了解你的敌人，像黑客一样去思考

在网络安全领域，安全管理者和研究人员一直致力于发现和识别可能的攻击对手，以及他们的攻击思路和策略。然而，在强调边界防护的传统安全建设模式中，防护者深入了解黑客思维的能力会受到很多制约和限制。

为了了解攻击者如何思考，国际安全培训与研究机构SANS日前发布了《2022年道德黑客调查报告》，报告认为，尽管组织已经投资各种安全技术，以缓解各种类型的网络安全威胁，但攻击者仍然能够找到选择阻力最小或最熟悉的路径，原因在于很多安全团队对于黑客如何攻击组织的信息化系统始终存在误解。他们往往过度关注漏洞管理，并急于尽快修补常见漏洞和暴露（CVE），然而事实上，这并不能显著降低他们的风险，因为他们与黑客们的实际行为并不一致。

在商业化社会里，非法黑客团伙的运营也像一个企业组织，旨在寻求资源最小化和回报最大化。他们通常希望尽可能少地付出努力来获取最大的收益。因此，现代黑客攻击活动通常遵循一定的行动路径。黑客通常不会仅仅为了利用某个漏洞或某种策略而接近组织。相反地，他们会通过广泛的发现和枚举过程，检查组织是否存在薄弱的安全防护指标。如果没有发现有价值元素，那么组织被攻击的可能性就会大大降低。这就是组织应该从黑客的角度而非他们自己的角度来评估企业安全的原因所在。

Nash Squared全球CISO Jim Tiller认为，如果现代企业的CISO们不能像黑客那样思考，就无法采取真正适合企业所处环境的网络安全防护行动。而要像黑客一样思考，就意味着要全面考虑他们到底想要什么——所有这些都可能因人而异，往往会比假设的更广泛。

企业应该将这种洞察力不断积累完善，并进一步塑造成构建纵深防御的战略性方向，并以此创建一个真正由威胁驱动的安全战略。了解黑客为什么要攻击组织，以及为什么要攻击您所在的组织同样至关重要。您只是勒索软件的攻击目标吗？您是否还有大量的机密信息可用于暗网出售牟利呢？这就涉及到犯罪的动机和心态问题，安全领导者必须利用这些来完善组织的安全策略。

尚普兰学院副教授Adam Goldstein认为，组织安全建设的目标是专注于识别对手或敌对性团体，并确定他们的意图。它是破坏性的吗？是出于经济动机还是知识产权盗窃？是否还为其他目标获取资源？他们已经有明确目的还是在寻找机会？要了解所有不同的对手以及他们的意图，这样才可以帮助组织识别不同类型的风险。

这样的调查很重要，因为它经常会颠覆一些错误的假设，有时还会让企业管理层发现，他们对黑客的吸引力比自己想象得还要大，但目前许多企业安全部门仍未把黑客视角纳入他们的战略和防御体系。一些组织开展渗透测试只是为了合规目的，却并未评估他们可能沦为攻击目标的原因。

从攻击者的角度思考可以更快速了解企业在网络防御方面的不足。安全红队的工作本质上是扮演攻击性黑客的角色，梳理企业的IT资产、寻找漏洞和攻击路径，以便更好地修复或应对风险。安全红队所具备的攻击技能组合对企业来说很宝贵。其作用不仅仅在于发现安全问题，对系统开发人员深入了解计算机系统也会大有帮助。安全红队还可以为企业发挥更多的价值，比如渗透测试服务。

安全红队可以用实战化的演练方式，以任何方式尝试对企业应用系统的攻击，包括对员工进行真正的网络钓鱼攻击，以观察企业的访问控制策略是否符合要求，是否实施有效的多因素身份验证（MFA）产品。他们通常会直接向公司管理层汇报，公司其他人甚至不知道他们的存在或具体行动计划。通过了解为企业效力的“坏人”的想法，有助于防止一些难堪的网络安全事件影响企业及其客户。

不过毫不奇怪的是，企业在培养像黑客一样思考的能力和组织攻防演习方面会面临很多挑战。安全领导者必须为各种安全任务投入资源，而这些资源中最宝贵的就是人。此外，CISO可能会发现很难为这些活动获得资金，因为很难证明它们的价值，而且支持这些模拟演练活动往往也并不便宜。

安全团队可能还会发现，将他们自己的技能集从防御转移到攻击同样会具有很大的挑战性，因为本质上，这是一种犯罪心态。而且白帽黑客们可能也无法完全体会到真实黑客的低调行事意愿与犯罪动机。

尽管如此，训练蓝队的红队技能还是非常值得的。企业也需要通过越来越多的资源投入来帮助他们实现这种转变。这些资源包括NIST框架、MITRE Engage和MITRE ATT&CK知识库等。此外，还有来自服务商、开源社区以及学术机构的威胁情报信息等。