作为MITRE Corp网络对战小组的组长,Maretta Morovitz指出:“了解自己的敌人是一件非常必要,并且有着极大价值的行为。”Maretta Morovitz常常会利用网络不法分子的知识来分散、欺骗和转移这些不法分子的注意力,同时以这为基础制定策略,帮助并阻止网络攻击者的违法行为。
她说,这意味着安全从业人员可以放置诱饵或制造假象,利用攻击者首次侵入系统环境时的预期,或创造不符合这些期望的场景来迷惑他们。网络对战小组框架建设部的小组组长莫罗维茨对此表示:“这就叫通过了解对手的实际行为来推动防御。”
知己知彼的概念早在公元前六世纪的《孙子兵法》上就有过详细的解释,“既要知敌我天地之情,又要知克敌制胜之道。”这在网络安全方面也常常被人提及并应用。国外安全专家表示,类似于像白帽子这样的“安全义士”可以追溯到几十年前,他们的作用是充当黑客、充当威胁行为者,以发现企业IT环境中的弱点。
同样,国外安全专家表示,他们的安全负责人长期以来一直致力于确定他们可能面对的对手是谁,以及这些攻击者可能会有着怎样的目标。然而,这些安全负责人想深入研究黑客性思维的方式受到了可用资源、知识以及传统策略的限制。传统策略首先强调的是外围防御,接着是分级防御,传统策略的目标是为最有价值的资产提供最高保护,而并不是围绕“攻击意图”在实施。
如今,国外安全专家们开始倡导CISO及其安全团队应该使用威胁情报、安全框架和白帽子团队技能为主要防御措施,也就是倡导安全从业人员该像黑客一样思考,利用这种洞察力来制定安全策略。他们说,这意味着安全从业人员要开始考虑动机和心态,这些动机和心态反过来会影响攻击者的持续时间、攻击路径和攻击目标,所有这些方向都可能与过去假设的内容大相径庭或变得更为广泛。这种洞察力将决定纵深安全防御的方向,安全策略应该被真正的安全威胁所驱动。
Nash Squared和Harvey Nash USA的CISO吉姆·蒂勒(Jim Tiller)表示:“如果你不能像黑客一样思考,你就无法采取适合于各种场景和环境的安全策略。你对威胁了解得越多,你就越能有效地应用这些安全技术。”
2022年安全培训协会SANS针对白帽子进行了首次调查,报告现实,白帽子们旨在了解攻击者的思维方式、使用的工具、攻击频率、专业化程度、最喜欢的目标,等等。
报告还指出,这些见解对于接下去越来越复杂、越来越难以保护的攻击面有着重要的影响,因为这些见解直接决定了投资的方向。可以看到,投资于安全技术以减轻各种威胁的组织,会让经常受到攻击的端口和协议变得异常开放,而攻击者会选择抵抗力最小的路径或他们最熟悉的路径进行攻击。因此,很多时候,忽视或假定的安全带来了太大的风险。”
与莫罗维茨的观点一样,SANS报告也指出了“洞察你的对手,无论这是否会给我们带来制裁”的理念,并指出这“可以成为安全分析师和经营者的指路明灯”。然而,研究发现,许多安全团队没有这种洞察力,他们也没有在寻求这种洞察力。
亚历克斯·斯皮瓦科夫斯基(Alex Spivakovsky)对此表示:“安全团队对黑客会如何攻击我们的网络存在误解,许多安全团队过于关注漏洞的管理,并以尽快修补漏洞为最终目标,因为他们认为黑客常有的手段就是利用这些漏洞。而实际上,这并不能降低企业的风险,因为这与黑客的实际行为不符。”
斯皮瓦科夫斯基是一名经验丰富的渗透测试人员,曾在以色列国防部负责保护国家关键基础设施。他表示,黑客们的运作更像是一家企业,他们会最大限度地减少投入并致力于将回报最大化,换言之,他们通常会希望尽可能少地付出努力,以实现利益最大化。
斯皮瓦科夫斯基指出,通常黑客在入侵了企业的IT环境后会建立活跃的连接,他们会收集用户名、IP地址和电子邮件等数据,他们会用这些来评估该组织网络安全态势的成熟度,然后他们会进行更深入的挖掘,以寻找开放的端口和保护不力的区域,比如报废的系统或管理不善的资源。斯皮瓦科夫斯基说:“当黑客了解到了操作系统的运行情况后,他们才会开始研究有什么漏洞能用来发起黑客攻击。”
斯皮瓦科夫斯基说:“黑客通常不会只利用某个流行的漏洞或任何一种特定的策略来接近组织,相反,他们更擅长在与组织互动时找到突破口。黑客会用大量的时间查看系统存在着哪些薄弱环节,检查组织是否存在不良的安全环境,比如是否缺乏web应用程序防火墙,或是否存在太多匿名就可访问的服务,等等。”
“如果组织系统不存在这些所谓的‘吸引黑客的因素’,那他们闯入的可能性就会大大降低。但是,如果存在一些突破口激发了他们的兴趣,他们就会从那里开始不断攻击。”斯皮瓦科夫斯基说,这就是为什么组织应该从黑客的角度而不是从自己的角度来评估企业的安全性。
他补充道:“这和弱肉强食的世界如出一辙,黑客只欺负那些看上去好欺负的,所以CISO得扪心自问:‘你为什么会成为黑客的目标?你为什么让人觉得你是好欺负的?’”
