知己知彼——了解你的对手


=Start=

缘由:

整理一下最近看到的2篇不错的文章,方便后面有需要的时候参考。

正文:

参考解答:

如果不了解网络攻击者将会追求什么,需要从了解环境开始,从了解他们将要做什么开始。了解环境,这样就可以随时观察一切,并确保拥有整个环境的广泛可见性

确保在环境中采取了保护措施。从开发人员的角度来看,确保了解正在管理的漏洞、自己知道的漏洞、第三方知道的漏洞,并采用适当的流程适当地管理它们。

&

  1. 智者千虑,必有一失(传统的安全攻防中防守方的困境)
  2. 知己知彼,百战不殆(知己知彼,知己不知彼,不知己不知彼)
  3. 他山之石,可以攻玉(借助其它内部团队、外部厂商的产品、能力、情报,帮助提升自己的能力)

What’s the most important task other CISOs should be doing at companies that are likely to be targeted by this kind of an adversary?

One of the first lessons that everybody should be aware of is the level of a threat actor. The nation-state is not some movie prop. It’s a very real threat actor that is patient, extremely thoughtful, on a mission, and very quiet in the environment. All those things that make them hard to discover and hard to combat is that adversary that we faced today. [Those same models] will start shifting to organized crime.

If you don’t understand what [adversaries] would be after, start there. Start by understanding your environment, start by understanding what they would be after, start by doing that quick visibility into your environment, so that you’re watching everything at every moment, and make sure that you do have broad ranges of visibility across the environment.

Make sure that you have the safeguards installed into your environment. From a development perspective, [make sure] that you’re managing vulnerabilities, ones that you know about, ones that third parties know about, and that you have a process in place to be able to manage them appropriately.

One of the lessons is, no matter how much you practice [incident response], it’s going to be different. When something of this level happens, you just need to be ready with your processes and procedures. We were there until two in the morning every morning for two weeks, simply because there’s just so much to do.

Have the right people on speed dial; you can’t do everything yourself. When you get something like this level, bring in folks that have done it before. From a messaging perspective, from a response perspective, from an investigation perspective, all those things require having skilled people involved who have been through it before.

About a year before the incident, we put a process in place that every security bug, whether it’s recorded externally, by our tools, or somewhere else, [becomes] a Jira ticket, just like regular bugs, but it gets a security tag, CVSS score. My security team monitors those. If they don’t meet our internal SLA for resolution, they go through our RAF (risk assessment form) process, where I have to sign off on the risk and the head of engineering signs off on the risk. That raises the level of how you deal with vulnerabilities in the product to an appropriate level to make decisions on whether something is fixed and how it gets fixed.

Have processes in place that make sure that you are at a moving forward on the vulnerability front, because it won’t necessarily be the threat actor is coming into your environment and changing code like they did in ours. It could be a threat actor discovering zero days in your products and being able to take advantage of those. So, make sure you have coverage in both of those areas.

对于可能成为这类对手攻击目标的公司,其他首席信息安全官应该做的最重要的工作是什么?

首先,每个人都应该了解威胁行为者的级别。民族国家不是什么电影道具。它是一个非常真实的威胁行为体,有耐心、考虑周全、有使命感,在执行任务时,在环境中非常安静。所有这些使得他们很难被发现,也很难被打败,这就是我们今天面临的对手。(这些相同的模式)将开始转向有组织犯罪。

如果你不了解[对手]的目标是什么,那就从这里开始。从了解你的环境开始,从了解他们的目标开始,从快速了解你的环境开始,这样你就能在每时每刻监视着一切,并确保你在整个环境中拥有广泛的可见性

确保在环境中安装了防护措施。从开发的角度来看,确保你正在管理漏洞,那些你知道的漏洞,那些第三方知道的漏洞,并且你有一个能够适当管理它们的流程。

其中一个教训是,无论你练习多少次(事件响应),结果都会有所不同。当这种级别的事情发生时,你只需要准备好你的流程和程序。连续两周,我们每天早上都在那里待到凌晨两点,因为有太多事情要做。

把合适的人放在合适的(快速响应的)位置上,你不可能事事亲力亲为。当你遇到这种情况时,请找一些有经验的人。从信息传递的角度来看,从回应的角度来看,从调查的角度来看,所有这些都需要有经验丰富的技术人员参与

