背景

設(shè)計(jì)開(kāi)發(fā)一套安全可靠的系統(tǒng)，除了需要有穩(wěn)定的功能支撐外還要設(shè)計(jì)開(kāi)發(fā)能夠抵御各種攻擊者的攻擊，并且能保證受到攻擊者攻擊后能夠有應(yīng)急響應(yīng)方案確保業(yè)務(wù)正常運(yùn)行。

所有的系統(tǒng)安全攻擊都可以追溯到有動(dòng)機(jī)的攻擊者身上，對(duì)系統(tǒng)安全攻擊者的了解，有利于提高抵御各種災(zāi)難的能力和生存能力。

攻擊者一般是通過(guò)執(zhí)行惡意活動(dòng)以破壞, 暴露, 更改, 禁用, 竊取或未經(jīng)授權(quán)訪(fǎng)問(wèn)資產(chǎn)或未經(jīng)授權(quán)使用資產(chǎn)的個(gè)人或組織，通過(guò)了解攻擊者有利于我們提高我們產(chǎn)品的安全防御能力。

以攻擊者的角度進(jìn)行思考設(shè)計(jì)開(kāi)發(fā)系統(tǒng)安全問(wèn)題。

攻擊者動(dòng)機(jī)

攻擊者主要的目標(biāo)圍繞著破壞系統(tǒng)安全性問(wèn)題，通過(guò)深入了解系統(tǒng)安全的攻擊者，從攻擊者的視角上來(lái)考慮設(shè)計(jì)系統(tǒng)安全性，這樣能夠更好了解如何對(duì)系統(tǒng)采取主動(dòng)和被動(dòng)的安全措施。

攻擊者對(duì)系統(tǒng)進(jìn)行發(fā)動(dòng)攻擊的動(dòng)機(jī)可細(xì)分:?

1、為了炫耀自己過(guò)硬的技術(shù);?

2、通過(guò)攻破系統(tǒng)而進(jìn)行獲取報(bào)酬;?

3、激進(jìn)主義者，為了發(fā)表自己某種觀點(diǎn)或傳播某種言論;?

4、一些受雇傭的商業(yè)攻擊者;?

5、單純?yōu)榱似茐南到y(tǒng)、銷(xiāo)毀數(shù)據(jù)。

系統(tǒng)攻擊者攻擊手段不僅僅在于：密碼方面攻擊（暴力攻擊、字典攻擊、社會(huì)工程、密碼嗅探器、鍵盤(pán)記錄器）、勒索軟件攻擊、網(wǎng)絡(luò)釣魚(yú)、DDos、SQL注入攻擊、DNS欺騙、僵尸網(wǎng)絡(luò)等等。

通過(guò)了解系統(tǒng)攻擊者的動(dòng)機(jī)，可以縮短溯源出真正的系統(tǒng)攻擊者的時(shí)間成本。

攻擊者畫(huà)像

通過(guò)思考和挖掘攻擊者的畫(huà)像，結(jié)合和理解攻擊者的系統(tǒng)攻擊動(dòng)機(jī)，可以挖掘出系統(tǒng)攻擊者是誰(shuí)，他們實(shí)施攻擊的目的，他們攻擊的利益鏈?zhǔn)鞘裁?。通過(guò)挖掘出攻擊者的畫(huà)像，有助于提高安全系統(tǒng)的安全防御能力。

系統(tǒng)攻擊者的群體可能是為了賺錢(qián)的漏洞研究員、網(wǎng)絡(luò)犯罪分子、內(nèi)部人員、業(yè)余愛(ài)好者，如果我們了解了這些攻擊者的畫(huà)像可以更清晰挖掘出攻擊者攻擊的方向。

下面就針對(duì)這些攻擊者畫(huà)像簡(jiǎn)短的解析。

漏洞研究員

他們應(yīng)用自身所掌握的安全技能，進(jìn)行對(duì)目標(biāo)系統(tǒng)尋找挖掘系統(tǒng)中存在的一些漏洞。漏洞研究員他們可以是全職的員工、兼職的自由職業(yè)者，甚至是偶然發(fā)現(xiàn)漏洞的普通人員。

