黑客在實(shí)施惡意行為時(shí)，往往對目標(biāo)擁有豐富的了解，CISO在制定防御策略時(shí)應(yīng)考慮這一現(xiàn)實(shí)。

安全專家對威脅行為者發(fā)起網(wǎng)絡(luò)攻擊時(shí)使用的技術(shù)戰(zhàn)術(shù)、技巧和程序(TTPs)有很好的洞察力，他們同樣精通關(guān)鍵的防御策略，例如基于風(fēng)險(xiǎn)優(yōu)先進(jìn)行補(bǔ)丁修復(fù)和實(shí)施零信任策略。

然而，企業(yè)安全領(lǐng)域似乎總是落后于黑客一步，后者每年成功發(fā)起的攻擊數(shù)量持續(xù)增加。

其中一個(gè)原因是，許多CISO低估了黑客帶來的知識，忽視了黑客利用的非技術(shù)性見解，而這些見解正是他們?nèi)〉蒙巷L(fēng)的關(guān)鍵。

“黑客知道，普通CISO肩負(fù)很多任務(wù)，資源有限，無法完成所有事情，所以CISO必須真正關(guān)注黑客的行動和他們的知識，才能最有效地防御他們。”IBM首席人類黑客Stephanie "Snow" Carruthers表示。

那么，黑客知道哪些可能未引起足夠重視的內(nèi)容呢?根據(jù)安全研究人員，以下是黑客用來策劃攻擊的六種策略，而CISO可能沒有意識到這些策略。

企業(yè)沒有針對黑客的實(shí)際攻擊方式進(jìn)行足夠積極的培訓(xùn)

當(dāng)新冠疫情爆發(fā)時(shí)，企業(yè)高管專注于帶領(lǐng)企業(yè)和員工安全度過危機(jī)，而黑客則看到了一個(gè)可利用的機(jī)會。

事實(shí)上，黑客愿意利用任何漏洞——無論其多么微小，Handshake Leadership網(wǎng)絡(luò)安全服務(wù)公司的創(chuàng)始人Erik J. Huffman表示。為了達(dá)到目的，他們甚至愿意讓CEO下臺，羞辱CFO，毀掉職業(yè)生涯，或癱瘓關(guān)鍵服務(wù)。

“犯罪分子的手段之低下，超出了我們的預(yù)期。”Huffman說道。

Huffman指出，大多數(shù)CISO雖然意識到這一點(diǎn)，但并未真正內(nèi)化這一事實(shí)。相反，他們通常設(shè)計(jì)反釣魚攻擊活動、安全意識培訓(xùn)計(jì)劃和安全演習(xí)，但這些并未融入黑客的“卑劣”手段。例如，他們通常不會設(shè)計(jì)高度個(gè)性化的電子郵件來模擬定向釣魚攻擊，因?yàn)檫@可能被認(rèn)為是過于激進(jìn)的舉措。

這是一個(gè)錯誤，而黑客正是利用了這一點(diǎn)，因?yàn)椤八麄冊敢庖訡ISO不愿意的方式發(fā)動攻擊，這意味著我們的訓(xùn)練并沒有真正反映戰(zhàn)斗的真實(shí)情況?！盚uffman說。他建議安全高管設(shè)計(jì)反釣魚攻擊活動、模擬和演習(xí)，盡可能貼近黑客的下流策略。“摘掉手套，真正挑戰(zhàn)你的團(tuán)隊(duì)?！?/p>

黑客知道根據(jù)你的日程安排選擇最佳攻擊時(shí)機(jī)

許多攻擊發(fā)生在最具挑戰(zhàn)的時(shí)間并非巧合，黑客確實(shí)會在周末和假期等安全團(tuán)隊(duì)人手不足時(shí)增加攻擊，而且他們更傾向于在午餐前或工作日結(jié)束時(shí)發(fā)動攻擊，因?yàn)榇藭r(shí)員工通常匆忙工作，因而不太注意到釣魚攻擊或欺詐活動的紅旗信號。

“黑客通常在那些時(shí)段發(fā)動攻擊，因?yàn)樗麄冎肋@些攻擊不太容易被察覺?！盨-RM(全球情報(bào)和網(wǎng)絡(luò)安全咨詢公司)的全球威脅情報(bào)負(fù)責(zé)人Melissa DeOrio表示。

