为什么防御者应该拥抱黑客心态

当今的安全领导者必须管理由于互连设备、云服务、物联网技术和混合工作环境而不断变化的攻击面和动态威胁环境。对手不断引入新的攻击技术，并非所有公司都拥有内部红队或无限的安全资源来掌控最新威胁。最重要的是，当今的攻击者是不分青红皂白的，每个企业（无论大小）都需要做好准备。安全团队仅检测和响应已经不够了；我们现在还必须预测和预防。

为了应对当今的安全环境，防御者需要保持敏捷和创新。简而言之，我们需要开始像黑客一样思考。

采用机会主义威胁行为者的心态，不仅可以更好地了解潜在的可利用路径，还可以更有效地确定补救工作的优先级。它还可以帮助您克服潜在有害的偏见，例如认为您的组织不有趣或大到不足以成为目标的误解。

让我们更深入地探讨这些概念。

黑客思维与传统防御#

许多组织采用传统的漏洞管理方法，通常按照严格的时间表记录其资产并识别相关漏洞。当前策略的问题之一是它迫使防御者用列表来思考，而黑客则用图表来思考。恶意行为者首先要确定他们的目标，对他们来说重要的是找到一条途径来获取皇冠上的宝石。相反，防御者应该问自己：哪些资产连接并信任其他资产？哪些是面向外部的？黑客能否在非关键系统中建立立足点并利用它来访问另一个更重要的系统？为了能够识别真正的风险，需要提出这些关键问题。

决定哪些问题需要立即采取行动，哪些问题可以等待是一个复杂的平衡行为。很少有公司拥有无限的资源来同时解决其整个攻击面 - 但黑客正在寻找最简单的方法来获得最大的回报。了解如何决定哪些补救活动可以消除通往您皇冠上的宝石的潜在途径，可以使您比恶意行为者具有明显的优势。

较小的组织往往错误地认为它们对于机会主义黑客来说不是有吸引力的目标。然而，现实却并非如此。Verizon 的 2023 年数据泄露调查报告指出，小型企业（员工人数少于 1,000 人）中发生了 699 起安全事件和 381 起已确认的数据泄露事件，但大型企业（员工人数超过 1,000 人的企业）中只有 496 起事件和 227 起确认的数据泄露事件。不分青红皂白。对于这些较小的组织来说，勒索软件攻击仍然可以带来丰厚的利润。像黑客一样思考，很明显任何组织都是可行的目标。

如何像黑客一样思考#

安全专业人员如何成功实现这种思维转变？在最近的 Pentera 网络研讨会上，Forrester 首席分析师 Erik Nost 和 Pentera 安全专家 Nelson Santos 概述了四个基本步骤。

采用黑客思维有助于安全领导者预测潜在的漏洞点并建立防御。首先要切实了解恶意行为者从头到尾所使用的技术。

举个例子：今天的攻击者使用尽可能多的自动化来攻击现代网络上的大量系统。这意味着防御者必须为暴力攻击、加载程序、键盘记录器、漏洞利用工具包和其他快速部署的策略做好准备。

安全团队还必须评估他们在现实场景中对这些策略的响应。在实验室环境中进行测试是一个良好的开始，但只有在直接评估生产系统时才能安心。同样，模拟可以提供丰富的信息，但团队必须更进一步，看看他们的防御措施如何经受住渗透测试和强大的模拟攻击。

没有任何漏洞是孤立存在的。黑客几乎总是将多个漏洞组合起来形成完整的攻击路径。因此，安全领导者必须能够可视化“大局”并测试整个环境。通过确定攻击者从侦察到利用和影响的关键路径，防御者可以有效地确定优先级并进行补救。

黑客通常会寻找阻力最小的路径。这意味着您应该首先解决影响最大的可利用路径。从这里开始，您可以在资源允许的情况下逐步解决不太可能发生的情况。

领导者还应该考虑需要修复的漏洞对业务的潜在影响。例如，单个网络配置错误或单个用户拥有过多的权限可能会导致许多可能的攻击路径。优先考虑高价值资产和关键安全漏洞可以帮助您避免将资源分散到整个攻击面的陷阱。

4. 验证安全投资的有效性#

测试安全产品和程序的实际功效至关重要。例如，您的 EDR 是否正确检测到可疑活动？SIEM 是否按预期发送警报？您的 SOC 响应速度有多快？最重要的是，安全堆栈中的所有工具如何有效地交互？当您衡量自己的努力时，这些测试至关重要。

传统的攻击模拟工具可以测试已知场景并测试针对已知威胁的现有防御。但是针对你不知道的东西进行测试呢？使用对抗性视角，您可以针对所有场景和威胁进行自主测试，这可以揭示隐藏的错误配置、影子 IT 或有关控制工作方式的错误假设。这些未知的安全漏洞对于防御者来说是最难发现的，因此攻击者会积极寻找这些漏洞。

验证测试结果需要以能够传达业务影响的方式一直传达给首席执行官和董事会。报告已修补漏洞的百分比（或其他类似的虚荣指标）并不能真正传达安全计划的有效性。相反，您必须找到更有意义的方式来传达您的努力的影响。

原文始发于微信公众号（河南等级保护测评）：为什么防御者应该拥抱黑客心态