過(guò)去一年中，伴隨著數(shù)字化轉(zhuǎn)型的腳步，大量企業(yè)和應(yīng)用開始向云端遷移，新冠病毒大流行和遠(yuǎn)程辦公則加速了這一過(guò)程。在企業(yè)IT安全團(tuán)隊(duì)正在努力適應(yīng)云原生環(huán)境的同時(shí)，對(duì)云系統(tǒng)(數(shù)據(jù))的攻擊在去年暴增了250%。

[[373792]]

這意味著藍(lán)隊(duì)必須變得敏捷才能有效保護(hù)其攻擊面。這里的敏捷，不僅是指安全牛此前報(bào)道過(guò)的“網(wǎng)絡(luò)安全急需一場(chǎng)敏捷化革命”中的敏捷，也包括對(duì)紅隊(duì)邏輯和黑客思維的換位思考。

日見(jiàn)增多的的云中資產(chǎn)給藍(lán)隊(duì)帶來(lái)了巨大挑戰(zhàn)，但并不意味著攻擊將變得更加輕松。一個(gè)大型企業(yè)的云中資產(chǎn)數(shù)量可達(dá)數(shù)萬(wàn)，攻擊者沒(méi)有時(shí)間深入研究每一項(xiàng)資產(chǎn)。云中資產(chǎn)的龐大規(guī)模不但對(duì)安全團(tuán)隊(duì)是一個(gè)挑戰(zhàn)，對(duì)于攻擊者也同樣如此。攻擊者的時(shí)間和預(yù)算也是有限的，技術(shù)能力也存在上限。

對(duì)于藍(lán)隊(duì)而言，面臨的挑戰(zhàn)也是顯而易見(jiàn)的，很多安全團(tuán)隊(duì)被淹沒(méi)在安全警報(bào)中，試圖從噪音中尋找有用信息，這些安全團(tuán)隊(duì)往往“武裝到了牙齒”——配備了數(shù)十個(gè)安全工具、清單和一堆防御策略和流程，但是在與紅隊(duì)的對(duì)抗中依然存在巨大差距。一個(gè)主要的原因就是藍(lán)隊(duì)沒(méi)能理解紅隊(duì)邏輯——攻擊者如何評(píng)估資產(chǎn)價(jià)值，并用來(lái)指導(dǎo)安全策略和防御優(yōu)先級(jí)的制定。

曾協(xié)助數(shù)百位CISO對(duì)抗紅隊(duì)的網(wǎng)絡(luò)安全專家David Wolpoff認(rèn)為，CISO在制定防御優(yōu)先級(jí)時(shí)，應(yīng)當(dāng)基于“紅隊(duì)思維”或“黑客思維”，提出以下六大問(wèn)題：

從外部可以看到目標(biāo)的哪些有用信息?(可枚舉)

攻擊面上的每個(gè)目標(biāo)都有“故事”，有些故事比其他故事更詳細(xì)。攻擊者收集的防御方使用的特定技術(shù)(或組織中的某個(gè)人)的信息越多，他們?cè)接邪盐沼?jì)劃下一階段的攻擊，更有信心地入侵網(wǎng)絡(luò)。有關(guān)目標(biāo)的詳細(xì)信息即可枚舉性——攻擊者可從外部采集目標(biāo)信息的詳細(xì)程度。例如，根據(jù)服務(wù)及其部署，Web服務(wù)器目標(biāo)信息包括從無(wú)服務(wù)器標(biāo)識(shí)符到特定服務(wù)器名稱(“Apache”或“Apache 2.4.33”)的任何內(nèi)容。如果攻擊者可以看到正在使用的服務(wù)的確切版本及其配置，就可以實(shí)施精確的漏洞利用和攻擊，從而最大程度地提高成功率，降低被檢測(cè)幾率。

資產(chǎn)對(duì)攻擊者有多大價(jià)值?(關(guān)鍵性)