DeOrio承認(rèn)，許多黑客位于那些工作時(shí)間與美洲和西歐的非工作時(shí)間相吻合的國家，但她表示，有證據(jù)表明，黑客確實(shí)利用這一差異，通過精確計(jì)算攻擊時(shí)間來占據(jù)優(yōu)勢。

此外，SafeBreach安全研究副總裁Tomer Bar表示，威脅行為者會尋找組織變革期(例如并購、裁員等)來進(jìn)行攻擊?！巴{行為者會試圖在CISO和藍(lán)隊(duì)最為艱難的時(shí)刻發(fā)起攻擊?！?/p>

盡管CISO通常知道黑客會選擇時(shí)機(jī)發(fā)動攻擊，專家表示，有些人可能沒有意識到黑客在研究和策劃最佳攻擊時(shí)間時(shí)是多么的有戰(zhàn)略眼光。此外，Bar表示，CISO在這一問題上可能并未給予足夠的關(guān)注。

為了應(yīng)對這一黑客策略，長期擔(dān)任安全領(lǐng)導(dǎo)的專家建議CISO在制定防御策略時(shí)考慮到這一點(diǎn)。CISO應(yīng)在非工作時(shí)間利用第三方服務(wù)來補(bǔ)充安全團(tuán)隊(duì)的工作日程，增加自動化以提高全天候的工作效率，在風(fēng)險(xiǎn)較高的時(shí)刻增加額外的安全層，如更多的監(jiān)控或更嚴(yán)格的過濾器，確保在假期等繁忙時(shí)段之前完成優(yōu)先的安全工作，并教育所有員工在這些時(shí)刻提高警惕。

DeOrio還建議開展應(yīng)急響應(yīng)演習(xí)，模擬事件發(fā)生在特別棘手的時(shí)間——例如在暑假期間的午夜——以便安全團(tuán)隊(duì)識別并彌補(bǔ)其響應(yīng)中的漏洞。

黑客會收集大量關(guān)于你的企業(yè)的情報(bào)

Carruthers表示，威脅行為者積極進(jìn)行開源情報(bào)(OSINT)收集，尋找可以用于策劃攻擊的信息。她說，黑客尋找有關(guān)重大裁員、并購等變革性事件的新聞并不令人意外，但CISO、他們的團(tuán)隊(duì)和其他高管可能會感到驚訝的是，黑客還會關(guān)注看似無關(guān)緊要的事件，例如技術(shù)實(shí)施、新的合作伙伴關(guān)系、大規(guī)模招聘以及高管的日程安排，這些信息可能揭示出他們何時(shí)不在辦公室。

誠然，這些低層級的活動不會像裁員和并購那樣引發(fā)員工焦慮或組織混亂，因此也不會給黑客提供相同的機(jī)會，然而，Carruthers指出，這些事件仍然會帶來變化，黑客可以利用這些變化?！八鼈兌紴楣粽咛峁┝藱C(jī)會。”

Carruthers深知這種黑客策略的有效性，她的道德黑客團(tuán)隊(duì)進(jìn)行的演習(xí)從收集六個(gè)月的公告、博客、社交媒體帖子和在線論壇信息開始，員工會在這些地方分享他們的想法，然后，她的團(tuán)隊(duì)根據(jù)這些信息確定何時(shí)何地發(fā)動攻擊，就像黑客會做的那樣，她表示，她的團(tuán)隊(duì)可能會利用一些對公司有利的事情發(fā)起釣魚攻擊，例如發(fā)送一封通知員工受歡迎的福利即將取消的郵件，或者團(tuán)隊(duì)會利用新技術(shù)遷移的機(jī)會，誘使員工分享登錄信息或憑據(jù)。

盡管CISO無法阻止新聞的流動，但他們可以應(yīng)對黑客利用這些信息攻擊其組織的能力，Carruthers表示。他們可以監(jiān)控與公司相關(guān)的開源情報(bào)(OSINT)，與其他高管協(xié)作發(fā)布公告及其發(fā)布時(shí)間，并從商業(yè)角度運(yùn)行這些公告的模擬演練。這一切都有助于CISO及其團(tuán)隊(duì)了解黑客的視角，更好地理解他們的思維方式，并為可能的定向攻擊做好準(zhǔn)備。

