黑客思維:CISO確定防御優先級的六個關鍵問題
責編:gltian |2021-01-07 13:49:12過去一年中,伴隨著數字化轉型的腳步,大量企業和應用開始向云端遷移,新冠病毒大流行和遠程辦公則加速了這一過程。在企業IT安全團隊正在努力適應云原生環境的同時,對云系統(數據)的攻擊在去年暴增了250%。
這意味著藍隊必須變得敏捷才能有效保護其攻擊面。這里的敏捷,不僅是指安全牛此前報道過的“網絡安全急需一場敏捷化革命”中的敏捷,也包括對紅隊邏輯和黑客思維的換位思考。
日見增多的的云中資產給藍隊帶來了巨大挑戰,但并不意味著攻擊將變得更加輕松。一個大型企業的云中資產數量可達數萬,攻擊者沒有時間深入研究每一項資產。云中資產的龐大規模不但對安全團隊是一個挑戰,對于攻擊者也同樣如此。攻擊者的時間和預算也是有限的,技術能力也存在上限。
對于藍隊而言,面臨的挑戰也是顯而易見的,很多安全團隊被淹沒在安全警報中,試圖從噪音中尋找有用信息,這些安全團隊往往“武裝到了牙齒”——配備了數十個安全工具、清單和一堆防御策略和流程,但是在與紅隊的對抗中依然存在巨大差距。一個主要的原因就是藍隊沒能理解紅隊邏輯——攻擊者如何評估資產價值,并用來指導安全策略和防御優先級的制定。
曾協助數百位CISO對抗紅隊的網絡安全專家David Wolpoff認為,CISO在制定防御優先級時,應當基于“紅隊思維”或“黑客思維”,提出以下六大問題:
從外部可以看到目標的哪些有用信息?(可枚舉)
攻擊面上的每個目標都有“故事”,有些故事比其他故事更詳細。攻擊者收集的防御方使用的特定技術(或組織中的某個人)的信息越多,他們越有把握計劃下一階段的攻擊,更有信心地入侵網絡。有關目標的詳細信息即可枚舉性——攻擊者可從外部采集目標信息的詳細程度。例如,根據服務及其部署,Web服務器目標信息包括從無服務器標識符到特定服務器名稱(“Apache”或“Apache 2.4.33”)的任何內容。如果攻擊者可以看到正在使用的服務的確切版本及其配置,就可以實施精確的漏洞利用和攻擊,從而最大程度地提高成功率,降低被檢測幾率。
資產對攻擊者有多大價值?(關鍵性)
黑客每一步行動都需要付出努力、時間、金錢和風險的代價。最好的攻擊方法是有的放矢,而不是盲人摸象。一些目標比其他目標更有“潛力”,可以將攻擊引入深處。因此攻擊者在采取行動之前會先評估目標的重要性,以便將精力集中在相關度最高的目標上。VPN和防火墻之類的安全設備,或外圍的遠程支持解決方案,是通往內部網絡“寶庫”的眾所周知的鑰匙。同樣,憑據存儲和身份驗證系統一旦被入侵也將讓攻擊者獲得更多賬戶憑據。總之,攻擊者優先尋找的,是那些能提供最佳立足點和訪問權限的工具。
該資產是否已知可利用?(弱點)
與經驗常識相反,在CVE數據庫里CVSS嚴重性評分很高的漏洞(及相關資產)并不一定意味著攻擊者會對目標產生極大的興趣。實際上,有許多“嚴重、可蠕蟲、滅霸式的”的漏洞實際上無法利用。很多漏洞的利用都是理論上的,或者依賴特定的環境,而攻擊者則必須考慮攻擊資產目標的成本和可能性。漏洞是否存在可用的概念證明(POC)是一個很好的指標。
