想在网络安全领域的应用并不新鲜。可追溯到几十年前的道德黑客攻击部分基于模拟黑客攻击,以帮助客户发现企业IT环境中的缺陷。同样,企业安全领导者长期以来一直在努力识别可能的对手,以及他们可能瞄准的目标。然而,他们洞察黑客思想的能力受到可用资源和知识的限制,也受到首先强调外围防御、然后是为最有价值的资产提供最高保护的分层防御的传统策略的限制。黑客思维有助于制定安全策略如今,安全专家——MITRE等人——提倡CISO及其安全团队使用威胁情报、安全框架和红队技能像黑客一样思考,更重要的是,使用这种见解来制定安全策略.这意味着要考虑反过来影响他们坚持程度的动机和心态、他们可能采取的路径以及他们到底想要什么——所有这些都可能与假设不同或更广泛。这种洞察力应进一步塑造纵深防御的方向,并应用于创建真正的威胁驱动的安全策略。“如果你不像黑客那样思考,你将无法采取适合你情况的行动。您对这些威胁了解得越多,就越能有效地应用这些技术,”NashSquared的全球CISOJimTiller说。了解攻击者的思维方式、他们使用的工具、他们的速度、他们的专长以及他们最喜欢的目标,安全培训协会SANS发布了《2022年道德黑客调查报告》。报告称,面对日益复杂且难以保护的攻击面,这些见解对于投资决策至关重要。通常,一些企业投资各种安全技术来缓解各种类型的威胁,但经常受到攻击的端口和协议却敞开着。攻击者会选择阻力最小的路径或最熟悉的路径——通常,这两条路径是相同的。忽视或假设安全会带来太多风险。从黑客的视角中获益SANS报告还强调了“对手的鸟瞰图”的价值,并认为它可以作为安全分析师和政策制定者的指路明灯。然而,研究发现许多安全团队没有这种洞察力,他们也没有在寻找这种洞察力。安全软件制造商Pentera研究副总裁AlexSpivakovsky表示,“安全团队一直误解了黑客攻击我们网络的方式。如今,许多安全团队过于关注漏洞管理,急于尽快修补常见漏洞,因为他们“继续相信黑客正在攻击我们的网络。紧急利用这些漏洞。然而,实际上,此举并没有显着降低他们的风险,因为这与黑客的实际行为不符。”具有丰富的渗透测试经验,曾在以色列国防军负责收集信号情报(SIGINT)和代码解密的斯皮瓦科夫斯基说,黑客像企业一样运作,寻求资源最小化和回报最大化。换句话说,他们通常想要以尽可能少的努力获得最大的努力。黑客通常遵循特定的行动路径:一旦他们渗透到IT环境并建立活动连接,他们就会收集用户名、IP地址和电子邮件地址等数据。他们使用这些数据来评估组织网络安全态势的成熟度。然后他们开始深入挖掘,寻找开放端口和保护不力的区域,例如失效系统和管理不善的资源。一旦他们了解操作系统正在做什么,他们就可以看看是否有任何东西可以用来发起黑客攻击。黑客非常善于发现安全中的薄弱环节黑客通常会不要仅仅为了利用漏洞或任何类型的策略而接近企业。相反,他们非常适应与企业互动时出现的不同机会。他们参与广泛的发现和枚举过程,检查业务弱点的指标。这些因素可能是缺少Web应用程序防火墙、太多的匿名访问服务或任何数量的其他指标。如果没有发现有吸引力的元素,黑客攻击的机会就会大大减少。但是,如果有什么引起了他们的兴趣,他们就会从那里升级攻击。这就是为什么组织应该从黑客的角度而不是他们自己的角度来评估公司安全的原因。了解黑客的心态和动机专家们也同意,了解黑客为何攻击您的企业以及他们为何攻击您的企业同样重要。您只是勒索软件的目标吗?或者你有机密信息吗?如果我是罪犯,我怎样才能最好地利用它来牟利或造成最大的伤害?它与动机和心态有关,安全领导力研究人员还可以使用这些来改进企业的安全策略。根据尚普兰学院副教授亚当戈德斯坦的说法,公司的目标是专注于识别对手或敌对团体并确定他们的意图。它具有破坏性吗?是出于经济动机还是盗窃知识产权?为其他目标获取资源?它们是否是关键任务,因此无论防御多么强大,它们都会不断尝试并再次尝试?或者他们只是在寻找机会?了解所有不同的对手及其意图可以帮助企业识别不同类型的风险。此类调查很重要,因为它们通常会推翻错误的假设,有时还会导致企业领导者发现他们对黑客的吸引力比他们想象的要大。例如,大约10年前,外国黑客以隶属于美国政治人物和机构的教职员工为目标,使用技术锁定和获取既没有货币价值也没有研究文件的通信,例如电子邮件和文件。事实上,他们真正关心的是获得在国际政治格局中可能有价值的通信,以及间谍活动的一些要素。这一事件着实让高等教育界措手不及,但也最终改变了高等教育行业的安全策略。没有黑客思维会留下安全漏洞但即便如此,许多公司安全部门尚未将黑客视角纳入其战略和防御措施。一些组织仅出于合规目的进行渗透测试,而没有评估它们可能成为攻击目标的原因。以一家电信公司为例,它可能成为黑客通过勒索软件攻击寻求经济回报的目标。但如果电信公司也支持警方通信,它也可能成为更持久的威胁行为者的目标,以开展更具破坏性的活动。这强调了检验假设的重要性。您对攻击者可能采取的路径有何假设?挑战这些假设并通过组建红队来验证它们。CISO及其团队必须权衡这样一个事实,即黑客可以像他们一样访问所有安全博客、培训和工具。操纵和利用黑客心态安全团队在培养像黑客一样思考的能力和利用从练习中获得的洞察力方面面临挑战也就不足为奇了。安全领导层必须为任务投入资源,而这些资源通常是人,而不是可以部署和运行的工具和技术。对于资源匮乏的安全团队和苦苦寻找人才的安全企业来说,这一切都是一项艰巨的任务。任务。此外,CISO可能会发现很难为这些活动获得资金,因为很难证明它们的价值是合理的,而且支持它们的一些工具相对昂贵。安全团队还可能发现,将他们自己的技能组合从防御(例如,识别和关闭漏洞)转移到进攻是极具挑战性的,因为从本质上讲,这是一种犯罪心态。在国防行业工作的人(白帽黑客)可能并不总是考虑到(黑客必须)保持低调的意愿。不过,专家们一致认为,对蓝队进行红队技能培训是值得的。企业现在也可以获得越来越多的资源来帮助他们实现这一转变。这些资源包括NIST框架、MITREEngage和MITREATT&CK。此外,还有来自供应商、信息共享和分析中心以及学术界、政府和类似实体的威胁情报。今天关于黑客思维的会议议程项目证明越来越多的安全团队正试图像黑客一样思考以告知他们的战略。转变为黑客思维模式确实有很多好处。例如,了解黑客的做法将帮助组织重新调整安全优先级以最大限度地提高其有效性。