国外也有安全专家指出,了解黑客为什么要发起攻击,以及“他们为什么要攻击你的组织”,这两点也很重要。纳什广场的CISO蒂勒说:“你只是单纯的勒索软件的目标吗?或者,你有可乐的秘密配方吗?因此你得思考:如果我是罪犯,我会如何利用这一点来赚钱?我该怎样才能造成最大的威胁?”
这就涉及到了动机和心态,安全负责人也可以利用这些动机和心态来完善他们的安全策略。
网络安全中心(Leahy Center for Digital Forensics&Cybersecurity)学术总监亚当·戈尔茨坦(Adam Goldstein)表示,作为安全从业者,我们得识别对手或敌对团体的特征,并同时确定他们的意图。“他们只是为了破坏吗?还是为了利益?是知识产权盗窃吗?还是为了获取其他资源?他们是否专注于任务?是否无论防御有多强,他们都会坚持不懈?还是他们在寻找各种机会?了解所有不同的对手以及他们的意图,可以帮助我们识别不同类型的风险。”
戈尔茨坦表示,这种调查尤为重要,因为有时它会带来真相,会让企业领导人透彻,原来自己的企业比他们想象的更贵重,是黑客眼里更大的目标。这样的分析可有助于大学系统抵挡近十年的黑客攻击,外国部分黑客组织以“教师与美国政治人物、政治机构间的关系”为目标。
戈德斯坦说:“很多黑客组织会使用技术锁定大学系统,并获取通信数据,比如各种电子邮件和文件。这些通信本身不值钱,也不是研究文件,他们真正在乎通信本身,因为这些通信在国际政治环境中可能具有间谍元素。这真是让高等教育界措手不及,因此我们也不得不改变了高等教育界的安全策略。”
国外安全专家表示,许多企业安全部门并未将黑客观点纳入他们的战略和防御中。IBM X-Force Red网络对战小组的主管克里斯·汤普森(Chris Thompson)表示:“我们仍在组织没有考虑到的领域里经历漏洞和攻击。”
汤普森表示,从事渗透测试的组织是在遵守法律法规,他们并不评估自己可能会成为攻击目标的原因。他说,以一家电信公司为例,黑客可能会通过勒索软件攻击到他们,这表面勒索软件组织正在寻找各种可被攻击的目标,但如果该电信公司还有支持警方通信的功能,那么它则更会成为黑客眼里的香馍馍,因为一旦成功拿下他们的数据,就会给社会造成更大、更持久的威胁。
汤普森说:“这就是为什么要告诉客户‘得去挑战假设’。对攻击者会有怎样的攻击路径得提出假设,然后让白帽子们来挑战这些假设以验证各种可能性。CISO及其团队必须明白这么个事实,即黑客拥有与他们一样‘访问所有安全博客、培训和工具的权限’,你们所知道、所能拥有的,黑客也能通晓!”
