作為MITRE公司網(wǎng)絡(luò)對手交戰(zhàn)框架MITRE Engage的團隊負(fù)責(zé)人，Maretta Morovitz清楚地知道了解敵人的價值——她可以利用關(guān)于網(wǎng)絡(luò)對手的知識來分散、欺騙和轉(zhuǎn)移他們的注意力，并制定策略來幫助阻止威脅行為者得到他們想要的東西。

這可能意味著設(shè)置滿足攻擊者預(yù)期的誘餌，或者通過創(chuàng)造不符合攻擊者預(yù)期的場景，來故意迷惑他們。不過，無論采取何種方式，都要求我們了解對手的實際行為，以此來驅(qū)動更強大的防御機制。

事實上，了解對手的概念并不新鮮。早在公元前6世紀(jì)，《孫子兵法》中就提出了“知己知彼，百戰(zhàn)不殆”的思想。這種思想在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用也并非什么新鮮事。追溯到幾十年前的道德黑客行為(Ethical hacking)，在一定程度上就是基于模擬黑客攻擊，幫助客戶尋找企業(yè)IT環(huán)境中的缺陷。

類似地，企業(yè)安全領(lǐng)導(dǎo)者長期以來也一直致力于識別可能的對手，以及對手可能針對的目標(biāo)。然而，他們深入了解黑客思維的能力受到了現(xiàn)有資源和知識以及傳統(tǒng)戰(zhàn)略的限制，這些傳統(tǒng)戰(zhàn)略首先強調(diào)外圍防御，然后是為最有價值的資產(chǎn)提供最高保護的分級防御。

黑客思維有助于形成安全策略

如今，安全專家——MITRE和其他專家——提倡CISO及其安全團隊使用威脅情報、安全框架和紅隊技能來像黑客一樣思考，更重要的是，使用這種洞察力來制定安全策略。這意味著要考慮反過來影響他們堅持程度的動機和心態(tài)，他們可能采取的途徑，以及他們到底想要什么——所有這些都可能不同或比假設(shè)的更廣泛。這種洞察力應(yīng)該進一步塑造縱深防御的方向，應(yīng)該被用來創(chuàng)建一個真正的威脅驅(qū)動的安全戰(zhàn)略。

Nash Squared全球CISO Jim Tiller表示，“如果你不像黑客那樣思考，你就無法采取適合你所處環(huán)境的行動。你對這些威脅了解得越多，你就越能有效地應(yīng)用這些技術(shù)?！?/p>

為了了解攻擊者如何思考、他們使用的工具、速度、專業(yè)性以及最喜歡的目標(biāo)等信息，安全培訓(xùn)協(xié)會SANS發(fā)布了《2022年道德黑客調(diào)查報告》。該報告指出，面對日益復(fù)雜且難以保護的攻擊面，這些洞察力對投資決策可謂至關(guān)重要。通常情況下，一些企業(yè)會投資各種安全技術(shù)，以緩解各種類型的威脅，但經(jīng)常受到攻擊的端口和協(xié)議卻處于完全開放的狀態(tài)。攻擊者會選擇阻力最小或最熟悉的路徑——一般來說，這兩條路是一樣的。忽視或假設(shè)安全會帶來太多風(fēng)險。

從黑客視角中獲益

SANS報告還強調(diào)了“鳥瞰對手”的價值，并認(rèn)為它可以成為安全分析師和決策者的指路明燈。然而，研究發(fā)現(xiàn)，許多安全團隊并不具備這種洞察力，也沒想過去尋找它。

安全軟件制造商Pentera的研究副總裁Alex Spivakovsky表示，“安全團隊對于黑客如何攻擊我們的網(wǎng)絡(luò)始終存在誤解。今天，許多安全團隊過度關(guān)注漏洞管理，并急于盡快修補常見漏洞，因為他們始終認(rèn)為黑客正迫切利用這些漏洞。然而事實上，此舉并不能顯著降低他們的風(fēng)險，因為它與黑客的實際行為并不一致。”

擁有豐富滲透測試經(jīng)驗，且曾在以色列國防軍負(fù)責(zé)收集信號情報(SIGINT)和代碼解密的Spivakovsky介紹稱，黑客的運作就像一個企業(yè)，旨在尋求資源最小化和回報最大化。換句話說，他們通常希望盡可能少地付出努力來獲取最大的收益。

黑客通常遵循一定的行動路徑：一旦他們侵入一個IT環(huán)境并擁有一個活躍的連接，他們就會收集用戶名、IP地址和電子郵件地址等數(shù)據(jù)。他們利用這些數(shù)據(jù)來評估企業(yè)網(wǎng)絡(luò)安全態(tài)勢的成熟度。然后，他們開始進行更深入的潛水，尋找開放的端口以及保護不力的領(lǐng)域，如報廢系統(tǒng)和管理不當(dāng)?shù)馁Y源。在了解了操作系統(tǒng)的運行情況后，他們就能知道是否有什么東西可以用來發(fā)動黑客攻擊。

黑客在尋找薄弱的安全環(huán)節(jié)方面具有很強的適應(yīng)性

黑客通常不會僅僅為了利用漏洞或任何一種策略而接近企業(yè)。相反地，當(dāng)他們與企業(yè)互動時，他們非常能適應(yīng)出現(xiàn)在自己身上的不同機會。他們會參與廣泛的發(fā)現(xiàn)和枚舉過程，檢查企業(yè)存在的薄弱環(huán)節(jié)的指標(biāo)。這些因素可能是缺乏Web應(yīng)用防火墻、存在太多匿名訪問服務(wù)或其他任何數(shù)量的指標(biāo)。

