過去一年中，伴隨著數(shù)字化轉(zhuǎn)型的腳步，大量企業(yè)和應(yīng)用開始向云端遷移，新冠病毒大流行和遠程辦公則加速了這一過程。在企業(yè)IT安全團隊正在努力適應(yīng)云原生環(huán)境的同時，對云系統(tǒng)(數(shù)據(jù))的攻擊在去年暴增了250%。

[[373792]]

這意味著藍隊必須變得敏捷才能有效保護其攻擊面。這里的敏捷，不僅是指安全牛此前報道過的“網(wǎng)絡(luò)安全急需一場敏捷化革命”中的敏捷，也包括對紅隊邏輯和黑客思維的換位思考。

日見增多的的云中資產(chǎn)給藍隊帶來了巨大挑戰(zhàn)，但并不意味著攻擊將變得更加輕松。一個大型企業(yè)的云中資產(chǎn)數(shù)量可達數(shù)萬，攻擊者沒有時間深入研究每一項資產(chǎn)。云中資產(chǎn)的龐大規(guī)模不但對安全團隊是一個挑戰(zhàn)，對于攻擊者也同樣如此。攻擊者的時間和預算也是有限的，技術(shù)能力也存在上限。

對于藍隊而言，面臨的挑戰(zhàn)也是顯而易見的，很多安全團隊被淹沒在安全警報中，試圖從噪音中尋找有用信息，這些安全團隊往往“武裝到了牙齒”——配備了數(shù)十個安全工具、清單和一堆防御策略和流程，但是在與紅隊的對抗中依然存在巨大差距。一個主要的原因就是藍隊沒能理解紅隊邏輯——攻擊者如何評估資產(chǎn)價值，并用來指導安全策略和防御優(yōu)先級的制定。

曾協(xié)助數(shù)百位CISO對抗紅隊的網(wǎng)絡(luò)安全專家David Wolpoff認為，CISO在制定防御優(yōu)先級時，應(yīng)當基于“紅隊思維”或“黑客思維”，提出以下六大問題：

從外部可以看到目標的哪些有用信息?(可枚舉)

攻擊面上的每個目標都有“故事”，有些故事比其他故事更詳細。攻擊者收集的防御方使用的特定技術(shù)(或組織中的某個人)的信息越多，他們越有把握計劃下一階段的攻擊，更有信心地入侵網(wǎng)絡(luò)。有關(guān)目標的詳細信息即可枚舉性——攻擊者可從外部采集目標信息的詳細程度。例如，根據(jù)服務(wù)及其部署，Web服務(wù)器目標信息包括從無服務(wù)器標識符到特定服務(wù)器名稱(“Apache”或“Apache 2.4.33”)的任何內(nèi)容。如果攻擊者可以看到正在使用的服務(wù)的確切版本及其配置，就可以實施精確的漏洞利用和攻擊，從而最大程度地提高成功率，降低被檢測幾率。

資產(chǎn)對攻擊者有多大價值?(關(guān)鍵性)

黑客每一步行動都需要付出努力、時間、金錢和風險的代價。最好的攻擊方法是有的放矢，而不是盲人摸象。一些目標比其他目標更有“潛力”，可以將攻擊引入深處。因此攻擊者在采取行動之前會先評估目標的重要性，以便將精力集中在相關(guān)度最高的目標上。虛擬專用網(wǎng)和防火墻之類的安全設(shè)備，或外圍的遠程支持解決方案，是通往內(nèi)部網(wǎng)絡(luò)“寶庫”的眾所周知的鑰匙。同樣，憑據(jù)存儲和身份驗證系統(tǒng)一旦被入侵也將讓攻擊者獲得更多賬戶憑據(jù)?？傊粽邇?yōu)先尋找的，是那些能提供最佳立足點和訪問權(quán)限的工具。

該資產(chǎn)是否已知可利用?(弱點)

與經(jīng)驗常識相反，在CVE數(shù)據(jù)庫里CVSS嚴重性評分很高的漏洞(及相關(guān)資產(chǎn))并不一定意味著攻擊者會對目標產(chǎn)生極大的興趣。實際上，有許多“嚴重、可蠕蟲、滅霸式的”的漏洞實際上無法利用。很多漏洞的利用都是理論上的，或者依賴特定的環(huán)境，而攻擊者則必須考慮攻擊資產(chǎn)目標的成本和可能性。漏洞是否存在可用的概念證明(POC)是一個很好的指標。