大约在事件发生前一年,我们制定了一个流程,每个安全漏洞,无论是外部记录的、我们的工具,还是其他地方,要变成一个Jira票据,就像普通的漏洞一样,但它得到了一个安全标签、CVSS分数。我的安全团队会监视这些。如果他们不符合我们内部SLA的解决方案,他们将通过我们的RAF(风险评估表)过程,在那里我必须在风险上签字,工程主管在风险上签字。这将您如何处理产品中的漏洞提升到一个适当的水平,以决定是否修复以及如何修复。

有适当的流程,以确保您在漏洞方面取得进展,因为不一定是威胁行为者进入您的环境并更改代码,就像他们在我们的环境中所做的那样。它可能是一个威胁行为者在你的产品中发现了零日漏洞,并能够利用这些漏洞。所以,确保你在这两个领域都有覆盖。


智者千虑,必有一失

实际上,并不是安全没有发展,而是攻守方面不平等。“传统安全防护手段在防护已知的攻击类型时非常有效,但黑客的攻击手法越来越隐蔽和复杂,黑产越来越专业化、集团化”,UCloud安全专家宗泽表示,“这是传统安全方案很难涉及到的。”他透露,媒体报道的事件只是黑产很小的一方面,大多很久之后才进行曝光。更有甚者,现在黑产组织已经构建出一套个人信息查询系统,数千万的个人信息都可以在互联网上被黑客查询使用。宗泽指出,这就相当于企业同时对抗网络上的全部黑客,传统被动防御方案再安全,面对这种情况也无能为力。

此外,传统产业多是大中型企业,业务纷繁复杂,产业链条较长,数据中心分布各地,如果有边缘业务或环节不重视安全防护的话,“对黑客而言,仅需攻破一个点就可饶进内部系统,造成很大危害”;即便企业自身安全非常到位,但外包供应商也可能成为突破口,“就像《越狱》中,主角总能从供应商拿到自己的指纹一样”。

云安全联盟(CSA)大中华区主席李雨航指出:“大数据云计算时代,后端中心化趋势明显,前端量越来越大,不仅企业使用计算资源,任何个人也可以使用计算资源,安全的边界会更加模糊甚至消失。”

宗泽强调,一直依靠被动防御的思路去面对现在愈加专业、愈加网络化的黑客攻击,永远防不了,永远有漏洞,永远难逃数据泄露的问题。

知己知彼,百战不殆

以云计算和大数据为代表和推动力的“互联网+”战略极大地推动了传统产业的变革,但在对业务产生积极影响的同时,也让企业的信息安全环境产生了极大的改变。

《2016年云安全聚焦报告》便指出,众多企业不断加大云基础设施投入力度,同时亦开始意识到需要在新环境下实现与传统IT基础设施中相对等的安全控制与功能。

宗泽以孙子兵法举例:“知己知彼百战不殆。不知彼而知己,一胜一负。不知彼,不知己,每战必殆。”因此,想在互联网和云计算时代做好企业安全,必须首先了解对手——黑客黑产,和自己——企业的数据资产。

以炫耀技能为目的的攻击者越来越少,现在的黑客和黑产结合得越来越紧。宗泽以长期与黑客对抗的经验,总结出专业黑客的攻击链路:首先对目标企业踩点,查看企业网络设置、员工手机信息等;其次通过扫描、钓鱼、外包供应商漏洞等方式收集信息;随后进行密码破解、利用安全漏洞,渗透实际业务环境,再伺机攻击,获取非法利益。

传统安全方案聚焦外部防御,而黑产的查询系统暴露了大量个人信息,有时甚至可以直接以员工身份登陆内部系统,因此新环境下,企业安全人员必须足够了解真实的自己。

何谓真实的自己?按安全理论最小化原则,先封闭按需求开放,就是说必须明确企业IT哪些开放,钥匙在谁手中。另外“感觉会欺骗人的大脑,但是数据不会”,宗泽指出,新型安全需将机器和人都数字化处理。对于人,你的行为习惯数据会比你的感觉更了解你;对于机器,可以采集服务器应用层和日志监控等整个网络信息资产。通过整理并建立数据模型,就能够构建人和信息的行为链,帮助我们发现日常行为中的异常因素,比如核心数据库的异常IP链接,内部员工的异常使用习惯等,甚至可以把黑客行为串接起来,找出系统弱点,找出攻击源头。