如果沒有發(fā)現(xiàn)任何吸引人的元素，那么黑客侵入的可能性就會大大降低。然而，如果有什么東西激起了他們的興趣，他們就會從那里開始升級攻擊。這就是企業(yè)應(yīng)該從黑客的角度而非他們自己的角度來評估企業(yè)安全的原因所在。

了解黑客的思維模式和動機

還有專家認(rèn)為，了解黑客為什么要攻擊企業(yè)，以及為什么要攻擊你的企業(yè)同樣至關(guān)重要。你只是勒索軟件的目標(biāo)嗎?或者你有機密信息嗎?如果我是一名犯罪分子，我怎樣才能最好地利用這些來牟利或造成最大的傷害?

這就涉及到動機和心態(tài)問題，安全領(lǐng)導(dǎo)者也可以利用這些來完善企業(yè)的安全策略。

尚普蘭學(xué)院副教授Adam Goldstein認(rèn)為，企業(yè)的目標(biāo)是專注于識別對手或敵對團體，并確定他們的意圖。它是破壞性的嗎?是出于經(jīng)濟動機還是知識產(chǎn)權(quán)盜竊?為其他目標(biāo)獲取資源?他們是否使命必達(dá)，所以無論防御有多強，他們都會不斷地嘗試、嘗試、再嘗試?還是他們只是在尋找機會?了解所有不同的對手以及他們的意圖，可以幫助企業(yè)識別不同類型的風(fēng)險。

這樣的調(diào)查很重要，因為它經(jīng)常會顛覆錯誤的假設(shè)，有時還會讓企業(yè)領(lǐng)導(dǎo)人發(fā)現(xiàn)，他們對黑客的吸引力比自己想象得還要大。舉個例子，大概10年前，境外黑客瞄準(zhǔn)了與美國政治人物和機構(gòu)有關(guān)聯(lián)的教師，他們使用技術(shù)來鎖定和獲取既無貨幣價值又非研究文件的通信，比如電子郵件和文件。事實上，他們真正關(guān)注的是獲取可能在國際政治格局中有價值的通信，以及一些間諜元素。此事著實打了高等教育界一個措手不及，不過，這也最終改變了高等教育界的安全策略。

不具備黑客思維會留下安全缺口

不過，即便如此，許多企業(yè)的安全部門仍未把黑客視角納入他們的戰(zhàn)略和防御體系。一些企業(yè)開展?jié)B透測試只是為了合規(guī)目的，卻并未評估他們可能淪為攻擊目標(biāo)的原因。以電信公司為例，它可能是通過勒索軟件攻擊尋求經(jīng)濟回報的黑客的目標(biāo)。但如果該電信公司也支持警方的通信，它也可能淪為更持久的威脅行為者的目標(biāo)，以發(fā)起更具破壞性的攻擊活動。

這就強調(diào)了驗證假設(shè)的重要性。你對攻擊者可能采取的路徑做了什么假設(shè)?通過成立一個紅隊來挑戰(zhàn)這些假設(shè)并驗證它們。CISO及其團隊必須權(quán)衡這樣一個事實：黑客與他們一樣可以訪問所有的安全博客、培訓(xùn)和工具。

操作和利用黑客思維

毫不奇怪，安全團隊在培養(yǎng)像黑客一樣思考的能力和利用演習(xí)獲得的見解方面面臨挑戰(zhàn)。安全領(lǐng)導(dǎo)必須為任務(wù)投入資源，而這些資源通常是人，而不是可以部署和運行的工具和技術(shù)，對于資源緊張的安全團隊和努力尋找人才的安全企業(yè)來說，所有這些都是一項艱巨的任務(wù)。

此外，CISO可能會發(fā)現(xiàn)很難為這些活動獲得資金，因為很難證明它們的價值，而且支持這些活動的一些工具也相對昂貴。

安全團隊可能還會發(fā)現(xiàn)，將他們自己的技能集從防御(例如，識別和關(guān)閉漏洞)轉(zhuǎn)移到進攻極具挑戰(zhàn)性，因為本質(zhì)上，這是一種犯罪心態(tài)。而且在防御行業(yè)工作的人(白帽黑客)可能無法總是考慮到(黑客們必須)低調(diào)行事的意愿。

盡管如此，專家們認(rèn)為，訓(xùn)練藍(lán)隊的紅隊技能還是值得的。企業(yè)現(xiàn)在也可以獲得越來越多的資源來幫助他們實現(xiàn)這種轉(zhuǎn)變。這些資源包括NIST框架、MITRE Engage和MITRE ATT&CK。此外，還有來自供應(yīng)商、信息共享與分析中心、以及學(xué)術(shù)界、政府和類似實體的威脅情報。

如今，關(guān)于黑客思維的會議議程項目證明，越來越多的安全團隊正試圖像黑客一樣思考，以此為他們的戰(zhàn)略提供信息。而向黑客思維轉(zhuǎn)變也確實有諸多好處，例如，了解黑客的做法將有助于企業(yè)重新調(diào)整安全優(yōu)先事項，以最大限度地發(fā)揮其效用。