如果業(yè)界對某個特定漏洞進行了大量研究和分析，那么漏洞利用的難度也會極大降低?？傊瑫r間就是金錢，漏洞利用需要時間，因此，黑客必須考慮公開可用的工具，負擔得起的工具或可以購買到的工具(例如Canvas或Zerodium)。對于特定資產(chǎn)，在某些情況下對手會購買以前開發(fā)過的漏洞利用程序，這種方式比許多人意識到的要多得多。

被利用的資產(chǎn)是否“宜居”(利用后的潛力)

所謂資產(chǎn)的“環(huán)境宜居性”，是攻擊者對長期潛伏、活動而不被檢測到的駐留安全性的一種定義。缺乏安全防御措施，惡意軟件可以在其中來去自如、無影無蹤的資產(chǎn)被認為是“宜居”的，因此攻擊者首選的目標往往是藍色團隊無法部署任何防御措施的目標。

諸如端點之類的受到充分保護和監(jiān)視的目標對于攻擊者來說都是不夠“好客”的。而桌面座機電話、虛擬專用網(wǎng)設(shè)備以及物理聯(lián)網(wǎng)并具有熟悉的執(zhí)行環(huán)境的，不受保護的硬件設(shè)備都是很好的攻擊對象。

許多設(shè)備基于Linux開發(fā)，有完整的用戶空間和預裝的黑客熟悉的工具，因此是具有較高利用后潛力的目標。

利用漏洞需要多長時間?(研究潛力)

從鎖定特定攻擊目標到獲得必要的漏洞利用和攻擊技術(shù)還有很長的路要走。在偵查特定目標時，黑客必須評估他們成功利用新漏洞的可能性以及成本。攻擊者在實施攻擊之前，往往會用漏洞研究(VR)進行成本評估，包括研究成本以及測試和完善工具的成本，并據(jù)此判斷目標是否值得攻擊。文檔健全，經(jīng)過充分研究或開放源代碼的工具是更容易得手的目標。昂貴而“神秘”的平臺，例如VoIP系統(tǒng)之類的硬件，或者那些價格昂貴的安全設(shè)備，往往需要特殊的技能和資源來實施攻擊(即使這些系統(tǒng)存儲的數(shù)據(jù)或者憑據(jù)很有價值)。任何入侵壁壘都會降低攻擊者對特定平臺、工具或服務(wù)的攻擊欲望。

開發(fā)的漏洞利用程序是否具備可復用性?(適用性)

從防御思維切換到黑客邏輯的最大不同之處是，你需要了解攻擊者的業(yè)務(wù)模型。攻擊者開發(fā)漏洞利用工具需要投入大量時間、資源和人力，因此他們想要最高的投資回報率。您的組織很可能是許多黑客感興趣的(同類)目標之一，因此黑客在攻擊一個目標時，會評估漏洞利用工具對多個受害者的適用性，從而將攻擊成本分攤給更多受害者。攻擊者總是希望能夠基于有限的資源，優(yōu)先針對廣泛采用的技術(shù)開發(fā)漏洞利用工具，以期創(chuàng)造高收益。還記得Mac電腦一度被人們認為對黑客和病毒免疫嗎?事實上，這是因為微軟擁有更多的市場份額，因此利用Windows的回報率會更高，而不是因為Mac系統(tǒng)更安全。如今隨著Windows的攻擊難度提升，而Mac在企業(yè)中的部署激增，這種情況也發(fā)生了變化。同樣的道理，iOS漏洞利用的成本曾經(jīng)比Android漏洞要昂貴得多，但是隨著iOS漏洞越來越普遍，在市場力量的推動下，iOS漏洞利用正變得(相對)便宜。

總之，攻擊者不會根據(jù)漏洞的CVSS評分高低來確定攻擊目標。一次攻擊策劃設(shè)計多個組成部分，而攻擊的執(zhí)行則包含一系列的戰(zhàn)術(shù)、技術(shù)和流程。攻擊者必須在實現(xiàn)目標的同時還要管理資源，攻擊者實際上是在“經(jīng)營”業(yè)務(wù)，會為了達成業(yè)務(wù)目標而進行取舍。防御者也應(yīng)該牢記這一點。企業(yè)安全防御需要把好鋼用在刀刃上，有的放矢，對所有資產(chǎn)不加區(qū)別的保護，對所有攻擊者不加區(qū)別的防御，都是不科學的。攻擊總是不可避免的，在風險管理的語境里，就是把防御資源以最佳方式進行防御性下注，以優(yōu)化業(yè)務(wù)成果。像攻擊者那樣思考可以確定防御優(yōu)先級，聚焦那些對攻擊者來說價值較高、難度較低的資產(chǎn)，同時評估哪些安全加固的成本會超出收益。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文