作为MITRE公司网络对手交战框架MITRE Engage的团队负责人,Maretta Morovitz清楚地知道了解敌人的价值——她可以利用关于网络对手的知识来分散、欺骗和转移他们的注意力,并制定策略来帮助阻止威胁行为者得到他们想要的东西。

这可能意味着设置满足攻击者预期的诱饵,或者通过创造不符合攻击者预期的场景,来故意迷惑他们。不过,无论采取何种方式,都要求我们了解对手的实际行为,以此来驱动更强大的防御机制。

事实上,了解对手的概念并不新鲜。早在公元前6世纪,《孙子兵法》中就提出了“知己知彼,百战不殆”的思想。这种思想在网络安全领域的应用也并非什么新鲜事。追溯到几十年前的道德黑客行为(Ethical hacking),在一定程度上就是基于模拟黑客攻击,帮助客户寻找企业IT环境中的缺陷。

类似地,企业安全领导者长期以来也一直致力于识别可能的对手,以及对手可能针对的目标。然而,他们深入了解黑客思维的能力受到了现有资源和知识以及传统战略的限制,这些传统战略首先强调外围防御,然后是为最有价值的资产提供最高保护的分级防御。

黑客思维有助于形成安全策略

如今,安全专家——MITRE和其他专家——提倡CISO及其安全团队使用威胁情报、安全框架和红队技能来像黑客一样思考,更重要的是,使用这种洞察力来制定安全策略。这意味着要考虑反过来影响他们坚持程度的动机和心态,他们可能采取的途径,以及他们到底想要什么——所有这些都可能不同或比假设的更广泛。这种洞察力应该进一步塑造纵深防御的方向,应该被用来创建一个真正的威胁驱动的安全战略。

Nash Squared全球CISO Jim Tiller表示,“如果你不像黑客那样思考,你就无法采取适合你所处环境的行动。你对这些威胁了解得越多,你就越能有效地应用这些技术。”

为了了解攻击者如何思考、他们使用的工具、速度、专业性以及最喜欢的目标等信息,安全培训协会SANS发布了《2022年道德黑客调查报告》。该报告指出,面对日益复杂且难以保护的攻击面,这些洞察力对投资决策可谓至关重要。通常情况下,一些企业会投资各种安全技术,以缓解各种类型的威胁,但经常受到攻击的端口和协议却处于完全开放的状态。攻击者会选择阻力最小或最熟悉的路径——一般来说,这两条路是一样的。忽视或假设安全会带来太多风险。

从黑客视角中获益

SANS报告还强调了“鸟瞰对手”的价值,并认为它可以成为安全分析师和决策者的指路明灯。然而,研究发现,许多安全团队并不具备这种洞察力,也没想过去寻找它。

安全软件制造商Pentera的研究副总裁Alex Spivakovsky表示,“安全团队对于黑客如何攻击我们的网络始终存在误解。今天,许多安全团队过度关注漏洞管理,并急于尽快修补常见漏洞,因为他们始终认为黑客正迫切利用这些漏洞。然而事实上,此举并不能显著降低他们的风险,因为它与黑客的实际行为并不一致。”

拥有丰富渗透测试经验,且曾在以色列国防军负责收集信号情报(SIGINT)和代码解密的Spivakovsky介绍称,黑客的运作就像一个企业,旨在寻求资源最小化和回报最大化。换句话说,他们通常希望尽可能少地付出努力来获取最大的收益。

黑客通常遵循一定的行动路径:一旦他们侵入一个IT环境并拥有一个活跃的连接,他们就会收集用户名、IP地址和电子邮件地址等数据。他们利用这些数据来评估企业网络安全态势的成熟度。然后,他们开始进行更深入的潜水,寻找开放的端口以及保护不力的领域,如报废系统和管理不当的资源。在了解了操作系统的运行情况后,他们就能知道是否有什么东西可以用来发动黑客攻击。