此外还要注重连接化、可视化、云端化、分层化,让安全从单一的防护演变为完善支撑体系的生态系统。就像美国导弹系统防御系统那样,不仅有传统的陆地平面防御,而是海陆空立体式监控与防护。

他山之石,可以攻玉

最后宗泽总结,云端化和互联网+并没有改变安全攻防的本质,出现安全风险的主要原因在于企业业务云端化后,相应的安全意识和防御策略并没有随之更新。

云端转型,安全先行。互联网化的企业安全意识,须理清内部业务逻辑,认识到哪些联网,哪些隔离,哪些机密,哪些开放,并做好不同业务之间的隔离和管控;此外重视威胁情报,了解网络化的黑客手法和黑产动态

在防御策略方面,传统的安全设施往往难以适应如今多样化,个性化的互联网业务,宗泽建议传统企业互联网化时选择一些比较有互联网安全经验,尤其是专注服务企业的的云平台,因为他们更懂如何在互联网云端化上去应对黑客的攻击。

以UCloud为例,拥有整套互联网安全解决方案,提供了从网络、应用、主机等全面的安全纵深防护,包括网络抗D防护、WEB应用防火墙、安全审计服务、入侵检测等,2015年帮助企业用户抵御了880万个攻击源对云的漏洞攻击,拦截各类CC攻击318.6亿次。

同时,UCloud依托对互联网19个细分行业、250亿业务总量及超过6亿终端服务用户的大数据分析,率先进行大数据安全检测与防御系统的建设,由数据驱动安全,从防范拓展到预警。

但是宗泽也强调,任何单个机构依靠传统手段已难以有效应对互联网安全威胁。就像选择云服务一样,企业需联合第三方安全厂商,联手打造云端安全生态圈,这样才能有效抵御黑客攻击,促进国内网络安全形势更健康的发展。

“从传统安全到互联网安全,就是从被动防御以数据为基础的安全生态。就像独孤九剑一样,料敌先机,无招无败。”

参考链接:

SolarWinds CISO: Know your adversary, what they want, watch everything
https://www.csoonline.com/article/571527/solarwinds-ciso-know-your-adversary-what-they-want-watch-everything.html

SolarWinds公司首席信息安全官的建议:了解对手及其想要什么,并关注一切
https://mp.weixin.qq.com/s/8cdZXjyUSa2_o_x2R-jJdQ

安全专家宗泽:云端安全需知己知彼,数据比人更了解自己
https://mp.weixin.qq.com/s/6UagYD8XQkYvickGv_zYYA

=END=


《 “知己知彼——了解你的对手” 》 有 2 条评论

  1. 从美国国防部看内部威胁的五大关键指标
    https://mp.weixin.qq.com/s/T612UGxI8dQn1642Y3m74g
    `
    规模和频率(同比、环比): 以不正常的频率访问大量数据
    非工作职责范围内的敏感数据活动: 搜索、访问或下载不符合个人工作职能的高度敏感数据
    窥探/搜索: 以不寻常的方式、时间和频率搜索或研究公司敏感系统/数据
    内部通知的查看/复制/下载/转发行为: 对外暴露公司内部信息。

    ==

    五角大楼机密情报在社交媒体平台Discord上泄露,一番审查之后,美国国防部(DoD)拟成立内部威胁办公室监控雇员。

    6月30日,美国国防部长签发备忘录,要求成立内部威胁与网络能力联合管理办公室以“监督用户活动监测(UAM)”。

    尽管阻止内部人员泄露数据的任何举措都可带来潜在收益,但正如2014年美国国家安全系统委员会第504号指令所言,与UAM要求相关的问题才是重点。

    简而言之,当前的UAM数据要求不足以主动阻止内部风险演变为可致数据泄露事件的威胁。

    #### 真正的问题:UAM数据要求是被动反应式的

    美国国防部主动缓解内部风险的最大障碍在于所要求的UAM数据采集能力(充其量)是被动反应式的。

    按照CNSSD 504的要求,每个行政部门和机构都至少应该具备五种采集用户活动数据的技术能力。分别是:

    1、键盘记录
    2、完整的应用程序内容(例如,电子邮件、聊天、数据导入、数据导出)
    3、屏幕截图
    4、出于合法目的的文件跟踪(即,跟踪文件名称和文件位置变更的能力)
    5、将所采集的UAM数据追溯至特定用户

