安全專家對威脅行為者發起網絡攻擊時使用的技術戰術、技巧和程序(TTPs)有很好的洞察力,他們同樣精通關鍵的防御策略,例如基于風險優先進行補丁修復和實施零信任策略。
然而,企業安全領域似乎總是落后于黑客一步,后者每年成功發起的攻擊數量持續增加。
其中一個原因是,許多CISO低估了黑客帶來的知識,忽視了黑客利用的非技術性見解,而這些見解正是他們取得上風的關鍵。
“黑客知道,普通CISO肩負很多任務,資源有限,無法完成所有事情,所以CISO必須真正關注黑客的行動和他們的知識,才能最有效地防御他們。”IBM首席人類黑客Stephanie "Snow" Carruthers表示。
那么,黑客知道哪些可能未引起足夠重視的內容呢?根據安全研究人員,以下是黑客用來策劃攻擊的六種策略,而CISO可能沒有意識到這些策略。
企業沒有針對黑客的實際攻擊方式進行足夠積極的培訓
當新冠疫情爆發時,企業高管專注于帶領企業和員工安全度過危機,而黑客則看到了一個可利用的機會。
事實上,黑客愿意利用任何漏洞——無論其多么微小,Handshake Leadership網絡安全服務公司的創始人Erik J. Huffman表示。為了達到目的,他們甚至愿意讓CEO下臺,羞辱CFO,毀掉職業生涯,或癱瘓關鍵服務。
“犯罪分子的手段之低下,超出了我們的預期。”Huffman說道。
Huffman指出,大多數CISO雖然意識到這一點,但并未真正內化這一事實。相反,他們通常設計反釣魚攻擊活動、安全意識培訓計劃和安全演習,但這些并未融入黑客的“卑劣”手段。例如,他們通常不會設計高度個性化的電子郵件來模擬定向釣魚攻擊,因為這可能被認為是過于激進的舉措。
這是一個錯誤,而黑客正是利用了這一點,因為“他們愿意以CISO不愿意的方式發動攻擊,這意味著我們的訓練并沒有真正反映戰斗的真實情況。”Huffman說。他建議安全高管設計反釣魚攻擊活動、模擬和演習,盡可能貼近黑客的下流策略。“摘掉手套,真正挑戰你的團隊。”
黑客知道根據你的日程安排選擇最佳攻擊時機
許多攻擊發生在最具挑戰的時間并非巧合,黑客確實會在周末和假期等安全團隊人手不足時增加攻擊,而且他們更傾向于在午餐前或工作日結束時發動攻擊,因為此時員工通常匆忙工作,因而不太注意到釣魚攻擊或欺詐活動的紅旗信號。
“黑客通常在那些時段發動攻擊,因為他們知道這些攻擊不太容易被察覺。”S-RM(全球情報和網絡安全咨詢公司)的全球威脅情報負責人Melissa DeOrio表示。
DeOrio承認,許多黑客位于那些工作時間與美洲和西歐的非工作時間相吻合的國家,但她表示,有證據表明,黑客確實利用這一差異,通過精確計算攻擊時間來占據優勢。
此外,SafeBreach安全研究副總裁Tomer Bar表示,威脅行為者會尋找組織變革期(例如并購、裁員等)來進行攻擊。“威脅行為者會試圖在CISO和藍隊最為艱難的時刻發起攻擊。”
盡管CISO通常知道黑客會選擇時機發動攻擊,專家表示,有些人可能沒有意識到黑客在研究和策劃最佳攻擊時間時是多么的有戰略眼光。此外,Bar表示,CISO在這一問題上可能并未給予足夠的關注。
為了應對這一黑客策略,長期擔任安全領導的專家建議CISO在制定防御策略時考慮到這一點。CISO應在非工作時間利用第三方服務來補充安全團隊的工作日程,增加自動化以提高全天候的工作效率,在風險較高的時刻增加額外的安全層,如更多的監控或更嚴格的過濾器,確保在假期等繁忙時段之前完成優先的安全工作,并教育所有員工在這些時刻提高警惕。
DeOrio還建議開展應急響應演習,模擬事件發生在特別棘手的時間——例如在暑假期間的午夜——以便安全團隊識別并彌補其響應中的漏洞。
黑客會收集大量關于你的企業的情報
Carruthers表示,威脅行為者積極進行開源情報(OSINT)收集,尋找可以用于策劃攻擊的信息。她說,黑客尋找有關重大裁員、并購等變革性事件的新聞并不令人意外,但CISO、他們的團隊和其他高管可能會感到驚訝的是,黑客還會關注看似無關緊要的事件,例如技術實施、新的合作伙伴關系、大規模招聘以及高管的日程安排,這些信息可能揭示出他們何時不在辦公室。