如果業界對某個特定漏洞進行了大量研究和分析,那么漏洞利用的難度也會極大降低。總之,時間就是金錢,漏洞利用需要時間,因此,黑客必須考慮公開可用的工具,負擔得起的工具或可以購買到的工具(例如Canvas或Zerodium)。對于特定資產,在某些情況下對手會購買以前開發過的漏洞利用程序,這種方式比許多人意識到的要多得多。
被利用的資產是否“宜居”(利用后的潛力)
所謂資產的“環境宜居性”,是攻擊者對長期潛伏、活動而不被檢測到的駐留安全性的一種定義。缺乏安全防御措施,惡意軟件可以在其中來去自如、無影無蹤的資產被認為是“宜居”的,因此攻擊者首選的目標往往是藍色團隊無法部署任何防御措施的目標。
諸如端點之類的受到充分保護和監視的目標對于攻擊者來說都是不夠“好客”的。而桌面座機電話、VPN設備以及物理聯網并具有熟悉的執行環境的,不受保護的硬件設備都是很好的攻擊對象。
許多設備基于Linux開發,有完整的用戶空間和預裝的黑客熟悉的工具,因此是具有較高利用后潛力的目標。
利用漏洞需要多長時間?(研究潛力)
從鎖定特定攻擊目標到獲得必要的漏洞利用和攻擊技術還有很長的路要走。在偵查特定目標時,黑客必須評估他們成功利用新漏洞的可能性以及成本。攻擊者在實施攻擊之前,往往會用漏洞研究(VR)進行成本評估,包括研究成本以及測試和完善工具的成本,并據此判斷目標是否值得攻擊。文檔健全,經過充分研究或開放源代碼的工具是更容易得手的目標。昂貴而“神秘”的平臺,例如VoIP系統之類的硬件,或者那些價格昂貴的安全設備,往往需要特殊的技能和資源來實施攻擊(即使這些系統存儲的數據或者憑據很有價值)。任何入侵壁壘都會降低攻擊者對特定平臺、工具或服務的攻擊欲望。
開發的漏洞利用程序是否具備可復用性?(適用性)
從防御思維切換到黑客邏輯的最大不同之處是,你需要了解攻擊者的業務模型。攻擊者開發漏洞利用工具需要投入大量時間、資源和人力,因此他們想要最高的投資回報率。您的組織很可能是許多黑客感興趣的(同類)目標之一,因此黑客在攻擊一個目標時,會評估漏洞利用工具對多個受害者的適用性,從而將攻擊成本分攤給更多受害者。攻擊者總是希望能夠基于有限的資源,優先針對廣泛采用的技術開發漏洞利用工具,以期創造高收益。還記得Mac電腦一度被人們認為對黑客和病毒免疫嗎?事實上,這是因為微軟擁有更多的市場份額,因此利用Windows的回報率會更高,而不是因為Mac系統更安全。如今隨著Windows的攻擊難度提升,而Mac在企業中的部署激增,這種情況也發生了變化。同樣的道理,iOS漏洞利用的成本曾經比Android漏洞要昂貴得多,但是隨著iOS漏洞越來越普遍,在市場力量的推動下,iOS漏洞利用正變得(相對)便宜。
總之,攻擊者不會根據漏洞的CVSS評分高低來確定攻擊目標。一次攻擊策劃設計多個組成部分,而攻擊的執行則包含一系列的戰術、技術和流程。攻擊者必須在實現目標的同時還要管理資源,攻擊者實際上是在“經營”業務,會為了達成業務目標而進行取舍。防御者也應該牢記這一點。企業安全防御需要把好鋼用在刀刃上,有的放矢,對所有資產不加區別的保護,對所有攻擊者不加區別的防御,都是不科學的。攻擊總是不可避免的,在風險管理的語境里,就是把防御資源以最佳方式進行防御性下注,以優化業務成果。像攻擊者那樣思考可以確定防御優先級,聚焦那些對攻擊者來說價值較高、難度較低的資產,同時評估哪些安全加固的成本會超出收益。
下一篇:日產公司源代碼泄露