    截至2019年,具有机密信息访问权限的人有420万。上面列出的能力中有很多都依靠对员工的监控,这是隐私和员工信任方面的严重问题。但将监控作为在众多员工中发现极少数内鬼的主要机制显然是不可行的。即便碰巧发现了那么一两个,大多数内部风险不到真的发生数据泄露也不会暴露出来,而那时早已为时已晚。被动反应的方法设置了很低的标准,尤其是在国家安全方面。

    事涉国家秘密保护,拥有正确的数据是主动内部风险管理和被动损害控制之间的分水岭。

    键盘记录和屏幕截图不能用于阻止泄密事件发生:这类数据仅在事发后才有用,且即便到了那种时候,其用处也不大,因为损害已经造成。

    很有必要重视可早期用于主动缓解内部风险的数据,借此现代化UAM要求。这就是预警指标为何如此重要的原因:为在事发前检测、遏阻和瓦解内部风险留出时间。
    ==

    #### 五角大楼泄密:预警指标本可改变历史

    **如果目标是主动缓解内部风险,那在潜在数据渗漏发生之前拥有可操作数据就是一切**。仅靠UAM解决方案在数据泄露事件进行时和发生后捕捉数据是不够的。

    预警指标为分析师提供了在数据泄露事发前主动升级、调查和修复内部风险的时间。

    说到五角大楼泄密事件,有几个预警指标本可以用来提供主动识别风险并防止数据泄露所需的上下文。

    知道查找哪些东西和如何利用正确的数据是个精细活儿。仅靠孤立的数据点无法确定内部风险。内部风险确定是一项全面细致的工作,涉及长期关联和聚合来自员工、组织、网络和物理传感器的数据。

    #### 五角大楼泄密事件的五个潜在预警指标

    1. 规模和频率
    以不正常的频率访问大量数据,尤其是与同事相比

    2. 敏感度
    搜索、访问或聚合不符合个人工作职能的高度敏感数据

    3. 工作职能
    超出个人工作职能和部门范围或资历的任何其他活动

    4. 人力资源(HR)部门通知
    关于员工未授权或反社会活动的任何通知——无论多小(“看到什么就说什么”)

    5. 搜索
    以不寻常的方式、时间和频率搜索或研究公司网络(在本例中为联合全球情报通信系统)

    以上只是一些基于行为的预警指标。这些指标单独来看可能无害,但如果聚合并关联起来,尤其是与涉事人员颇具争议的网上表现相关联的时候,其风险状况就升高了。

    进一步讲,了解预警指标,建立捕捉这类指标并据此负责任地快速采取行动的机制,是主动检测和解决内部风险的关键。美国国防部拟成立的内部威胁与网络能力联合管理办公室可能是保护国家秘密的使命中或许考虑到这一点了吧。
    `

  2. [read]孙子兵法-03-谋攻篇
    https://ixyzero.com/blog/archives/4824.html
    `
    我认为,知己不知彼,胜率不是50%,至少是80%!要把工夫下在知己上。我不管你怎样,因为我也管不着,我只管我怎样,你怎样我都有准备,我还能调动你。

    读《曾国藩全集》,他的日记里很少谈敌情,都是研究自己军队建设管理的事。敌情,打了才晓得。
    `

    [read]孙子兵法-04~06-军形/兵势/虚实
    https://ixyzero.com/blog/archives/4826.html
    `
    先规划自己,让自己成为不可战胜的,就是知己;然后等待敌人什么时候可以被战胜的时机,就是知彼。

    《孙子兵法》有三个地方被人误读最多的,一是《计篇》,前面说了,“计”是计算衡量,不是奇谋巧计,不是诡道。二是“知己知彼,百战不殆”,**人人都想去知彼,不知道主要问题是不知己**。三就是“以正合,以奇胜”,都想贪巧求速,奇袭得胜,实际上孙子的“以奇胜”、出奇制胜,虽然也是出其不意、攻其无备,但这是分战法的排兵布阵,不是讲奇袭。
    `

    威胁情报的PPT学习
    https://ixyzero.com/blog/archives/3746.html
    `
    知己知彼,百战不殆。

    首要的是——知己,内部资产全面梳理,全面监控与检测;
    其次才是——知彼,外部威胁情报积累、监控;
    除了知己知彼之外,如果没有持续不断的运营、强有力的执行力,也无法百战不殆。
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注