為什麼網路安全防禦人員應該擁有網路攻擊者的思考方式

由於互聯裝置、雲服務、物聯網技術和混合工作環境，當今的安全領導者必須管理不斷髮展的攻擊面和動態威脅環境。網路攻擊者不斷引入新的攻擊技術，大小規模的企業都需要做好準備。

為了應對當今的安全環境，防禦者需要敏捷和創新。簡而言之，我們需要開始像網路攻擊者一樣思考。透過像網路攻擊者那樣去思考，可以更有效確定補救的優先順序，並且更好了解潛在可利用途徑。

駭客思維vs傳統防禦

1.更好地瞭解潛在的可利用途徑。

許多組織採用傳統的方法進行漏洞管理，記錄他們的資產並識別相關的漏洞，通常是按照嚴格的時間表進行的。這種策略面臨的一個問題是，防禦人員也會被這種流程所影響思考方式，但攻擊者並不會。對攻擊者來說，找到一條最便捷的途徑再好不過。因此防禦人員應該考慮哪些資產連線並信任其他資產?哪些是面向外部的?在非關鍵系統中攻擊者是否可以建立立足點，並利用其進入更重要的系統。這些都是能夠識別真正風險的關鍵問題。

2.更有效地確定缺陷修復活動的優先順序。

決定哪些問題需要立即採取行動，哪些可以等待是一項複雜的平衡工作。很少有公司擁有無限的資源來一次性解決整個攻擊面，但攻擊者們正在尋找最簡單、回報最大的方法。透過確定缺陷修復優先順序，可以避免更大的風險。

3.更批判性地評估現有的偏見。

規模較小的公司經常誤以為他們不是攻擊者的目標，然而現實並非如此。Verizon 《2023年資料洩露調查報告》顯示，在小型企業(員工人數少於1000人)中發現了699起安全事件和381起確認的資料洩露，但在大型企業(員工人數超過1000人)中只有496起事件和227起確認的資料洩露。網路釣魚攻擊不分青紅皂白，而勒索軟體同樣可以在較小的組織中獲得豐厚的利潤。

如何像網路攻擊者一樣思考

安全專業人員如何才能成功實現這種思維方式轉變?

1. 瞭解攻擊者的策略

採用攻擊者的思維方式有助於安全負責人預測潛在的漏洞點並建立防禦。

舉個例子：今天的攻擊者使用盡可能多的自動化來瞄準現代網路上的大量系統。這意味著防禦者必須為暴力攻擊、載入程式、鍵盤記錄器、漏洞利用工具包和其他可快速部署的策略做好準備。

安全團隊還需要評估在真實場景中對這些策略的響應。在測試環境中進行測試可以提供一個保障，但在生產環境中進行評估會更安心。同樣，模擬也可以提供很多資訊，但團隊必須更進一步，看看他們的防禦如何經受住滲透測試和強大的模擬攻擊。

2. 一步一步揭示完整的攻擊路徑

任何漏洞都不是孤立存在的。攻擊者可以結合多個漏洞來形成一個完整的攻擊路徑。因此，安全負責人需要能視覺化“大局”並測試他們的整個環境。透過識別攻擊者從偵察到利用和影響可能採取的關鍵路徑，防禦者可以有效地確定優先順序和補救措施。

3. 根據影響確定補救措施的優先順序

攻擊者通常會尋找阻力最小的路徑。這意味著應首先解決影響最大的可利用路徑。在此基礎上，在資源允許的情況下逐步完成不太可能出現的場景。

領導者還應該考慮他們需要修復的漏洞對業務的潛在影響。例如，單個網路配置錯誤或具有過多許可權的單個使用者可能導致許多可能的攻擊路徑。優先考慮高價值資產和關鍵安全漏洞有助於避免將資源分散到整個攻擊面的陷阱。

4. 驗證安全投資的有效性

測試安全產品和程式的實際發揮多少作用至關重要。例如， EDR 是否正確檢測可疑活動?SIEM 是否按預期傳送警報?SOC 響應速度有多快?最重要的是，安全堆疊中的所有工具如何有效地協同工作?在衡量安全投資的作用時，這些測試是必不可少的。

傳統的攻擊模擬工具可以測試已知的場景，並測試針對已知威脅的現有防禦。但是針對不知道的東西進行測試呢?在軟體開發時進行靜態測試減少軟體系統中的潛在漏洞和威脅，另外使用對抗視角可以針對所有方案和威脅進行自主測試，從而揭示隱藏的錯誤配置、影子 IT 或有關控制如何工作的錯誤假設。這些未知的安全漏洞是防禦者最難發現的，因此攻擊者會積極尋找這些漏洞。

參讀來源：