安全是一个博弈对抗的过程,网络安全的本质是攻防对抗。攻击者会不断寻找防护方的弱点,防护方也需要不断研究黑客思维,探索应对黑客攻击的方法,提升安全防护的能力和效率。
安全圈向来不安全,每天发生的泄露、攻击事件不胜枚举,全球各大知名公司纷纷上榜。黑客攻击手段日益精进、多变是不可否认的现实,如今,我们不敢妄言有哪个安全产品是永远不会被攻破的。
SafeBreach公司CEO Guy Bejerano 表示:
“企业需要改变自身的思维方式,通过模拟黑客攻击来不断地锻炼自己的安全防御和运营团队。”
面临着网络犯罪分子和国家网络间谍的多方威胁,Bejerano表示,企业需要专注最新的zero-day威胁,了解黑客的能力、特点和动机,做到像黑客一样思考,除了要考虑技术方面的攻击,还要考虑以下一些其他方面的事情:
1)黑客要对我们进行攻击的动机是什么?是否是有针对性的攻击?他们想得到什么?
2)黑客会如何对我们的应用程序发起攻击?
3)黑客会在什么时候对我们的应用程序发起攻击?
只有“知己知彼”,思想上抢先一步了解攻击者的能力、意图、手段,才能在行动中占得先机,提前构建有针对性的防护措施,避免无知引发的灾难。
Bejerano还表示:
“入侵网络是一回事,但是窃取数据又是另一回事。通过模拟入侵,我们可以发现黑客是如何实现攻击、入侵行为的,由此寻找出最有效的方式来防止重要数据资产(信用卡数据、社保号码或源代码等)被窃取”
像黑客一样思考 抢占先机
在攻击和防御的对抗中,攻击方通常掌握着主动性,而防御方必须具备能够和攻击方相抗衡的智能。因此,掌握攻击者的入侵方法和手段,发现信息系统的潜在脆弱性,分析攻击的规律及轨迹,以此作为防范依据就会大大提升防范的效果。
1. 使用真正的Hacker Playbook
首先,我们需要了解黑客入侵你的网络,窃取数据或有价值的信息所使用的kill chain或攻击路径。为此,你需要运行多种攻击手段来模拟攻击自身网络的安全防御系统。通过模拟攻击,可以了解你的安全网关是否能够阻止exploit kits被下载;你的IPS是否可以阻止黑客使用恶意软件渗透网络;或是你的安全控制系统是否能够识别被泄露的源代码。安全管理者需要将黑客攻击的方法和技术纳入自身的防御体系,更好的实现网络安全防护。
兴趣拓展
FediaFedia:在线黑客模拟攻击演示地址:http://fediafedia.com/neo/
2. 使用生产环境进行攻击模拟
不要使用测试环境!网络攻击是动态的,因此,在真实的生产环境中运行模拟攻击才能真正的了解是否有攻击者能够渗透网络、窃取数据。要做到这一点,企业需要确保模拟攻击不会对网络产生任何影响,同时又要做到对企业安全防御系统实施攻击。根据SafeBreach的说法,唯一可以帮助企业实现这一操作的是Metrinome,政府机构可以通过空军研究实验室(AFRL)免费使用。
3. 着眼整个网络kill chain
通过分析整个kill chain,你可以判断出该公司的强项和弱点,并确定出阻止攻击行为的最有效途径。例如,如果模拟攻击显示黑客可以通过窃取用户权限,轻而易举地访问网络,那么你就可以加强访问层的安全管理,达到事半功倍的效果。
一旦你掌握了攻击者最关键的攻击环节,企业就可以抢先实施最有效地一步,打破整个kill chain。
4. 制定持续安全验证(continuous security validation)
最具创新性的CISO已经认识到,安全团队对安全事件的反应时间并不会削弱攻击现状。无论是试图寻求军事或商业情报的国家网络间谍行动,或是试图窃取信用卡信息的网络犯罪分子,这些群体都有几十个全职黑客专注于渗透入你的网络。他们只需要成功一次就可以达成目的,而你必须每次都100%的成功,才能阻止攻击者目的达成。这就是为什么“持续安全验证(continuous security validation)”这个概念需要成为企业安全管理的一部分。
你必须不断地验证你的假设,不断的问这些问题:你的安全控制工作是否达到预期效果?安全运营中心是否做好面临攻击的准备?我们需要多久验证一次我们的网络风险?理想情况下,这必须是持续性的 ——一些公司可能会想每天做一次,还有一些公司可能直接将其绑定到他们的变更控制系统中运行。
5. 鼓励安全团队转变思维
CISO有两个重要的目标:首先,他们必须减少攻击面,降低黑客的攻击点。其次,CISO必须减少漏洞曝光时间。我们常常发现,黑客已经渗透到你的网络200天甚至更长的时间。一般来说,一个公司的“red”团队白帽黑客发现网络中的漏洞,随后简单地将其报告给每天负责运行和管理网络安全运行的“blue”团队。这种模式必须改变,CISO需要改变思想设置,“red”团队继续负责监视网络,但是也需要和“blue”团队密切合作,寻求缩减反应时长和降低公司攻击次数的有效途径。实际上,企业需要建立一个“purple”团队协同努力,抵御攻击。
攻防对抗 国家先行
加拿大
1999年开始建立“电脑黑客”科研小组,其工作重点就是模拟黑客制造电脑病毒,然后有针对的设计出更加可靠的防备措施,此外,还包括研究查找出电脑黑客的方法等。
美国
美国是开展计算机网络攻防术研究最早的国家。在计算机病毒方面,政府拨出专款研制高效的军用计算机病毒,以及利用有线,无线方式注入敌方计算机系统、破坏敌方指挥、控制、通信系统的技术手段,通过攻击手段达到最好的防御效果。
俄罗斯
专门成立新的国家信息安全与信息对抗领导机构,建立了特种信息战部队,将重点开发高性能计算机软件、智能化技术、信息攻防技术等关键技术。
英国
1999年开始专项拨款,训练电脑黑客,模拟黑客攻击,进行有针对性的高效防护,以重点保护其核战指挥系统和预警系统等。
结语
诚然,黑客与安全人员有着很大的区别。前者非常独立,总是一个人在不分昼夜的编写代码,测试程序,寻找机会,追逐利益,甚至任性妄为。而后者则是团队的一份子,有着各种规定或纪律的约束,包括资源使用,部门配合,公司政策等。
但是,日益严峻的网络形式需要我们像黑客一样思考,拥有和组织业务相结合的知识,有助于我们更好的理解为什么会被黑客盯上,以及我们的组织会遭遇怎样的攻击,这些见解对于弥补黑客可能会利用的漏洞和攻击路径是必不可少的。
发表评论