構建受威脅教育的保護:了解你的敵人、你的戰場和你自己
已發表: 2021-12-28
在最近的網絡威脅形勢下,了解可能的攻擊可能來自何處以及它們如何攻擊您的公司比以往任何時候都更加重要。
全球範圍內的網絡犯罪已經增長到對地球金融狀況造成約一萬億美元的拖累——這個數字比比利時的 GDP 還要大。
隨著企業獲取其大部分信息和程序的數字化,所有這些電子財產現在都成為一個集中的機會,其攻擊面積比以往任何時候都大。
生產力、舒適性和性能一直是電子革命的驅動力,塑造了一個我們都相互聯繫、網絡與線下無縫融合的世界。 今年早些時候的殖民管道勒索軟件攻擊清楚地提醒人們,網絡攻擊如何通過在美國東海岸失去汽油來源而對物理星球產生影響。
安全專家目前警告說,黑客可能會專注於心臟起搏器、胰島素泵或連接的汽車。 端點在任何時候都變得更加多樣化和分散。 它們不再只是個人電腦和服務器,還包括手機、相機、HVAC 替代品、打印機、手錶、智能揚聲器等等。 勒索軟件的風險現在是地方性的。 加密貨幣的增加表明網絡犯罪分子可以進行匿名、無風險的交易。
所有這一切綜合起來,使一個充滿災難性危險的生態系統成為可能。 網絡攻擊正變得越來越難以從中恢復並產生更大的影響。 公司將需要變得更聰明,行動更快,以主動應對他們正在努力應對的威脅。
對安全技術的投資是不夠的。 我們目前觀察到企業中“假設違規”的覺醒——除了常規的網絡保護計劃之外,還朝著提高響應和恢復能力的方向轉變。 意識到攻擊不是“如果”的主題,而是“何時”的主題,組織必須有可靠的事件反應、危機管理和災難恢復計劃。
必須能夠像應對威脅一樣有效地確定、保護、檢測並更好地應對威脅:這些能力是建立全面網絡彈性系統的組成部分。 但網絡彈性也與減少威脅有關——了解哪些網絡安全活動將對您的業務產生最顯著的影響,並適當地確定您的保護措施的優先級。 您必須非常了解潛在的攻擊者及其技術,才能建立一個了解威脅的、依賴於威脅的安全計劃。
成為網絡戰場一切就緒
機會是概率和不利影響的表現。 與不太可能但會導致主要傷害的功能相比,極有可能實現但影響最小的功能提供的總體可能性要小得多。
因此,公司希望首先評估他們的哪些財產最有可能繼續受到攻擊,其次是這些資產對他們來說有多大價值。 如果您了解使用單個攻擊向量進行攻擊的可能性,您只能完全識別您的可利用區域。 因此,研究您的對手及其運行方式是這種以威脅為基礎的方法的關鍵部分。
你需要了解你的敵人,你的戰場和你自己。 企業需要謹慎地分析他們的個人股票——信息、方法和他們的戰場——社區以及他們的機會攻擊者。
意識到敵人是最艱難的部分。 誰是對您的公司著迷的危險人物?為什麼他們將您視為引人注目的目標? 他們的動機和目標是什麼? 他們是如何完成這項工作的——他們使用了哪些方法、方法和治療 (TTP) 以及這些方法如何適用於您的個人自然環境? 他們最可能攻擊的確切位置以及他們將如何損害您的業務或您的消費者?
在組織獲得這種深入熟悉之後,它可以讓您決定威脅修改的優先級,以進行正確的安全控制和投資。 預測攻擊者可以做什麼將有助於識別您的防禦漏洞,並幫助確定提高安全性的地方。 相反,如果您從不了解攻擊者將對您使用的方法,那麼構建高效的網絡彈性軟件是極其困難的。
採取進攻姿態從了解你的敵人開始
那麼,您如何確定並熟悉可能的攻擊者呢? 威脅情報工具通常會確保提供解決方案,但當它們可以在任何安全系統中發揮關鍵作用時,它們最終只是主要基於妥協指標的反應性答案。 它們傾向於包含太多未經過濾的信息,威脅指標不斷變化。 另一方面,研究對手的 TTP 必須是主動和有針對性的行動方案。 值得慶幸的是,有許多開源資源可以幫助企業了解威脅行為者的運作方式。
MITRE ATT&CK 數據庫是一個很好的起點,它是一個非常容易獲得的公認對手方法和策略庫。 它包括有關網絡對手行為的詳細信息,反映了攻擊生命週期的不同階段以及他們公認的目標平台,並提供了一個通常被危險獵人、紅隊和防御者用來對攻擊進行分類和評估的框架。
ThaiCERT 提供了一個不同的有用的危險參與者百科全書。 然而,沒有一個全面的所有攻擊者的庫存——攻擊者經常可以在獨特的幌子下運作。
對於一些最新的見解,保護供應商會監控參與者並發布此信息。 例如,在 Datto 的危險管理網絡討論板上免費提供威脅概況,他們的威脅管理團隊在該板上分享危險概況、簽名和有關威脅的詳細信息,這些威脅集中在 MSP 本地社區及其 SMB 客戶身上。 不久前,其他個人資料還涉及俄羅斯國家資助的黑客團隊 APT29,也被視為勒索軟件和臭名昭著的網絡犯罪組織 Wizard Spider 的鎖比特愛人 Cozy Bear 和 Darkish Halo。
每個配置文件都包含參與者概述、他們的動機、TTP、可行的緩解或防禦措施、檢測選項和添加的資產。 科學家們還將參與者映射回 MITRE ATT&CK 框架和 CIS Vital Protection Safeguards,以使信息易於操作。
將網絡對手置於他們的區域:理解、優先考慮、保護、測試
當您獲得了關於哪些風險參與者可能潛伏的必要見解時,模擬他們的方法將幫助您找出您在公司中的主要機會宣傳 - 以及您可以採取哪些措施來減輕這種危險。 通過對他們之前的違規行為進行逆向工程,您可以自信地優先考慮並執行最有效的安全控制措施,以對抗不同的參與者。
為了幫助檢查您的配置,有一系列可模擬特定對手的開源免費工具,例如 Caldera(利用 ATT&CK 產品)或 Pink Canary 的 Atomic Pink Group。
對手仿真與滲透測試和深紅組合的不同之處在於,它使用一個場景來測試一個獨特的對手的 TTP。 可以在您的周圍環境中預防或檢測到人的技術嗎? 至關重要的是要像人們一樣有效地探索技術知識和流程,以絕對認識到您的防禦系統是如何協同運作的。 重複這個系統,直到你最終準備好與這個對手進行戰鬥。
中小企業必須至少在一個日曆年或每次出現主要的新威脅時執行此操作,大型公司和 MSP 每季度一次,但對於企業而言,以威脅為依據的防禦計劃是一項持續的努力和艱苦的工作。
此外,任何公司都需要遵守 CIS Vital Security Controls - 作為最低要求,在實施組 1 (IG1) 控制上花費足夠的時間來確保關鍵的網絡清潔。
主要因素是僅僅開始。 沒有必要對這項工作感到困惑。 從針對 CIS IG1 的逐個球洞評估開始:即使每 7 天投入一個小時在基於風險和威脅的解決方案上,也將有助於提高您的全面穩定性。
熟悉企業風險概況中的不良行為者對於建立高效的威脅教育安全軟件以確保網絡彈性至關重要。 隨著公司開始感覺更像黑客,他們將準備好做出更好的危險知識決策,並且將被改進以自我保護。
Ryan Weeks,首席信息安全官, Datto