當(dāng)今的企業(yè)文化有利于黑客

安全意識培訓(xùn)通常教導(dǎo)員工花時(shí)間仔細(xì)檢查電子郵件或思考請求，以判斷其是否合法或可疑，然而，Huffman表示，如今的職場文化通常與這種方法背道而馳?！拔覀?yōu)樽约褐蒙碛诰o張的情緒狀態(tài)感到自豪?！彼f，并指出許多招聘廣告中使用的諸如“快節(jié)奏”、“動態(tài)”和“高強(qiáng)度”來形容企業(yè)文化的詞匯。

Huffman指出，在這樣的環(huán)境中，員工既沒有時(shí)間，也沒有被鼓勵花額外的時(shí)間來評估收到的信息(無論是電子郵件、電話、視頻還是短信)?！斑@就是黑客成功的原因：他們在我們處于緊張狀態(tài)時(shí)抓住機(jī)會，趁我們快速點(diǎn)擊處理1000封電子郵件時(shí)發(fā)動攻擊。”

CISO和他們的高管同事可以通過降低工作壓力來創(chuàng)建更安全的組織。

“我咨詢的許多公司并不真正了解他們的團(tuán)隊(duì)在多么辛苦地工作，以及他們承受了多大的壓力，他們以為自己有很好的文化，但他們的團(tuán)隊(duì)實(shí)際上在加班工作。如果公司能鼓勵員工放慢節(jié)奏，明確哪些事情可以推遲到明天，允許員工放松，他們會在保障企業(yè)安全方面做得更好。”Huffman說。

深度偽造真的奏效

深度偽造的效果足以欺騙員工。今年早些時(shí)候，一份報(bào)告指出，英國工程公司Arup的一名員工被騙子利用公司CFO的深度偽造請求轉(zhuǎn)賬2500萬美元。

“深度偽造技術(shù)已經(jīng)存在了近10年，但這項(xiàng)技術(shù)已經(jīng)得到了極大的改進(jìn)。”Immersive Labs的網(wǎng)絡(luò)威脅研究高級總監(jiān)Kev Breen說。他指出，深度偽造的音頻技術(shù)尤其成熟?！半m然深度偽造的視頻仍然很難制作，但只需要很少的音頻就能創(chuàng)建令人信服的片段?！?/p>

他說，大多數(shù)CISO都知道音頻和視頻深度偽造已經(jīng)足夠逼真，但許多其他高管和員工對這一新興威脅并沒有足夠的認(rèn)識。盡管這些深度偽造攻擊是高度定向的，黑客正是利用這種廣泛的認(rèn)知不足來提高成功率。

盡管目前還沒有能夠檢測和阻止深度偽造的安全工具，CISO可以通過教育員工了解這一威脅以及如何識別可能的深度偽造音頻和視頻來減輕這一威脅，同時(shí)更新涉及資金轉(zhuǎn)賬等業(yè)務(wù)流程的協(xié)議，確保請求此類操作的行為合法。

公司往往忘記讓控制措施獨(dú)立

深度防御可以增強(qiáng)企業(yè)的安全態(tài)勢，但許多企業(yè)并沒有從中受益，因?yàn)樗鼈兊目刂拼胧┎⒉华?dú)立，CTM Insights的創(chuàng)始人兼管理合伙人、網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室及孵化器負(fù)責(zé)人Lou Steinberg表示，他同時(shí)是MITRE科學(xué)技術(shù)咨詢委員會成員及前TD Ameritrade CTO。

“我見過一些案例，本應(yīng)獨(dú)立的控制措施都運(yùn)行在同一臺服務(wù)器上。黑客知道一旦攻破這臺服務(wù)器，他們就可以一次性攻破多個(gè)控制措施。”Steinberg說。

他還曾與一家公司合作，滲透測試顯示，一個(gè)網(wǎng)絡(luò)控制和一個(gè)非網(wǎng)絡(luò)控制都運(yùn)行在同一臺本地服務(wù)器上。

“兩個(gè)控制措施可以一起被繞過，這顯然不是什么好事?！彼f。

他還聽說過類似的云端場景，比如安全控制(如云訪問安全代理(CASB)或網(wǎng)絡(luò)應(yīng)用防火墻)的憑證與企業(yè)的云管理員的憑證相同的情況。

Steinberg表示，解決這個(gè)安全漏洞相對簡單：確?？刂拼胧┦仟?dú)立的，這樣即使一個(gè)控制措施被攻破，其他控制措施不會受到影響，從而實(shí)現(xiàn)真正的深度防御，而不僅僅是防御的假象。