黑客每一步行動(dòng)都需要付出努力、時(shí)間、金錢和風(fēng)險(xiǎn)的代價(jià)。最好的攻擊方法是有的放矢，而不是盲人摸象。一些目標(biāo)比其他目標(biāo)更有“潛力”，可以將攻擊引入深處。因此攻擊者在采取行動(dòng)之前會(huì)先評(píng)估目標(biāo)的重要性，以便將精力集中在相關(guān)度最高的目標(biāo)上。虛擬專用網(wǎng)和防火墻之類的安全設(shè)備，或外圍的遠(yuǎn)程支持解決方案，是通往內(nèi)部網(wǎng)絡(luò)“寶庫(kù)”的眾所周知的鑰匙。同樣，憑據(jù)存儲(chǔ)和身份驗(yàn)證系統(tǒng)一旦被入侵也將讓攻擊者獲得更多賬戶憑據(jù)?？傊?，攻擊者優(yōu)先尋找的，是那些能提供最佳立足點(diǎn)和訪問(wèn)權(quán)限的工具。

該資產(chǎn)是否已知可利用?(弱點(diǎn))

與經(jīng)驗(yàn)常識(shí)相反，在CVE數(shù)據(jù)庫(kù)里CVSS嚴(yán)重性評(píng)分很高的漏洞(及相關(guān)資產(chǎn))并不一定意味著攻擊者會(huì)對(duì)目標(biāo)產(chǎn)生極大的興趣。實(shí)際上，有許多“嚴(yán)重、可蠕蟲、滅霸式的”的漏洞實(shí)際上無(wú)法利用。很多漏洞的利用都是理論上的，或者依賴特定的環(huán)境，而攻擊者則必須考慮攻擊資產(chǎn)目標(biāo)的成本和可能性。漏洞是否存在可用的概念證明(POC)是一個(gè)很好的指標(biāo)。

如果業(yè)界對(duì)某個(gè)特定漏洞進(jìn)行了大量研究和分析，那么漏洞利用的難度也會(huì)極大降低?？傊瑫r(shí)間就是金錢，漏洞利用需要時(shí)間，因此，黑客必須考慮公開可用的工具，負(fù)擔(dān)得起的工具或可以購(gòu)買到的工具(例如Canvas或Zerodium)。對(duì)于特定資產(chǎn)，在某些情況下對(duì)手會(huì)購(gòu)買以前開發(fā)過(guò)的漏洞利用程序，這種方式比許多人意識(shí)到的要多得多。

被利用的資產(chǎn)是否“宜居”(利用后的潛力)

所謂資產(chǎn)的“環(huán)境宜居性”，是攻擊者對(duì)長(zhǎng)期潛伏、活動(dòng)而不被檢測(cè)到的駐留安全性的一種定義。缺乏安全防御措施，惡意軟件可以在其中來(lái)去自如、無(wú)影無(wú)蹤的資產(chǎn)被認(rèn)為是“宜居”的，因此攻擊者首選的目標(biāo)往往是藍(lán)色團(tuán)隊(duì)無(wú)法部署任何防御措施的目標(biāo)。

諸如端點(diǎn)之類的受到充分保護(hù)和監(jiān)視的目標(biāo)對(duì)于攻擊者來(lái)說(shuō)都是不夠“好客”的。而桌面座機(jī)電話、虛擬專用網(wǎng)設(shè)備以及物理聯(lián)網(wǎng)并具有熟悉的執(zhí)行環(huán)境的，不受保護(hù)的硬件設(shè)備都是很好的攻擊對(duì)象。

許多設(shè)備基于Linux開發(fā)，有完整的用戶空間和預(yù)裝的黑客熟悉的工具，因此是具有較高利用后潛力的目標(biāo)。

利用漏洞需要多長(zhǎng)時(shí)間?(研究潛力)

