安全是一個(gè)博弈對抗的過程,網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗。攻擊者會(huì)不斷尋找防護(hù)方的弱點(diǎn),防護(hù)方也需要不斷研究黑客思維,探索應(yīng)對黑客攻擊的方法,提升安全防護(hù)的能力和效率。
安全圈向來不安全,每天發(fā)生的泄露、攻擊事件不勝枚舉,全球各大知名公司紛紛上榜。黑客攻擊手段日益精進(jìn)、多變是不可否認(rèn)的現(xiàn)實(shí),如今,我們不敢妄言有哪個(gè)安全產(chǎn)品是永遠(yuǎn)不會(huì)被攻破的。
SafeBreach公司CEO Guy Bejerano 表示:
“企業(yè)需要改變自身的思維方式,通過模擬黑客攻擊來不斷地鍛煉自己的安全防御和運(yùn)營團(tuán)隊(duì)。”
面臨著網(wǎng)絡(luò)犯罪分子和國家網(wǎng)絡(luò)間諜的多方威脅,Bejerano表示,企業(yè)需要專注最新的zero-day威脅,了解黑客的能力、特點(diǎn)和動(dòng)機(jī),做到像黑客一樣思考,除了要考慮技術(shù)方面的攻擊,還要考慮以下一些其他方面的事情:
1)黑客要對我們進(jìn)行攻擊的動(dòng)機(jī)是什么?是否是有針對性的攻擊?他們想得到什么?
2)黑客會(huì)如何對我們的應(yīng)用程序發(fā)起攻擊?
3)黑客會(huì)在什么時(shí)候?qū)ξ覀兊膽?yīng)用程序發(fā)起攻擊?
只有“知己知彼”,思想上搶先一步了解攻擊者的能力、意圖、手段,才能在行動(dòng)中占得先機(jī),提前構(gòu)建有針對性的防護(hù)措施,避免無知引發(fā)的災(zāi)難。
Bejerano還表示:
“入侵網(wǎng)絡(luò)是一回事,但是竊取數(shù)據(jù)又是另一回事。通過模擬入侵,我們可以發(fā)現(xiàn)黑客是如何實(shí)現(xiàn)攻擊、入侵行為的,由此尋找出最有效的方式來防止重要數(shù)據(jù)資產(chǎn)(信用卡數(shù)據(jù)、社保號碼或源代碼等)被竊取”
像黑客一樣思考 搶占先機(jī)
在攻擊和防御的對抗中,攻擊方通常掌握著主動(dòng)性,而防御方必須具備能夠和攻擊方相抗衡的智能。因此,掌握攻擊者的入侵方法和手段,發(fā)現(xiàn)信息系統(tǒng)的潛在脆弱性,分析攻擊的規(guī)律及軌跡,以此作為防范依據(jù)就會(huì)大大提升防范的效果。
1. 使用真正的Hacker Playbook
首先,我們需要了解黑客入侵你的網(wǎng)絡(luò),竊取數(shù)據(jù)或有價(jià)值的信息所使用的kill chain或攻擊路徑。為此,你需要運(yùn)行多種攻擊手段來模擬攻擊自身網(wǎng)絡(luò)的安全防御系統(tǒng)。通過模擬攻擊,可以了解你的安全網(wǎng)關(guān)是否能夠阻止exploit kits被下載;你的IPS是否可以阻止黑客使用惡意軟件滲透網(wǎng)絡(luò);或是你的安全控制系統(tǒng)是否能夠識(shí)別被泄露的源代碼。安全管理者需要將黑客攻擊的方法和技術(shù)納入自身的防御體系,更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)。
興趣拓展
FediaFedia:在線黑客模擬攻擊演示地址:http://fediafedia.com/neo/
2. 使用生產(chǎn)環(huán)境進(jìn)行攻擊模擬
不要使用測試環(huán)境!網(wǎng)絡(luò)攻擊是動(dòng)態(tài)的,因此,在真實(shí)的生產(chǎn)環(huán)境中運(yùn)行模擬攻擊才能真正的了解是否有攻擊者能夠滲透網(wǎng)絡(luò)、竊取數(shù)據(jù)。要做到這一點(diǎn),企業(yè)需要確保模擬攻擊不會(huì)對網(wǎng)絡(luò)產(chǎn)生任何影響,同時(shí)又要做到對企業(yè)安全防御系統(tǒng)實(shí)施攻擊。根據(jù)SafeBreach的說法,唯一可以幫助企業(yè)實(shí)現(xiàn)這一操作的是Metrinome,政府機(jī)構(gòu)可以通過空軍研究實(shí)驗(yàn)室(AFRL)免費(fèi)使用。
3. 著眼整個(gè)網(wǎng)絡(luò)kill chain
通過分析整個(gè)kill chain,你可以判斷出該公司的強(qiáng)項(xiàng)和弱點(diǎn),并確定出阻止攻擊行為的最有效途徑。例如,如果模擬攻擊顯示黑客可以通過竊取用戶權(quán)限,輕而易舉地訪問網(wǎng)絡(luò),那么你就可以加強(qiáng)訪問層的安全管理,達(dá)到事半功倍的效果。
