构建受威胁教育的保护:了解你的敌人、你的战场和你自己
已发表: 2021-12-28
在最近的网络威胁形势下,了解可能的攻击可能来自何处以及它们如何攻击您的公司比以往任何时候都更加重要。
全球范围内的网络犯罪已经增长到对地球金融状况造成约一万亿美元的拖累——这个数字比比利时的 GDP 还要大。
随着企业获取其大部分信息和程序的数字化,所有这些电子财产现在都成为一个集中的机会,其攻击面积比以往任何时候都大。
生产力、舒适性和性能一直是电子革命的驱动力,塑造了一个我们都相互联系、网络与线下无缝融合的世界。 今年早些时候的殖民管道勒索软件攻击清楚地提醒人们,网络攻击如何通过在美国东海岸失去汽油来源而对物理星球产生影响。
安全专家目前警告说,黑客可能会专注于心脏起搏器、胰岛素泵或连接的汽车。 端点在任何时候都变得更加多样化和分散。 它们不再只是个人电脑和服务器,还包括手机、相机、HVAC 替代品、打印机、手表、智能扬声器等等。 勒索软件的风险现在是地方性的。 加密货币的增加表明网络犯罪分子可以进行匿名、无风险的交易。
所有这一切综合起来,使一个充满灾难性危险的生态系统成为可能。 网络攻击正变得越来越难以从中恢复并产生更大的影响。 公司将需要变得更聪明,行动更快,以主动应对他们正在努力应对的威胁。
对安全技术的投资是不够的。 我们目前观察到企业中“假设违规”的觉醒——除了常规的网络保护计划之外,还朝着提高响应和恢复能力的方向转变。 意识到攻击不是“如果”的主题,而是“何时”的主题,组织必须有可靠的事件反应、危机管理和灾难恢复计划。
必须能够像应对威胁一样有效地确定、保护、检测并更好地应对威胁:这些能力是建立全面网络弹性系统的组成部分。 但网络弹性也与减少威胁有关——了解哪些网络安全活动将对您的业务产生最显着的影响,并适当地确定您的保护措施的优先级。 您必须非常了解潜在的攻击者及其技术,才能建立一个了解威胁的、依赖于威胁的安全计划。
成为网络战场一切就绪
机会是概率和不利影响的表现。 与不太可能但会导致主要伤害的功能相比,极有可能实现但影响最小的功能提供的总体可能性要小得多。
因此,公司希望首先评估他们的哪些财产最有可能继续受到攻击,其次是这些资产对他们来说有多大价值。 如果您了解使用单个攻击向量进行攻击的可能性,您只能完全识别您的可利用区域。 因此,研究您的对手及其运行方式是这种以威胁为基础的方法的关键部分。
你需要了解你的敌人,你的战场和你自己。 企业需要谨慎地分析他们的个人股票——信息、方法和他们的战场——社区以及他们的机会攻击者。
意识到敌人是最艰难的部分。 谁是对您的公司着迷的危险人物?为什么他们将您视为引人注目的目标? 他们的动机和目标是什么? 他们是如何完成这项工作的——他们使用了哪些方法、方法和治疗 (TTP) 以及这些方法如何适用于您的个人自然环境? 他们最可能攻击的确切位置以及他们将如何损害您的业务或您的消费者?
在组织获得这种深入熟悉之后,它可以让您决定威胁修改的优先级,以进行正确的安全控制和投资。 预测攻击者可以做什么将有助于识别您的防御漏洞,并帮助确定提高安全性的地方。 相反,如果您从不了解攻击者将对您使用的方法,那么构建高效的网络弹性软件是极其困难的。
采取进攻姿态从了解你的敌人开始
那么,您如何确定并熟悉可能的攻击者呢? 威胁情报工具通常会确保提供解决方案,但当它们可以在任何安全系统中发挥关键作用时,它们最终只是主要基于妥协指标的反应性答案。 它们倾向于包含太多未经过滤的信息,威胁指标不断变化。 另一方面,研究对手的 TTP 必须是主动和有针对性的行动方案。 值得庆幸的是,有许多开源资源可以帮助企业了解威胁行为者的运作方式。
MITRE ATT&CK 数据库是一个很好的起点,它是一个非常容易获得的公认对手方法和策略库。 它包括有关网络对手行为的详细信息,反映了攻击生命周期的不同阶段以及他们公认的目标平台,并提供了一个通常被危险猎人、红队和防御者用来对攻击进行分类和评估的框架。
ThaiCERT 提供了一个不同的有用的危险参与者百科全书。 然而,没有一个全面的所有攻击者的库存——攻击者经常可以在独特的幌子下运作。
对于一些最新的见解,保护供应商会监控参与者并发布此信息。 例如,在 Datto 的危险管理网络讨论板上免费提供威胁概况,他们的威胁管理团队在该板上分享危险概况、签名和有关威胁的详细信息,这些威胁集中在 MSP 本地社区及其 SMB 客户身上。 不久前,其他个人资料还涉及俄罗斯国家资助的黑客团队 APT29,也被视为勒索软件和臭名昭著的网络犯罪组织 Wizard Spider 的锁比特爱人 Cozy Bear 和 Darkish Halo。
每个配置文件都包含参与者概述、他们的动机、TTP、可行的缓解或防御措施、检测选项和添加的资产。 科学家们还将参与者映射回 MITRE ATT&CK 框架和 CIS Vital Protection Safeguards,以使信息易于操作。
将网络对手置于他们的区域:理解、优先考虑、保护、测试
当您获得了关于哪些风险参与者可能潜伏的必要见解时,模拟他们的方法将帮助您找出您在公司中的主要机会宣传 - 以及您可以采取哪些措施来减轻这种危险。 通过对他们之前的违规行为进行逆向工程,您可以自信地优先考虑并执行最有效的安全控制措施,以对抗不同的参与者。
为了帮助检查您的配置,有一系列可模拟特定对手的开源免费工具,例如 Caldera(利用 ATT&CK 产品)或 Pink Canary 的 Atomic Pink Group。
对手仿真不同于渗透测试和深红色团队,因为它使用一个场景来测试一个独特的对手的 TTP。 可以在您的周围环境中预防或检测到人的技术吗? 至关重要的是要像人们一样有效地探索技术知识和流程,以绝对认识到您的防御系统是如何协同运作的。 重复这个系统,直到你最终准备好与这个对手进行战斗。
中小企业必须至少在日历年或每次出现主要新威胁时执行此操作,大型公司和 MSP 每季度执行一次,但对于企业而言,以威胁为依据的防御计划是一项持续的努力和艰苦的工作。
此外,任何公司都需要遵守 CIS Vital Security Controls - 作为最低要求,在实施组 1 (IG1) 控制上花费足够的时间来确保关键的网络清洁。
主要因素是仅仅开始。 没有必要对这项工作感到困惑。 从针对 CIS IG1 的逐个球洞评估开始:即使每 7 天投入一个小时在基于风险和威胁的解决方案上,也将有助于提高您的全面稳定性。
熟悉企业风险概况中的不良行为者对于建立高效的威胁教育安全软件以确保网络弹性至关重要。 随着公司开始感觉更像黑客,他们将准备好做出更好的危险知识决策,并且将被改进以自我保护。
Ryan Weeks,首席信息安全官, Datto