從鎖定特定攻擊目標(biāo)到獲得必要的漏洞利用和攻擊技術(shù)還有很長(zhǎng)的路要走。在偵查特定目標(biāo)時(shí)，黑客必須評(píng)估他們成功利用新漏洞的可能性以及成本。攻擊者在實(shí)施攻擊之前，往往會(huì)用漏洞研究(VR)進(jìn)行成本評(píng)估，包括研究成本以及測(cè)試和完善工具的成本，并據(jù)此判斷目標(biāo)是否值得攻擊。文檔健全，經(jīng)過(guò)充分研究或開放源代碼的工具是更容易得手的目標(biāo)。昂貴而“神秘”的平臺(tái)，例如VoIP系統(tǒng)之類的硬件，或者那些價(jià)格昂貴的安全設(shè)備，往往需要特殊的技能和資源來(lái)實(shí)施攻擊(即使這些系統(tǒng)存儲(chǔ)的數(shù)據(jù)或者憑據(jù)很有價(jià)值)。任何入侵壁壘都會(huì)降低攻擊者對(duì)特定平臺(tái)、工具或服務(wù)的攻擊欲望。

開發(fā)的漏洞利用程序是否具備可復(fù)用性?(適用性)

從防御思維切換到黑客邏輯的最大不同之處是，你需要了解攻擊者的業(yè)務(wù)模型。攻擊者開發(fā)漏洞利用工具需要投入大量時(shí)間、資源和人力，因此他們想要最高的投資回報(bào)率。您的組織很可能是許多黑客感興趣的(同類)目標(biāo)之一，因此黑客在攻擊一個(gè)目標(biāo)時(shí)，會(huì)評(píng)估漏洞利用工具對(duì)多個(gè)受害者的適用性，從而將攻擊成本分?jǐn)偨o更多受害者。攻擊者總是希望能夠基于有限的資源，優(yōu)先針對(duì)廣泛采用的技術(shù)開發(fā)漏洞利用工具，以期創(chuàng)造高收益。還記得Mac電腦一度被人們認(rèn)為對(duì)黑客和病毒免疫嗎?事實(shí)上，這是因?yàn)槲④洆碛懈嗟氖袌?chǎng)份額，因此利用Windows的回報(bào)率會(huì)更高，而不是因?yàn)镸ac系統(tǒng)更安全。如今隨著Windows的攻擊難度提升，而Mac在企業(yè)中的部署激增，這種情況也發(fā)生了變化。同樣的道理，iOS漏洞利用的成本曾經(jīng)比Android漏洞要昂貴得多，但是隨著iOS漏洞越來(lái)越普遍，在市場(chǎng)力量的推動(dòng)下，iOS漏洞利用正變得(相對(duì))便宜。

總之，攻擊者不會(huì)根據(jù)漏洞的CVSS評(píng)分高低來(lái)確定攻擊目標(biāo)。一次攻擊策劃設(shè)計(jì)多個(gè)組成部分，而攻擊的執(zhí)行則包含一系列的戰(zhàn)術(shù)、技術(shù)和流程。攻擊者必須在實(shí)現(xiàn)目標(biāo)的同時(shí)還要管理資源，攻擊者實(shí)際上是在“經(jīng)營(yíng)”業(yè)務(wù)，會(huì)為了達(dá)成業(yè)務(wù)目標(biāo)而進(jìn)行取舍。防御者也應(yīng)該牢記這一點(diǎn)。企業(yè)安全防御需要把好鋼用在刀刃上，有的放矢，對(duì)所有資產(chǎn)不加區(qū)別的保護(hù)，對(duì)所有攻擊者不加區(qū)別的防御，都是不科學(xué)的。攻擊總是不可避免的，在風(fēng)險(xiǎn)管理的語(yǔ)境里，就是把防御資源以最佳方式進(jìn)行防御性下注，以優(yōu)化業(yè)務(wù)成果。像攻擊者那樣思考可以確定防御優(yōu)先級(jí)，聚焦那些對(duì)攻擊者來(lái)說(shuō)價(jià)值較高、難度較低的資產(chǎn)，同時(shí)評(píng)估哪些安全加固的成本會(huì)超出收益。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文