一般情況下漏洞研究員，會(huì)在規(guī)定或約定的安全規(guī)范下進(jìn)行對(duì)系統(tǒng)安全漏洞的分析挖掘，因?yàn)橹挥性谙到y(tǒng)許可并且合規(guī)下才能獲取對(duì)應(yīng)的獎(jiǎng)勵(lì)并且不被認(rèn)定為犯罪行為。

和他們相關(guān)的，紅隊(duì)和滲透測(cè)試人員在系統(tǒng)所有者的許可下對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊。這方面的人員主要目標(biāo)就是尋找攻破系統(tǒng)安全的方法，專(zhuān)注于提高系統(tǒng)安全性。

業(yè)余愛(ài)好者

一般來(lái)說(shuō)業(yè)余愛(ài)好者的攻擊者，它們一般是對(duì)安全技術(shù)比較感興趣，在興趣的驅(qū)動(dòng)下嘗試對(duì)指定的系統(tǒng)安全進(jìn)行攻擊。

他們?cè)谝话闱闆r下都會(huì)遵守系統(tǒng)安全規(guī)則，不會(huì)對(duì)系統(tǒng)采取破壞系統(tǒng)安全的行為，也不會(huì)越界進(jìn)行從事犯罪行為。

犯罪分子

犯罪分鐘通過(guò)利用自身技術(shù)進(jìn)行對(duì)系統(tǒng)實(shí)施各種手法的攻擊，他們需要具備足夠強(qiáng)的技術(shù)。

在犯罪分子的攻擊手法中：

1、社會(huì)工程還是一個(gè)非常常見(jiàn)的攻擊手法；

2、實(shí)施勒索軟件手法也是很高頻方式，通過(guò)對(duì)用戶(hù)實(shí)施勒索威脅，威脅用戶(hù)以敏感信息進(jìn)行交換金錢(qián)，直到受害者向攻擊者支付金錢(qián)才能解決；

3、還有一些敏感信息收集軟件手法，犯罪分子惡意將軟件植入受害者的計(jì)算機(jī)或者手機(jī)中或通過(guò)誘導(dǎo)受害者進(jìn)行安裝啟動(dòng)惡意軟件。盜取用戶(hù)的敏感信息，用于威脅或二次出售。

總之犯罪分子會(huì)通過(guò)一系列非常規(guī)的攻擊手段進(jìn)行持續(xù)的攻擊直到攻陷整個(gè)系統(tǒng)。

內(nèi)部人員

每個(gè)公司都很多安全和不安全的內(nèi)部人員，這些內(nèi)部人員被信任的擁有系統(tǒng)內(nèi)部訪(fǎng)問(wèn)權(quán)限或特有權(quán)限，內(nèi)部安全風(fēng)險(xiǎn)往往是這些內(nèi)部人員構(gòu)成的威脅。

當(dāng)他們通過(guò)執(zhí)行對(duì)公司造成損害的各種惡意、疏忽或者意外情況的操作時(shí)，就會(huì)觸發(fā)對(duì)系統(tǒng)安全威脅。

當(dāng)要對(duì)系統(tǒng)安全做防御時(shí)候，出于抵御內(nèi)部人員的目的來(lái)設(shè)計(jì)的系統(tǒng)時(shí)，可靠性和安全性往往是相輔相成的。

內(nèi)部安全的威脅可細(xì)分為:內(nèi)部員工、乙方內(nèi)部人員、第三方內(nèi)部人員、相關(guān)知情人。

針對(duì)內(nèi)部人員風(fēng)險(xiǎn)可以參考下面幾個(gè)原則來(lái)降低風(fēng)險(xiǎn)

最小特權(quán)原則：無(wú)論訪(fǎng)問(wèn)范圍或者訪(fǎng)問(wèn)時(shí)間，僅授權(quán)履行工作職責(zé)所需的最小特權(quán)。

零信任：設(shè)計(jì)自動(dòng)化機(jī)制來(lái)管理系統(tǒng)，這樣內(nèi)部人員就不會(huì)過(guò)高訪(fǎng)問(wèn)權(quán)限，從而避免造成危害。

多方授權(quán)：使用技術(shù)控制手段要求多人授權(quán)敏感操作

審計(jì)和檢測(cè)：審閱所有訪(fǎng)問(wèn)日志和理由，確保安全性。

可恢復(fù)性：在破壞性操作后恢復(fù)系統(tǒng)的能力。

防御攻擊者

理解和分析透攻擊者是如何進(jìn)行對(duì)系統(tǒng)攻擊的難度就像變魔術(shù)一樣，由于網(wǎng)絡(luò)中各種攻擊技術(shù)的不斷迭代更新。

