在过去的一年里,随着数字化转型的步伐,大量的企业和应用程序开始迁移到云端,而新冠肺炎的流行和远程办公加速了这一过程。在企业中IT在努力适应云原生环境的同时,安全团队对云系统(数据)的攻击在去年飙升了250%。
这意味着蓝队必须变得敏捷才能有效保护其攻击面。这里的敏捷,不仅是指安全牛此前报道过的“网络安全迫切需要一场敏捷的革命”敏捷还包括对红队逻辑和黑客思维的同理心。
云资产的增加给蓝队带来了巨大的挑战,但这并不意味着攻击会变得更容易。大型企业的云资产可达数万,攻击者没有时间深入研究每一项资产。云资产的巨大规模不仅是对安全团队的挑战,也是对攻击者的挑战。攻击者的时间和预算也有限,技术能力也有上限。
对蓝队来说,挑战也很明显。许多安全团队被淹没在安全警报中,试图从噪音中找到有用的信息。这些安全团队经常“武装到牙齿”——配备了数十种安全工具、清单和一堆防御策略和流程,但与红队的对抗仍存在巨大差距。主要原因之一是蓝队不理解红队的逻辑——攻击者如何评估资产价值,指导制定安全战略和防御优先级。
协助数百人CISO对抗红队的网络安全专家David Wolpoff认为,CISO在制定防御优先级时,应基于“红队思维”或“黑客思维”,提出以下六个问题:
哪些有用的信息可以从外部看到?(可枚举)
攻击面上的每个目标都有“故事”,有些故事比其他故事更详细。攻击者收集的防御方使用的特定技术(或组织中的某个人)的信息越多,他们越有把握计划下一阶段的攻击,更有信心地入侵网络。有关目标的详细信息即可枚举性——攻击者可以从外部收集目标信息的细节。例如,根据服务和部署,Web服务器的目标信息包括从服务器标识到特定服务器的名称(“Apache”或“Apache 2.4.33”)任何内容。如果攻击者能看到正在使用的服务的确切版本及其配置,就能实现准确的漏洞利用和攻击,从而最大限度地提高成功率,降低被检测概率。
资产对攻击者有多大价值?(关键)
黑客的每一步都需要付出努力、时间、金钱和风险。最好的攻击方法是有针对性的,而不是盲人触摸大象。有些目标比其他目标更好“潜力”,你可以把攻击引入深处。因此,攻击者将在采取行动之前评估目标的重要性,以便将注意力集中在最相关的目标上。虚拟专用网络、防火墙等安全设备,或外围远程支持解决方案,部网络“宝库”众所周知的钥匙。同样,一旦凭证存储和身份验证系统被入侵,攻击者将获得更多的账户凭证。简而言之,攻击者首先寻找的是提供最佳立足点和访问权限的工具。
资产已知可用吗?(弱点)
与经验常识相反,在CVE数据库里CVSS严重性评分高的漏洞(及相关资产)并不一定意味着攻击者对目标感兴趣。事实上,有很多“严重、蠕虫、灭霸”这些漏洞实际上是不可用的。理论上,许多漏洞的使用或依赖于特定的环境,而攻击者必须考虑攻击资产目标的成本和可能性。漏洞是否有可用的概念证明(POC)这是一个很好的指标。
如果业界对某个特定漏洞进行了大量研究和分析,那么漏洞利用的难度也会极大降低。总之,时间就是金钱,漏洞利用需要时间,因此,黑客必须考虑公开可用的工具,负担得起的工具或可以购买到的工具(例如Canvas或Zerodium)。在某些情况下,对手会购买之前开发的漏洞利用程序,这比很多人意识到的要多得多。
是否使用资产“宜居”(利用后的潜力)
所谓资产的“环境宜居性”,这是攻击者对长期潜伏和活动未被检测到的居住安全的定义。由于缺乏安全防御措施,恶意软件可以自由、无影无踪的资产被认为是“宜居”因此,攻击者的首选目标往往是蓝队无法部署任何防御措施。
诸如端点之类的受到充分保护和监视的目标对于攻击者来说都是不够“好客”是的。桌面座椅电话、虚拟专用网络设备和物理网络都有熟悉的执行环境,不受保护的硬件设备是很好的攻击对象。
基于许多设备Linux具有完整的用户空间和预装黑客熟悉的工具,因此具有较高的利用潜力。
利用漏洞需要多长时间?(研究潜力)
从锁定特定的攻击目标到获得必要的漏洞利用和攻击技术还有很长的路要走。在调查特定目标时,黑客必须评估他们成功利用新漏洞的可能性和成本。攻击者经常在实施攻击究漏洞(VR)评估成本,包括研究成本、测试和改进工具的成本,并判断目标是否值得攻击。更容易通过充分研究或打开源代码的工具来完成文档。“神秘”例如,平台VoIP系统等硬件或昂贵的安全设备通常需要特殊的技能和资源来攻击(即使这些系统存储的数据或证据非常有价值)。任何入侵障碍都会降低攻击者攻击特定平台、工具或服务的欲望。
开发的漏洞利用程序可重用吗?(适用性)
从防御思维到黑客逻辑最大的区别是,你需要了解攻击者的商业模式。攻击者需要投入大量的时间、资源和人力来开发漏洞,所以他们想要最高的投资回报。你的组织可能是许多黑客感兴趣的(类似的)目标之一,所以当黑客攻击一个目标时,他们会评估漏洞使用工具对多个受害者的适用性,从而将攻击成本分配给更多的受害者。攻击者总是希望基于有限的资源开发漏洞工具,以创造高回报。Mac电脑曾经被认为对黑客和病毒免疫吗?事实上,这是因为微软有更多的市场份额,所以它被使用Windows回报率会更高,而不是因为Mac系统更安全。现在,随着Windows攻击难度增加,而且Mac企业部署激增,这种情况也发生了变化。iOS漏洞利用的成本曾经比较过Android漏洞要贵得多,但随着iOS在市场力量的推动下,漏洞越来越普遍,iOS利用漏洞变得便宜(相对)。
总之,攻击者不会根据漏洞CVSS得分来确定攻击目标。一次攻击计划设计多个组成部分,而攻击执行包括一系列战术、技术和流程。攻击者必须在实现目标的同时管理资源。攻击者实际上是在“经营”业务将为实现业务目标做出选择。防御者也应该记住这一点。企业安全防御需要在刀刃上使用好钢,有针对性地保护所有资产,对所有攻击者没有区别防御,这是不科学的。攻击总是不可避免的。在风险管理的背景下,防御资源应以最佳方式下注,以优化业务结果。像攻击者一样,思考可以确定防御优先级,关注对攻击者价值高、难度低的资产,评估哪些安全加固成本将超过收入。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章