黑客思维:CISO确定防御优先级的六个核心问题
发布时间:2022-07-05 15:30:40 所属栏目:安全 来源:互联网
导读:过去一年中,伴随着数字化转型的脚步,大量企业和应用开始向云端迁移,新冠病毒大流行和远程办公则加速了这一过程。在企业IT安全团队正在努力适应云原生环境的同时,对云系统(数据)的攻击在去年暴增了250%。 对于蓝队而言,面临的挑战也是显而易见的,很多安
|
过去一年中,伴随着数字化转型的脚步,大量企业和应用开始向云端迁移,新冠病毒大流行和远程办公则加速了这一过程。在企业IT安全团队正在努力适应云原生环境的同时,对云系统(数据)的攻击在去年暴增了250%。 对于蓝队而言,面临的挑战也是显而易见的,很多安全团队被淹没在安全警报中,试图从噪音中寻找有用信息,这些安全团队往往“武装到了牙齿”——配备了数十个安全工具、清单和一堆防御策略和流程,但是在与红队的对抗中依然存在巨大差距。一个主要的原因就是蓝队没能理解红队逻辑——攻击者如何评估资产价值,并用来指导安全策略和防御优先级的制定。 该资产是否已知可利用?(弱点) 与经验常识相反,在CVE数据库里CVSS严重性评分很高的漏洞(及相关资产)并不一定意味着攻击者会对目标产生极大的兴趣。实际上,有许多“严重、可蠕虫、灭霸式的”的漏洞实际上无法利用。很多漏洞的利用都是理论上的,或者依赖特定的环境,而攻击者则必须考虑攻击资产目标的成本和可能性。漏洞是否存在可用的概念证明(POC)是一个很好的指标。 如果业界对某个特定漏洞进行了大量研究和分析,那么漏洞利用的难度也会极大降低。总之,时间就是金钱,漏洞利用需要时间,因此,黑客必须考虑公开可用的工具,负担得起的工具或可以购买到的工具(例如Canvas或Zerodium)。对于特定资产,在某些情况下对手会购买以前开发过的漏洞利用程序,这种方式比许多人意识到的要多得多。 被利用的资产是否“宜居”(利用后的潜力) 所谓资产的“环境宜居性”,是攻击者对长期潜伏、活动而不被检测到的驻留安全性的一种定义。缺乏安全防御措施,恶意软件可以在其中来去自如、无影无踪的资产被认为是“宜居”的,因此攻击者首选的目标往往是蓝色团队无法部署任何防御措施的目标。 开发的漏洞利用程序是否具备可复用性?(适用性) 从防御思维切换到黑客逻辑的最大不同之处是,你需要了解攻击者的业务模型。攻击者开发漏洞利用工具需要投入大量时间、资源和人力,因此他们想要最高的投资回报率。您的组织很可能是许多黑客感兴趣的(同类)目标之一,因此黑客在攻击一个目标时,会评估漏洞利用工具对多个受害者的适用性,从而将攻击成本分摊给更多受害者。攻击者总是希望能够基于有限的资源,优先针对广泛采用的技术开发漏洞利用工具,以期创造高收益。还记得Mac电脑一度被人们认为对黑客和病毒免疫吗?事实上,这是因为微软拥有更多的市场份额,因此利用Windows的回报率会更高,而不是因为Mac系统更安全。如今随着Windows的攻击难度提升,而Mac在企业中的部署激增,这种情况也发生了变化。同样的道理,iOS漏洞利用的成本曾经比Android漏洞要昂贵得多,但是随着iOS漏洞越来越普遍,在市场力量的推动下,iOS漏洞利用正变得(相对)便宜。 总之,攻击者不会根据漏洞的CVSS评分高低来确定攻击目标。一次攻击策划设计多个组成部分,而攻击的执行则包含一系列的战术、技术和流程。攻击者必须在实现目标的同时还要管理资源,攻击者实际上是在“经营”业务,会为了达成业务目标而进行取舍。防御者也应该牢记这一点。企业安全防御需要把好钢用在刀刃上,有的放矢,对所有资产不加区别的保护,对所有攻击者不加区别的防御,都是不科学的。攻击总是不可避免的,在风险管理的语境里,就是把防御资源以最佳方式进行防御性下注,以优化业务成果。像攻击者那样思考可以确定防御优先级,聚焦那些对攻击者来说价值较高、难度较低的资产,同时评估哪些安全加固的成本会超出收益。  (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号