黑客在寻找薄弱的安全环节方面具有很强的适应性

黑客通常不会仅仅为了利用漏洞或任何一种策略而接近企业。相反地,当他们与企业互动时,他们非常能适应出现在自己身上的不同机会。他们会参与广泛的发现和枚举过程,检查企业存在的薄弱环节的指标。这些因素可能是缺乏Web应用防火墙、存在太多匿名访问服务或其他任何数量的指标。

如果没有发现任何吸引人的元素,那么黑客侵入的可能性就会大大降低。然而,如果有什么东西激起了他们的兴趣,他们就会从那里开始升级攻击。这就是企业应该从黑客的角度而非他们自己的角度来评估企业安全的原因所在。

了解黑客的思维模式和动机

还有专家认为,了解黑客为什么要攻击企业,以及为什么要攻击你的企业同样至关重要。你只是勒索软件的目标吗?或者你有机密信息吗?如果我是一名犯罪分子,我怎样才能最好地利用这些来牟利或造成最大的伤害?

这就涉及到动机和心态问题,安全领导者也可以利用这些来完善企业的安全策略。

尚普兰学院副教授Adam Goldstein认为,企业的目标是专注于识别对手或敌对团体,并确定他们的意图。它是破坏性的吗?是出于经济动机还是知识产权盗窃?为其他目标获取资源?他们是否使命必达,所以无论防御有多强,他们都会不断地尝试、尝试、再尝试?还是他们只是在寻找机会?了解所有不同的对手以及他们的意图,可以帮助企业识别不同类型的风险。

这样的调查很重要,因为它经常会颠覆错误的假设,有时还会让企业领导人发现,他们对黑客的吸引力比自己想象得还要大。举个例子,大概10年前,境外黑客瞄准了与美国政治人物和机构有关联的教师,他们使用技术来锁定和获取既无货币价值又非研究文件的通信,比如电子邮件和文件。事实上,他们真正关注的是获取可能在国际政治格局中有价值的通信,以及一些间谍元素。此事着实打了高等教育界一个措手不及,不过,这也最终改变了高等教育界的安全策略。

不具备黑客思维会留下安全缺口

不过,即便如此,许多企业的安全部门仍未把黑客视角纳入他们的战略和防御体系。一些企业开展渗透测试只是为了合规目的,却并未评估他们可能沦为攻击目标的原因。以电信公司为例,它可能是通过勒索软件攻击寻求经济回报的黑客的目标。但如果该电信公司也支持警方的通信,它也可能沦为更持久的威胁行为者的目标,以发起更具破坏性的攻击活动。

这就强调了验证假设的重要性。你对攻击者可能采取的路径做了什么假设?通过成立一个红队来挑战这些假设并验证它们。CISO及其团队必须权衡这样一个事实:黑客与他们一样可以访问所有的安全博客、培训和工具。

操作和利用黑客思维

毫不奇怪,安全团队在培养像黑客一样思考的能力和利用演习获得的见解方面面临挑战。安全领导必须为任务投入资源,而这些资源通常是人,而不是可以部署和运行的工具和技术,对于资源紧张的安全团队和努力寻找人才的安全企业来说,所有这些都是一项艰巨的任务。

此外,CISO可能会发现很难为这些活动获得资金,因为很难证明它们的价值,而且支持这些活动的一些工具也相对昂贵。

安全团队可能还会发现,将他们自己的技能集从防御(例如,识别和关闭漏洞)转移到进攻极具挑战性,因为本质上,这是一种犯罪心态。而且在防御行业工作的人(白帽黑客)可能无法总是考虑到(黑客们必须)低调行事的意愿。

尽管如此,专家们认为,训练蓝队的红队技能还是值得的。企业现在也可以获得越来越多的资源来帮助他们实现这种转变。这些资源包括NIST框架、MITRE Engage和MITRE ATT&CK。此外,还有来自供应商、信息共享与分析中心、以及学术界、政府和类似实体的威胁情报。

如今,关于黑客思维的会议议程项目证明,越来越多的安全团队正试图像黑客一样思考,以此为他们的战略提供信息。而向黑客思维转变也确实有诸多好处,例如,了解黑客的做法将有助于企业重新调整安全优先事项,以最大限度地发挥其效用。