下面主要從威脅情報(bào)、網(wǎng)絡(luò)殺傷鏈和TTP這三方面展示分析下防御攻擊者方法。

威脅情報(bào)

威脅情報(bào)是識(shí)別和分析網(wǎng)絡(luò)威脅的過(guò)程，它描述了現(xiàn)存的、或者是即將出現(xiàn)針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。

威脅情報(bào)是關(guān)于威脅的信息，利用公開(kāi)的資源，用于發(fā)現(xiàn)威脅并指導(dǎo)企業(yè)行動(dòng)以改善安全狀況。

目前市面上很多的安全公司對(duì)搜集捕獲到的安全威脅都做了詳細(xì)的分析和描述，這種威脅情報(bào)可以幫助構(gòu)建系統(tǒng)防御者了解真正的網(wǎng)絡(luò)攻擊者是如何進(jìn)行工作的，以及如果抵御這些攻擊者的攻擊的。

通過(guò)利用好威脅情報(bào)有助于降低安全風(fēng)險(xiǎn)、避免數(shù)據(jù)泄露、降低成本。

威脅情報(bào)生命周期：1.方向；2.收集；3.處理；4.分析；5.傳播；6.反饋。

威脅情報(bào)有多種展現(xiàn)形式：書(shū)面報(bào)告、失陷指標(biāo)、惡意軟件報(bào)告。

網(wǎng)絡(luò)殺傷鏈

網(wǎng)絡(luò)殺傷鏈又稱(chēng)為網(wǎng)絡(luò)攻擊生命周期，它是攻擊準(zhǔn)備的一種方法是列出所有攻擊者為實(shí)現(xiàn)其攻擊目標(biāo)必須采取的所有步驟流程。

通過(guò)使用像網(wǎng)絡(luò)殺傷鏈的形式化框架來(lái)分析網(wǎng)絡(luò)安全攻擊。這種有助于在構(gòu)建防御控制的同時(shí)繪制攻擊的過(guò)程。

網(wǎng)絡(luò)殺傷鏈的7個(gè)詳細(xì)步驟：1.偵察；2.武器化；3.交付；4.利用；5.安裝；6.命令與控制；7.行動(dòng)。

TTP

通過(guò)對(duì)攻擊者的TTP（攻擊者技術(shù)、戰(zhàn)術(shù)和成效的3方面）進(jìn)行系統(tǒng)下分類(lèi)，列舉攻擊者所采用各種攻擊手段是一種越來(lái)越常見(jiàn)的方法。

通過(guò)列出將攻擊者可能出現(xiàn)的攻擊行為，然后進(jìn)行針對(duì)每種攻擊方法構(gòu)建防御機(jī)制，它能夠?yàn)榘踩治鋈藛T提供一定的決策支持。

小結(jié)

通過(guò)關(guān)注了解安全公司發(fā)布的威脅情報(bào)，雖然很多步驟攻擊的方法可能是無(wú)效的，但它也提供了多個(gè)接觸點(diǎn)，我們可以在軟件做安全防御方面實(shí)現(xiàn)檢測(cè)和防御攻擊。

網(wǎng)絡(luò)攻擊首當(dāng)其沖做好內(nèi)部安全威脅防御，這種內(nèi)部的安全風(fēng)險(xiǎn)往往是最不好防御的。

了解潛在的攻擊者是誰(shuí)及其可能使用的方法是復(fù)雜又微妙的，復(fù)雜的攻擊策略下，往往最簡(jiǎn)單粗暴的網(wǎng)絡(luò)釣魚(yú)可能最有效果。

在系統(tǒng)軟件的安全防御上，進(jìn)行評(píng)估各種攻擊者造成的安全風(fēng)險(xiǎn)的時(shí)候，對(duì)資產(chǎn)信息的排查很重要，這些很可能成為攻擊者的首要攻擊目標(biāo)的目標(biāo)點(diǎn)。

通過(guò)在系統(tǒng)中盡可能的收集數(shù)據(jù)了解系統(tǒng)安全的情況，從而更好做好對(duì)系統(tǒng)的防御。

編輯：黃飛

?