黑客思维：CISO确定防御优先级的六个关键问题

过去一年中，伴随着数字化转型的脚步，大量企业和应用开始向云端迁移，新冠病毒大流行和远程办公则加速了这一过程。在企业IT安全团队正在努力适应云原生环境的同时，对云系统(数据)的攻击在去年暴增了250%。

[[373792]]

这意味着蓝队必须变得敏捷才能有效保护其攻击面。这里的敏捷，不仅是指安全牛此前报道过的“网络安全急需一场敏捷化革命”中的敏捷，也包括对红队逻辑和黑客思维的换位思考。

日见增多的的云中资产给蓝队带来了巨大挑战，但并不意味着攻击将变得更加轻松。一个大型企业的云中资产数量可达数万，攻击者没有时间深入研究每一项资产。云中资产的庞大规模不但对安全团队是一个挑战，对于攻击者也同样如此。攻击者的时间和预算也是有限的，技术能力也存在上限。

对于蓝队而言，面临的挑战也是显而易见的，很多安全团队被淹没在安全警报中，试图从噪音中寻找有用信息，这些安全团队往往“武装到了牙齿”——配备了数十个安全工具、清单和一堆防御策略和流程，但是在与红队的对抗中依然存在巨大差距。一个主要的原因就是蓝队没能理解红队逻辑——攻击者如何评估资产价值，并用来指导安全策略和防御优先级的制定。

曾协助数百位CISO对抗红队的网络安全专家David Wolpoff认为，CISO在制定防御优先级时，应当基于“红队思维”或“黑客思维”，提出以下六大问题：

从外部可以看到目标的哪些有用信息?(可枚举)

攻击面上的每个目标都有“故事”，有些故事比其他故事更详细。攻击者收集的防御方使用的特定技术(或组织中的某个人)的信息越多，他们越有把握计划下一阶段的攻击，更有信心地入侵网络。有关目标的详细信息即可枚举性——攻击者可从外部采集目标信息的详细程度。例如，根据服务及其部署，Web服务器目标信息包括从无服务器标识符到特定服务器名称(“Apache”或“Apache 2.4.33”)的任何内容。如果攻击者可以看到正在使用的服务的确切版本及其配置，就可以实施精确的漏洞利用和攻击，从而最大程度地提高成功率，降低被检测几率。

资产对攻击者有多大价值?(关键性)

黑客每一步行动都需要付出努力、时间、金钱和风险的代价。最好的攻击方法是有的放矢，而不是盲人摸象。一些目标比其他目标更有“潜力”，可以将攻击引入深处。因此攻击者在采取行动之前会先评估目标的重要性，以便将精力集中在相关度最高的目标上。虚拟专用网和防火墙之类的安全设备，或外围的远程支持解决方案，是通往内部网络“宝库”的众所周知的钥匙。同样，凭据存储和身份验证系统一旦被入侵也将让攻击者获得更多账户凭据。总之，攻击者优先寻找的，是那些能提供最佳立足点和访问权限的工具。

该资产是否已知可利用?(弱点)

与经验常识相反，在CVE数据库里CVSS严重性评分很高的漏洞(及相关资产)并不一定意味着攻击者会对目标产生极大的兴趣。实际上，有许多“严重、可蠕虫、灭霸式的”的漏洞实际上无法利用。很多漏洞的利用都是理论上的，或者依赖特定的环境，而攻击者则必须考虑攻击资产目标的成本和可能性。漏洞是否存在可用的概念证明(POC)是一个很好的指标。

如果业界对某个特定漏洞进行了大量研究和分析，那么漏洞利用的难度也会极大降低。总之，时间就是金钱，漏洞利用需要时间，因此，黑客必须考虑公开可用的工具，负担得起的工具或可以购买到的工具(例如Canvas或Zerodium)。对于特定资产，在某些情况下对手会购买以前开发过的漏洞利用程序，这种方式比许多人意识到的要多得多。

被利用的资产是否“宜居”(利用后的潜力)

所谓资产的“环境宜居性”，是攻击者对长期潜伏、活动而不被检测到的驻留安全性的一种定义。缺乏安全防御措施，恶意软件可以在其中来去自如、无影无踪的资产被认为是“宜居”的，因此攻击者首选的目标往往是蓝色团队无法部署任何防御措施的目标。

诸如端点之类的受到充分保护和监视的目标对于攻击者来说都是不够“好客”的。而桌面座机电话、虚拟专用网设备以及物理联网并具有熟悉的执行环境的，不受保护的硬件设备都是很好的攻击对象。

许多设备基于Linux开发，有完整的用户空间和预装的黑客熟悉的工具，因此是具有较高利用后潜力的目标。

利用漏洞需要多长时间?(研究潜力)

从锁定特定攻击目标到获得必要的漏洞利用和攻击技术还有很长的路要走。在侦查特定目标时，黑客必须评估他们成功利用新漏洞的可能性以及成本。攻击者在实施攻击之前，往往会用漏洞研究(VR)进行成本评估，包括研究成本以及测试和完善工具的成本，并据此判断目标是否值得攻击。文档健全，经过充分研究或开放源代码的工具是更容易得手的目标。昂贵而“神秘”的平台，例如VoIP系统之类的硬件，或者那些价格昂贵的安全设备，往往需要特殊的技能和资源来实施攻击(即使这些系统存储的数据或者凭据很有价值)。任何入侵壁垒都会降低攻击者对特定平台、工具或服务的攻击欲望。

开发的漏洞利用程序是否具备可复用性?(适用性)

从防御思维切换到黑客逻辑的最大不同之处是，你需要了解攻击者的业务模型。攻击者开发漏洞利用工具需要投入大量时间、资源和人力，因此他们想要最高的投资回报率。您的组织很可能是许多黑客感兴趣的(同类)目标之一，因此黑客在攻击一个目标时，会评估漏洞利用工具对多个受害者的适用性，从而将攻击成本分摊给更多受害者。攻击者总是希望能够基于有限的资源，优先针对广泛采用的技术开发漏洞利用工具，以期创造高收益。还记得Mac电脑一度被人们认为对黑客和病毒免疫吗?事实上，这是因为微软拥有更多的市场份额，因此利用Windows的回报率会更高，而不是因为Mac系统更安全。如今随着Windows的攻击难度提升，而Mac在企业中的部署激增，这种情况也发生了变化。同样的道理，iOS漏洞利用的成本曾经比Android漏洞要昂贵得多，但是随着iOS漏洞越来越普遍，在市场力量的推动下，iOS漏洞利用正变得(相对)便宜。

总之，攻击者不会根据漏洞的CVSS评分高低来确定攻击目标。一次攻击策划设计多个组成部分，而攻击的执行则包含一系列的战术、技术和流程。攻击者必须在实现目标的同时还要管理资源，攻击者实际上是在“经营”业务，会为了达成业务目标而进行取舍。防御者也应该牢记这一点。企业安全防御需要把好钢用在刀刃上，有的放矢，对所有资产不加区别的保护，对所有攻击者不加区别的防御，都是不科学的。攻击总是不可避免的，在风险管理的语境里，就是把防御资源以最佳方式进行防御性下注，以优化业务成果。像攻击者那样思考可以确定防御优先级，聚焦那些对攻击者来说价值较高、难度较低的资产，同时评估哪些安全加固的成本会超出收益。

【本文是IDC.NET专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文