由于互联设备、云服务、物联网技术和混合工作环境,当今的安全领导者必须管理不断发展的攻击面和动态威胁环境。网络攻击者不断引入新的攻击技术,大小规模的企业都需要做好准备。
为了应对当今的安全环境,防御者需要敏捷和创新。简而言之,我们需要开始像网络攻击者一样思考。通过像网络攻击者那样去思考,可以更有效确定补救的优先级,并且更好了解潜在可利用途径。
黑客思维vs传统防御
1.更好地了解潜在的可利用途径。
许多组织采用传统的方法进行漏洞管理,记录他们的资产并识别相关的漏洞,通常是按照严格的时间表进行的。这种策略面临的一个问题是,防御人员也会被这种流程所影响思考方式,但攻击者并不会。对攻击者来说,找到一条最便捷的途径再好不过。因此防御人员应该考虑哪些资产连接并信任其他资产?哪些是面向外部的?在非关键系统中攻击者是否可以建立立足点,并利用其进入更重要的系统。这些都是能够识别真正风险的关键问题。
2.更有效地确定缺陷修复活动的优先级。
决定哪些问题需要立即采取行动,哪些可以等待是一项复杂的平衡工作。很少有公司拥有无限的资源来一次性解决整个攻击面,但攻击者们正在寻找最简单、回报最大的方法。通过确定缺陷修复优先级,可以避免更大的风险。
3.更批判性地评估现有的偏见。
规模较小的公司经常误以为他们不是攻击者的目标,然而现实并非如此。Verizon 《2023年数据泄露调查报告》显示,在小型企业(员工人数少于1000人)中发现了699起安全事件和381起确认的数据泄露,但在大型企业(员工人数超过1000人)中只有496起事件和227起确认的数据泄露。网络钓鱼攻击不分青红皂白,而勒索软件同样可以在较小的组织中获得丰厚的利润。
如何像网络攻击者一样思考
安全专业人员如何才能成功实现这种思维方式转变?
1. 了解攻击者的策略
采用攻击者的思维方式有助于安全负责人预测潜在的漏洞点并建立防御。
举个例子:今天的攻击者使用尽可能多的自动化来瞄准现代网络上的大量系统。这意味着防御者必须为暴力攻击、加载程序、键盘记录器、漏洞利用工具包和其他可快速部署的策略做好准备。
安全团队还需要评估在真实场景中对这些策略的响应。在测试环境中进行测试可以提供一个保障,但在生产环境中进行评估会更安心。同样,模拟也可以提供很多信息,但团队必须更进一步,看看他们的防御如何经受住渗透测试和强大的模拟攻击。
2. 一步一步揭示完整的攻击路径
任何漏洞都不是孤立存在的。攻击者可以结合多个漏洞来形成一个完整的攻击路径。因此,安全负责人需要能可视化“大局”并测试他们的整个环境。通过识别攻击者从侦察到利用和影响可能采取的关键路径,防御者可以有效地确定优先级和补救措施。
3. 根据影响确定补救措施的优先级
攻击者通常会寻找阻力最小的路径。这意味着应首先解决影响最大的可利用路径。在此基础上,在资源允许的情况下逐步完成不太可能出现的场景。
领导者还应该考虑他们需要修复的漏洞对业务的潜在影响。例如,单个网络配置错误或具有过多权限的单个用户可能导致许多可能的攻击路径。优先考虑高价值资产和关键安全漏洞有助于避免将资源分散到整个攻击面的陷阱。
4. 验证安全投资的有效性
测试安全产品和程序的实际发挥多少作用至关重要。例如, EDR 是否正确检测可疑活动?SIEM 是否按预期发送警报?SOC 响应速度有多快?最重要的是,安全堆栈中的所有工具如何有效地协同工作?在衡量安全投资的作用时,这些测试是必不可少的。
传统的攻击模拟工具可以测试已知的场景,并测试针对已知威胁的现有防御。但是针对不知道的东西进行测试呢?在软件开发时进行静态测试减少软件系统中的潜在漏洞和威胁,另外使用对抗视角可以针对所有方案和威胁进行自主测试,从而揭示隐藏的错误配置、影子 IT 或有关控制如何工作的错误假设。这些未知的安全漏洞是防御者最难发现的,因此攻击者会积极寻找这些漏洞。
参读来源:
