安全專家對威脅行為者發(fā)起網(wǎng)絡(luò)攻擊時使用的技術(shù)戰(zhàn)術(shù)、技巧和程序(TTPs)有很好的洞察力,他們同樣精通關(guān)鍵的防御策略,例如基于風(fēng)險優(yōu)先進(jìn)行補(bǔ)丁修復(fù)和實(shí)施零信任策略。
然而,企業(yè)安全領(lǐng)域似乎總是落后于黑客一步,后者每年成功發(fā)起的攻擊數(shù)量持續(xù)增加。
其中一個原因是,許多CISO低估了黑客帶來的知識,忽視了黑客利用的非技術(shù)性見解,而這些見解正是他們?nèi)〉蒙巷L(fēng)的關(guān)鍵。
“黑客知道,普通CISO肩負(fù)很多任務(wù),資源有限,無法完成所有事情,所以CISO必須真正關(guān)注黑客的行動和他們的知識,才能最有效地防御他們。”IBM首席人類黑客Stephanie "Snow" Carruthers表示。
那么,黑客知道哪些可能未引起足夠重視的內(nèi)容呢?根據(jù)安全研究人員,以下是黑客用來策劃攻擊的六種策略,而CISO可能沒有意識到這些策略。
企業(yè)沒有針對黑客的實(shí)際攻擊方式進(jìn)行足夠積極的培訓(xùn)
當(dāng)新冠疫情爆發(fā)時,企業(yè)高管專注于帶領(lǐng)企業(yè)和員工安全度過危機(jī),而黑客則看到了一個可利用的機(jī)會。
事實(shí)上,黑客愿意利用任何漏洞——無論其多么微小,Handshake Leadership網(wǎng)絡(luò)安全服務(wù)公司的創(chuàng)始人Erik J. Huffman表示。為了達(dá)到目的,他們甚至愿意讓CEO下臺,羞辱CFO,毀掉職業(yè)生涯,或癱瘓關(guān)鍵服務(wù)。
“犯罪分子的手段之低下,超出了我們的預(yù)期。”Huffman說道。
Huffman指出,大多數(shù)CISO雖然意識到這一點(diǎn),但并未真正內(nèi)化這一事實(shí)。相反,他們通常設(shè)計反釣魚攻擊活動、安全意識培訓(xùn)計劃和安全演習(xí),但這些并未融入黑客的“卑劣”手段。例如,他們通常不會設(shè)計高度個性化的電子郵件來模擬定向釣魚攻擊,因?yàn)檫@可能被認(rèn)為是過于激進(jìn)的舉措。
這是一個錯誤,而黑客正是利用了這一點(diǎn),因?yàn)?ldquo;他們愿意以CISO不愿意的方式發(fā)動攻擊,這意味著我們的訓(xùn)練并沒有真正反映戰(zhàn)斗的真實(shí)情況。”Huffman說。他建議安全高管設(shè)計反釣魚攻擊活動、模擬和演習(xí),盡可能貼近黑客的下流策略。“摘掉手套,真正挑戰(zhàn)你的團(tuán)隊(duì)。”
黑客知道根據(jù)你的日程安排選擇最佳攻擊時機(jī)
許多攻擊發(fā)生在最具挑戰(zhàn)的時間并非巧合,黑客確實(shí)會在周末和假期等安全團(tuán)隊(duì)人手不足時增加攻擊,而且他們更傾向于在午餐前或工作日結(jié)束時發(fā)動攻擊,因?yàn)榇藭r員工通常匆忙工作,因而不太注意到釣魚攻擊或欺詐活動的紅旗信號。
“黑客通常在那些時段發(fā)動攻擊,因?yàn)樗麄冎肋@些攻擊不太容易被察覺。”S-RM(全球情報和網(wǎng)絡(luò)安全咨詢公司)的全球威脅情報負(fù)責(zé)人Melissa DeOrio表示。
DeOrio承認(rèn),許多黑客位于那些工作時間與美洲和西歐的非工作時間相吻合的國家,但她表示,有證據(jù)表明,黑客確實(shí)利用這一差異,通過精確計算攻擊時間來占據(jù)優(yōu)勢。
此外,SafeBreach安全研究副總裁Tomer Bar表示,威脅行為者會尋找組織變革期(例如并購、裁員等)來進(jìn)行攻擊。“威脅行為者會試圖在CISO和藍(lán)隊(duì)最為艱難的時刻發(fā)起攻擊。”
盡管CISO通常知道黑客會選擇時機(jī)發(fā)動攻擊,專家表示,有些人可能沒有意識到黑客在研究和策劃最佳攻擊時間時是多么的有戰(zhàn)略眼光。此外,Bar表示,CISO在這一問題上可能并未給予足夠的關(guān)注。
為了應(yīng)對這一黑客策略,長期擔(dān)任安全領(lǐng)導(dǎo)的專家建議CISO在制定防御策略時考慮到這一點(diǎn)。CISO應(yīng)在非工作時間利用第三方服務(wù)來補(bǔ)充安全團(tuán)隊(duì)的工作日程,增加自動化以提高全天候的工作效率,在風(fēng)險較高的時刻增加額外的安全層,如更多的監(jiān)控或更嚴(yán)格的過濾器,確保在假期等繁忙時段之前完成優(yōu)先的安全工作,并教育所有員工在這些時刻提高警惕。
DeOrio還建議開展應(yīng)急響應(yīng)演習(xí),模擬事件發(fā)生在特別棘手的時間——例如在暑假期間的午夜——以便安全團(tuán)隊(duì)識別并彌補(bǔ)其響應(yīng)中的漏洞。
黑客會收集大量關(guān)于你的企業(yè)的情報
Carruthers表示,威脅行為者積極進(jìn)行開源情報(OSINT)收集,尋找可以用于策劃攻擊的信息。她說,黑客尋找有關(guān)重大裁員、并購等變革性事件的新聞并不令人意外,但CISO、他們的團(tuán)隊(duì)和其他高管可能會感到驚訝的是,黑客還會關(guān)注看似無關(guān)緊要的事件,例如技術(shù)實(shí)施、新的合作伙伴關(guān)系、大規(guī)模招聘以及高管的日程安排,這些信息可能揭示出他們何時不在辦公室。
誠然,這些低層級的活動不會像裁員和并購那樣引發(fā)員工焦慮或組織混亂,因此也不會給黑客提供相同的機(jī)會,然而,Carruthers指出,這些事件仍然會帶來變化,黑客可以利用這些變化。“它們都為攻擊者提供了機(jī)會。”
Carruthers深知這種黑客策略的有效性,她的道德黑客團(tuán)隊(duì)進(jìn)行的演習(xí)從收集六個月的公告、博客、社交媒體帖子和在線論壇信息開始,員工會在這些地方分享他們的想法,然后,她的團(tuán)隊(duì)根據(jù)這些信息確定何時何地發(fā)動攻擊,就像黑客會做的那樣,她表示,她的團(tuán)隊(duì)可能會利用一些對公司有利的事情發(fā)起釣魚攻擊,例如發(fā)送一封通知員工受歡迎的福利即將取消的郵件,或者團(tuán)隊(duì)會利用新技術(shù)遷移的機(jī)會,誘使員工分享登錄信息或憑據(jù)。
盡管CISO無法阻止新聞的流動,但他們可以應(yīng)對黑客利用這些信息攻擊其組織的能力,Carruthers表示。他們可以監(jiān)控與公司相關(guān)的開源情報(OSINT),與其他高管協(xié)作發(fā)布公告及其發(fā)布時間,并從商業(yè)角度運(yùn)行這些公告的模擬演練。這一切都有助于CISO及其團(tuán)隊(duì)了解黑客的視角,更好地理解他們的思維方式,并為可能的定向攻擊做好準(zhǔn)備。
當(dāng)今的企業(yè)文化有利于黑客
安全意識培訓(xùn)通常教導(dǎo)員工花時間仔細(xì)檢查電子郵件或思考請求,以判斷其是否合法或可疑,然而,Huffman表示,如今的職場文化通常與這種方法背道而馳。“我們?yōu)樽约褐蒙碛诰o張的情緒狀態(tài)感到自豪。”他說,并指出許多招聘廣告中使用的諸如“快節(jié)奏”、“動態(tài)”和“高強(qiáng)度”來形容企業(yè)文化的詞匯。
Huffman指出,在這樣的環(huán)境中,員工既沒有時間,也沒有被鼓勵花額外的時間來評估收到的信息(無論是電子郵件、電話、視頻還是短信)。“這就是黑客成功的原因:他們在我們處于緊張狀態(tài)時抓住機(jī)會,趁我們快速點(diǎn)擊處理1000封電子郵件時發(fā)動攻擊。”
CISO和他們的高管同事可以通過降低工作壓力來創(chuàng)建更安全的組織。
“我咨詢的許多公司并不真正了解他們的團(tuán)隊(duì)在多么辛苦地工作,以及他們承受了多大的壓力,他們以為自己有很好的文化,但他們的團(tuán)隊(duì)實(shí)際上在加班工作。如果公司能鼓勵員工放慢節(jié)奏,明確哪些事情可以推遲到明天,允許員工放松,他們會在保障企業(yè)安全方面做得更好。”Huffman說。
深度偽造真的奏效
深度偽造的效果足以欺騙員工。今年早些時候,一份報告指出,英國工程公司Arup的一名員工被騙子利用公司CFO的深度偽造請求轉(zhuǎn)賬2500萬美元。
“深度偽造技術(shù)已經(jīng)存在了近10年,但這項(xiàng)技術(shù)已經(jīng)得到了極大的改進(jìn)。”Immersive Labs的網(wǎng)絡(luò)威脅研究高級總監(jiān)Kev Breen說。他指出,深度偽造的音頻技術(shù)尤其成熟。“雖然深度偽造的視頻仍然很難制作,但只需要很少的音頻就能創(chuàng)建令人信服的片段。”
他說,大多數(shù)CISO都知道音頻和視頻深度偽造已經(jīng)足夠逼真,但許多其他高管和員工對這一新興威脅并沒有足夠的認(rèn)識。盡管這些深度偽造攻擊是高度定向的,黑客正是利用這種廣泛的認(rèn)知不足來提高成功率。
盡管目前還沒有能夠檢測和阻止深度偽造的安全工具,CISO可以通過教育員工了解這一威脅以及如何識別可能的深度偽造音頻和視頻來減輕這一威脅,同時更新涉及資金轉(zhuǎn)賬等業(yè)務(wù)流程的協(xié)議,確保請求此類操作的行為合法。
公司往往忘記讓控制措施獨(dú)立
深度防御可以增強(qiáng)企業(yè)的安全態(tài)勢,但許多企業(yè)并沒有從中受益,因?yàn)樗鼈兊目刂拼胧┎⒉华?dú)立,CTM Insights的創(chuàng)始人兼管理合伙人、網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室及孵化器負(fù)責(zé)人Lou Steinberg表示,他同時是MITRE科學(xué)技術(shù)咨詢委員會成員及前TD Ameritrade CTO。
“我見過一些案例,本應(yīng)獨(dú)立的控制措施都運(yùn)行在同一臺服務(wù)器上。黑客知道一旦攻破這臺服務(wù)器,他們就可以一次性攻破多個控制措施。”Steinberg說。
他還曾與一家公司合作,滲透測試顯示,一個網(wǎng)絡(luò)控制和一個非網(wǎng)絡(luò)控制都運(yùn)行在同一臺本地服務(wù)器上。
“兩個控制措施可以一起被繞過,這顯然不是什么好事。”他說。
他還聽說過類似的云端場景,比如安全控制(如云訪問安全代理(CASB)或網(wǎng)絡(luò)應(yīng)用防火墻)的憑證與企業(yè)的云管理員的憑證相同的情況。
Steinberg表示,解決這個安全漏洞相對簡單:確??刂拼胧┦仟?dú)立的,這樣即使一個控制措施被攻破,其他控制措施不會受到影響,從而實(shí)現(xiàn)真正的深度防御,而不僅僅是防御的假象。
企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。