誠然,這些低層級的活動不會像裁員和并購那樣引發員工焦慮或組織混亂,因此也不會給黑客提供相同的機會,然而,Carruthers指出,這些事件仍然會帶來變化,黑客可以利用這些變化。“它們都為攻擊者提供了機會。”
Carruthers深知這種黑客策略的有效性,她的道德黑客團隊進行的演習從收集六個月的公告、博客、社交媒體帖子和在線論壇信息開始,員工會在這些地方分享他們的想法,然后,她的團隊根據這些信息確定何時何地發動攻擊,就像黑客會做的那樣,她表示,她的團隊可能會利用一些對公司有利的事情發起釣魚攻擊,例如發送一封通知員工受歡迎的福利即將取消的郵件,或者團隊會利用新技術遷移的機會,誘使員工分享登錄信息或憑據。
盡管CISO無法阻止新聞的流動,但他們可以應對黑客利用這些信息攻擊其組織的能力,Carruthers表示。他們可以監控與公司相關的開源情報(OSINT),與其他高管協作發布公告及其發布時間,并從商業角度運行這些公告的模擬演練。這一切都有助于CISO及其團隊了解黑客的視角,更好地理解他們的思維方式,并為可能的定向攻擊做好準備。
當今的企業文化有利于黑客
安全意識培訓通常教導員工花時間仔細檢查電子郵件或思考請求,以判斷其是否合法或可疑,然而,Huffman表示,如今的職場文化通常與這種方法背道而馳。“我們為自己置身于緊張的情緒狀態感到自豪。”他說,并指出許多招聘廣告中使用的諸如“快節奏”、“動態”和“高強度”來形容企業文化的詞匯。
Huffman指出,在這樣的環境中,員工既沒有時間,也沒有被鼓勵花額外的時間來評估收到的信息(無論是電子郵件、電話、視頻還是短信)。“這就是黑客成功的原因:他們在我們處于緊張狀態時抓住機會,趁我們快速點擊處理1000封電子郵件時發動攻擊。”
CISO和他們的高管同事可以通過降低工作壓力來創建更安全的組織。
“我咨詢的許多公司并不真正了解他們的團隊在多么辛苦地工作,以及他們承受了多大的壓力,他們以為自己有很好的文化,但他們的團隊實際上在加班工作。如果公司能鼓勵員工放慢節奏,明確哪些事情可以推遲到明天,允許員工放松,他們會在保障企業安全方面做得更好。”Huffman說。
深度偽造真的奏效
深度偽造的效果足以欺騙員工。今年早些時候,一份報告指出,英國工程公司Arup的一名員工被騙子利用公司CFO的深度偽造請求轉賬2500萬美元。
“深度偽造技術已經存在了近10年,但這項技術已經得到了極大的改進。”Immersive Labs的網絡威脅研究高級總監Kev Breen說。他指出,深度偽造的音頻技術尤其成熟。“雖然深度偽造的視頻仍然很難制作,但只需要很少的音頻就能創建令人信服的片段。”
他說,大多數CISO都知道音頻和視頻深度偽造已經足夠逼真,但許多其他高管和員工對這一新興威脅并沒有足夠的認識。盡管這些深度偽造攻擊是高度定向的,黑客正是利用這種廣泛的認知不足來提高成功率。
盡管目前還沒有能夠檢測和阻止深度偽造的安全工具,CISO可以通過教育員工了解這一威脅以及如何識別可能的深度偽造音頻和視頻來減輕這一威脅,同時更新涉及資金轉賬等業務流程的協議,確保請求此類操作的行為合法。
公司往往忘記讓控制措施獨立
深度防御可以增強企業的安全態勢,但許多企業并沒有從中受益,因為它們的控制措施并不獨立,CTM Insights的創始人兼管理合伙人、網絡安全研究實驗室及孵化器負責人Lou Steinberg表示,他同時是MITRE科學技術咨詢委員會成員及前TD Ameritrade CTO。
“我見過一些案例,本應獨立的控制措施都運行在同一臺服務器上。黑客知道一旦攻破這臺服務器,他們就可以一次性攻破多個控制措施。”Steinberg說。
他還曾與一家公司合作,滲透測試顯示,一個網絡控制和一個非網絡控制都運行在同一臺本地服務器上。
“兩個控制措施可以一起被繞過,這顯然不是什么好事。”他說。
他還聽說過類似的云端場景,比如安全控制(如云訪問安全代理(CASB)或網絡應用防火墻)的憑證與企業的云管理員的憑證相同的情況。
Steinberg表示,解決這個安全漏洞相對簡單:確保控制措施是獨立的,這樣即使一個控制措施被攻破,其他控制措施不會受到影響,從而實現真正的深度防御,而不僅僅是防御的假象。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號