當前位置：安全 → 行業動態 → 正文

攻防對抗中，企業如何像黑客一樣思考

責任編輯：editor005 作者：米雪兒 |來源：企業網D1Net 2016-07-19 15:12:13 本文摘自：黑客與極客

安全是一個博弈對抗的過程，網絡安全的本質是攻防對抗。攻擊者會不斷尋找防護方的弱點，防護方也需要不斷研究黑客思維，探索應對黑客攻擊的方法，提升安全防護的能力和效率。

安全圈向來不安全，每天發生的泄露、攻擊事件不勝枚舉，全球各大知名公司紛紛上榜。黑客攻擊手段日益精進、多變是不可否認的現實，如今，我們不敢妄言有哪個安全產品是永遠不會被攻破的。

SafeBreach公司CEO Guy Bejerano 表示：

“企業需要改變自身的思維方式，通過模擬黑客攻擊來不斷地鍛煉自己的安全防御和運營團隊。”

面臨著網絡犯罪分子和國家網絡間諜的多方威脅，Bejerano表示，企業需要專注最新的zero-day威脅，了解黑客的能力、特點和動機，做到像黑客一樣思考，除了要考慮技術方面的攻擊，還要考慮以下一些其他方面的事情：

1）黑客要對我們進行攻擊的動機是什么？是否是有針對性的攻擊？他們想得到什么？

2）黑客會如何對我們的應用程序發起攻擊？

3）黑客會在什么時候對我們的應用程序發起攻擊？

只有“知己知彼”，思想上搶先一步了解攻擊者的能力、意圖、手段，才能在行動中占得先機，提前構建有針對性的防護措施，避免無知引發的災難。

Bejerano還表示：

“入侵網絡是一回事，但是竊取數據又是另一回事。通過模擬入侵，我們可以發現黑客是如何實現攻擊、入侵行為的，由此尋找出最有效的方式來防止重要數據資產（信用卡數據、社保號碼或源代碼等）被竊取”

像黑客一樣思考搶占先機

在攻擊和防御的對抗中，攻擊方通常掌握著主動性，而防御方必須具備能夠和攻擊方相抗衡的智能。因此，掌握攻擊者的入侵方法和手段，發現信息系統的潛在脆弱性，分析攻擊的規律及軌跡，以此作為防范依據就會大大提升防范的效果。

1. 使用真正的Hacker Playbook

首先，我們需要了解黑客入侵你的網絡，竊取數據或有價值的信息所使用的kill chain或攻擊路徑。為此，你需要運行多種攻擊手段來模擬攻擊自身網絡的安全防御系統。通過模擬攻擊，可以了解你的安全網關是否能夠阻止exploit kits被下載；你的IPS是否可以阻止黑客使用惡意軟件滲透網絡；或是你的安全控制系統是否能夠識別被泄露的源代碼。安全管理者需要將黑客攻擊的方法和技術納入自身的防御體系，更好的實現網絡安全防護。

興趣拓展

FediaFedia:在線黑客模擬攻擊演示地址：http://fediafedia.com/neo/

2. 使用生產環境進行攻擊模擬

不要使用測試環境！網絡攻擊是動態的，因此，在真實的生產環境中運行模擬攻擊才能真正的了解是否有攻擊者能夠滲透網絡、竊取數據。要做到這一點，企業需要確保模擬攻擊不會對網絡產生任何影響，同時又要做到對企業安全防御系統實施攻擊。根據SafeBreach的說法，唯一可以幫助企業實現這一操作的是Metrinome，政府機構可以通過空軍研究實驗室（AFRL）免費使用。

3. 著眼整個網絡kill chain

通過分析整個kill chain，你可以判斷出該公司的強項和弱點，并確定出阻止攻擊行為的最有效途徑。例如，如果模擬攻擊顯示黑客可以通過竊取用戶權限，輕而易舉地訪問網絡，那么你就可以加強訪問層的安全管理，達到事半功倍的效果。

一旦你掌握了攻擊者最關鍵的攻擊環節，企業就可以搶先實施最有效地一步，打破整個kill chain。

4. 制定持續安全驗證（continuous security validation）

最具創新性的CISO已經認識到，安全團隊對安全事件的反應時間并不會削弱攻擊現狀。無論是試圖尋求軍事或商業情報的國家網絡間諜行動，或是試圖竊取信用卡信息的網絡犯罪分子，這些群體都有幾十個全職黑客專注于滲透入你的網絡。他們只需要成功一次就可以達成目的，而你必須每次都100％的成功，才能阻止攻擊者目的達成。這就是為什么“持續安全驗證（continuous security validation）”這個概念需要成為企業安全管理的一部分。

你必須不斷地驗證你的假設，不斷的問這些問題：你的安全控制工作是否達到預期效果？安全運營中心是否做好面臨攻擊的準備？我們需要多久驗證一次我們的網絡風險？理想情況下，這必須是持續性的 ——一些公司可能會想每天做一次，還有一些公司可能直接將其綁定到他們的變更控制系統中運行。

5. 鼓勵安全團隊轉變思維

CISO有兩個重要的目標：首先，他們必須減少攻擊面，降低黑客的攻擊點。其次，CISO必須減少漏洞曝光時間。我們常常發現，黑客已經滲透到你的網絡200天甚至更長的時間。一般來說，一個公司的“red”團隊白帽黑客發現網絡中的漏洞，隨后簡單地將其報告給每天負責運行和管理網絡安全運行的“blue”團隊。這種模式必須改變，CISO需要改變思想設置，“red”團隊繼續負責監視網絡，但是也需要和“blue”團隊密切合作，尋求縮減反應時長和降低公司攻擊次數的有效途徑。實際上，企業需要建立一個“purple”團隊協同努力，抵御攻擊。

攻防對抗國家先行

加拿大

1999年開始建立“電腦黑客”科研小組，其工作重點就是模擬黑客制造電腦病毒，然后有針對的設計出更加可靠的防備措施，此外，還包括研究查找出電腦黑客的方法等。

美國

美國是開展計算機網絡攻防術研究最早的國家。在計算機病毒方面，政府撥出專款研制高效的軍用計算機病毒，以及利用有線，無線方式注入敵方計算機系統、破壞敵方指揮、控制、通信系統的技術手段，通過攻擊手段達到最好的防御效果。

俄羅斯

專門成立新的國家信息安全與信息對抗領導機構，建立了特種信息戰部隊，將重點開發高性能計算機軟件、智能化技術、信息攻防技術等關鍵技術。

英國

1999年開始專項撥款，訓練電腦黑客，模擬黑客攻擊，進行有針對性的高效防護，以重點保護其核戰指揮系統和預警系統等。

結語

誠然，黑客與安全人員有著很大的區別。前者非常獨立，總是一個人在不分晝夜的編寫代碼，測試程序，尋找機會，追逐利益，甚至任性妄為。而后者則是團隊的一份子，有著各種規定或紀律的約束，包括資源使用，部門配合，公司政策等。

但是，日益嚴峻的網絡形式需要我們像黑客一樣思考，擁有和組織業務相結合的知識，有助于我們更好的理解為什么會被黑客盯上，以及我們的組織會遭遇怎樣的攻擊，這些見解對于彌補黑客可能會利用的漏洞和攻擊路徑是必不可少的。