安全团队在培养“像黑客一样思考”的能力时面临着不小的挑战。Morovitz表示,安全负责人必须为这项任务投入资源,而这些资源通常代表着人员,而不是那些被部署和运行的工具或技术,因此,对所有资源紧张、缺乏人才的安全团队来说,这都是一项艰巨的任务。
此外,CISO会发现,为此类投入获得预算同样是非常困难的,因为很难证明它的回报。莫罗维茨解释道:“对于组织来说,很难将注意力集中在一些没有实例可以证明的事情上,即使这方面的安全事件常常发生,而且距离不远,但仍然很难证明其价值。同时,我们都知道,支持这些活动的工具和环境并不便宜。”
同时,安全团队也会发现,将自己的技能从防御转变为进攻一样具备挑战性。正如蒂勒所说:“这是一件非常困难的事,因为黑客通常都拥有一种犯罪心态,而从事安全工作的人,他们可能想象不到黑客们的心态。”
尽管如此,国外专家们表示,在红队里训练蓝队的技能也是值得的。
组织现在也可以使用越来越多的资源来帮助他们实现这一转变,这些资源包括NIST框架、MITRE Engage和MITRE ATT&CK。此外,还有来自供应商的威胁情报,信息共享和分析中心,以及学术、政府和相关实体。
那CISO/CSO到底是否该像黑客一样思考安全问题?国内安全专家如此建议。
某互联网企业安全专家赖东方认为,这是早已在业内达成共识的思考方式了。“安全从业人员,无论是红队角色还是蓝队角色,都需要考虑到真正的攻击者会做什么,想做什么,能做什么,攻击来源、目的、手段、成本、收益、风险都要考虑到。安全从业人员了解一些攻击细节有助于清晰地认识攻击的性质,从攻击者的角度看安全有时候能让我们找到最直接有效的防护方法。全盘来说,攻击者视角有助于形成一个比较直观清晰的防护矩阵,也就是大家常提到的的攻击面管理。但是,作为安全从业人员,要考虑的角度还有很多,攻击只是一个方面,或者说攻击只是防护要考虑的一个点,防御面管理也值得考虑。”
赖东方介绍,以前出了安全事件,浮躁的人们会指责攻击者很坏,怪竞争对手无耻,怪自己用的组件又出了0day,怪自己的供应链不靠谱,怪公司员工缺乏安全意识。而作为安全从业人员,我们应该想想是不是低估了黑产的耐心和实力,或者高估了防护系统的能力?一旦某些关键点被突破,是否能及时发现和止损?二级防御能力评估是否到位?
此外,赖东方提出,安全涉及的要素有多个,安全从业人员都要权衡考虑到。说得偏一些,有的安全事件并没有恶意人员参与,有时候业务自身的可用性问题导致的危害更严重。2021年的郑州特大暴雨导致了网络和电力中断多日让大家无法购物和出行,疫情期间某些城市的健康码故障导致地铁站瘫痪,这让我们意识到了网络已经成为一个单点故障因素。
最后,赖东方表示:“俄罗斯也曾经耗费巨资实施了一次断网演习。我们年年护网考虑的都是攻击者的直接威胁。是否也可以考虑拓展一下安全的范围,比如实施一次这种针对可用性的安全演习?”
而航天开元等保测评中心技术专家杨海青表示,安全从业人员是一个大范围,从人员性质来分,可简单分为管理者和技术者。杨海青认为安全的防护思考要从几个方面来看,一是攻防对抗角度,二是行业特点角度,三是安全投入角度,对于有一定能力的管理者而言,应该要能同时兼顾到,而如果安全负责人对技术并不特别深入,则至少需要了解攻击对业务带来的影响和危害,包括来自监管方的管理,等等。另一方面,技术类的从业人员一定更需要从黑客的角度来思考。
“其中尤其重要的点在于,攻击暴露面的管理和漏洞的管理,而这两方面在管理中也有很多对应的难度,而且在不同行业中难度的跨度也会有一定的差异性。攻击暴露面涉及到对资产的管理和防护能力有效性验证,而漏洞的发现、危害的评估及修复涉及到技术能力、管理能力的协调和妥协。”
因此,杨海青对安全从业人员建议道:
一、安全意识不能放松,不要认为自己懂安全就游刃有余了,要避免灯下黑。
二、要根据行业特点和实际需求出发,将有限的费用投入到有效的建设中。
三、根据实际情况建设好制度、流程,并且要能落地执行。
四、利用好已有的技术能力,制定适合的策略,挖掘和发挥出最大效能。
五、不要故步自封,需要了解安全新技术的发展趋势,拥抱新技术带来防护能力的提升。
六、业务的等保合规管理要严格,避免出事后引发更大的监管影响。
某互联网企业安全专家白玉堂表示,安全从业人员非常有必要站在黑客的角度考虑安全问题,同时要多做安全演练、攻防对抗等安全实践,企业若有条件就自己做,没有条件可以找第三方合作。
白玉堂认为,在这些实践中最重要的就是攻防对抗,除此之外,网络资产的收集整理,薄弱点的梳理与重点关注,新型漏洞的关注与学习,关键岗位安全意识的培训,攻击发现与阻断,数据丢失与恢复等等,这些都是需要企业安全团队去巩固的,因为黑客打进来是一条线,而防守是一个面。
《Know thy enemy: thinking like a hacker can boost cybersecurity strategy》
齐心抗疫 与你同在 
原文始发于微信公众号(安在):“黑客思维”在安全工作中的价值体现