一旦你掌握了攻擊者最關(guān)鍵的攻擊環(huán)節(jié),企業(yè)就可以搶先實(shí)施最有效地一步,打破整個(gè)kill chain。
4. 制定持續(xù)安全驗(yàn)證(continuous security validation)
最具創(chuàng)新性的CISO已經(jīng)認(rèn)識(shí)到,安全團(tuán)隊(duì)對安全事件的反應(yīng)時(shí)間并不會(huì)削弱攻擊現(xiàn)狀。無論是試圖尋求軍事或商業(yè)情報(bào)的國家網(wǎng)絡(luò)間諜行動(dòng),或是試圖竊取信用卡信息的網(wǎng)絡(luò)犯罪分子,這些群體都有幾十個(gè)全職黑客專注于滲透入你的網(wǎng)絡(luò)。他們只需要成功一次就可以達(dá)成目的,而你必須每次都100%的成功,才能阻止攻擊者目的達(dá)成。這就是為什么“持續(xù)安全驗(yàn)證(continuous security validation)”這個(gè)概念需要成為企業(yè)安全管理的一部分。
你必須不斷地驗(yàn)證你的假設(shè),不斷的問這些問題:你的安全控制工作是否達(dá)到預(yù)期效果?安全運(yùn)營中心是否做好面臨攻擊的準(zhǔn)備?我們需要多久驗(yàn)證一次我們的網(wǎng)絡(luò)風(fēng)險(xiǎn)?理想情況下,這必須是持續(xù)性的 ——一些公司可能會(huì)想每天做一次,還有一些公司可能直接將其綁定到他們的變更控制系統(tǒng)中運(yùn)行。
5. 鼓勵(lì)安全團(tuán)隊(duì)轉(zhuǎn)變思維
CISO有兩個(gè)重要的目標(biāo):首先,他們必須減少攻擊面,降低黑客的攻擊點(diǎn)。其次,CISO必須減少漏洞曝光時(shí)間。我們常常發(fā)現(xiàn),黑客已經(jīng)滲透到你的網(wǎng)絡(luò)200天甚至更長的時(shí)間。一般來說,一個(gè)公司的“red”團(tuán)隊(duì)白帽黑客發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞,隨后簡單地將其報(bào)告給每天負(fù)責(zé)運(yùn)行和管理網(wǎng)絡(luò)安全運(yùn)行的“blue”團(tuán)隊(duì)。這種模式必須改變,CISO需要改變思想設(shè)置,“red”團(tuán)隊(duì)繼續(xù)負(fù)責(zé)監(jiān)視網(wǎng)絡(luò),但是也需要和“blue”團(tuán)隊(duì)密切合作,尋求縮減反應(yīng)時(shí)長和降低公司攻擊次數(shù)的有效途徑。實(shí)際上,企業(yè)需要建立一個(gè)“purple”團(tuán)隊(duì)協(xié)同努力,抵御攻擊。
攻防對抗 國家先行
加拿大
1999年開始建立“電腦黑客”科研小組,其工作重點(diǎn)就是模擬黑客制造電腦病毒,然后有針對的設(shè)計(jì)出更加可靠的防備措施,此外,還包括研究查找出電腦黑客的方法等。
美國
美國是開展計(jì)算機(jī)網(wǎng)絡(luò)攻防術(shù)研究最早的國家。在計(jì)算機(jī)病毒方面,政府撥出??钛兄聘咝У能娪糜?jì)算機(jī)病毒,以及利用有線,無線方式注入敵方計(jì)算機(jī)系統(tǒng)、破壞敵方指揮、控制、通信系統(tǒng)的技術(shù)手段,通過攻擊手段達(dá)到最好的防御效果。
俄羅斯
專門成立新的國家信息安全與信息對抗領(lǐng)導(dǎo)機(jī)構(gòu),建立了特種信息戰(zhàn)部隊(duì),將重點(diǎn)開發(fā)高性能計(jì)算機(jī)軟件、智能化技術(shù)、信息攻防技術(shù)等關(guān)鍵技術(shù)。
英國
1999年開始專項(xiàng)撥款,訓(xùn)練電腦黑客,模擬黑客攻擊,進(jìn)行有針對性的高效防護(hù),以重點(diǎn)保護(hù)其核戰(zhàn)指揮系統(tǒng)和預(yù)警系統(tǒng)等。
結(jié)語
誠然,黑客與安全人員有著很大的區(qū)別。前者非常獨(dú)立,總是一個(gè)人在不分晝夜的編寫代碼,測試程序,尋找機(jī)會(huì),追逐利益,甚至任性妄為。而后者則是團(tuán)隊(duì)的一份子,有著各種規(guī)定或紀(jì)律的約束,包括資源使用,部門配合,公司政策等。
但是,日益嚴(yán)峻的網(wǎng)絡(luò)形式需要我們像黑客一樣思考,擁有和組織業(yè)務(wù)相結(jié)合的知識(shí),有助于我們更好的理解為什么會(huì)被黑客盯上,以及我們的組織會(huì)遭遇怎樣的攻擊,這些見解對于彌補(bǔ)黑客可能會(huì)利用的漏洞和攻擊路徑是必不可少的。