背景

設(shè)計(jì)開發(fā)一套安全可靠的系統(tǒng)，除了需要有穩(wěn)定的功能支撐外還要設(shè)計(jì)開發(fā)能夠抵御各種攻擊者的攻擊，并且能保證受到攻擊者攻擊后能夠有應(yīng)急響應(yīng)方案確保業(yè)務(wù)正常運(yùn)行。

所有的系統(tǒng)安全攻擊都可以追溯到有動(dòng)機(jī)的攻擊者身上，對(duì)系統(tǒng)安全攻擊者的了解，有利于提高抵御各種災(zāi)難的能力和生存能力。

攻擊者一般是通過(guò)執(zhí)行惡意活動(dòng)以破壞, 暴露, 更改, 禁用, 竊取或未經(jīng)授權(quán)訪問(wèn)資產(chǎn)或未經(jīng)授權(quán)使用資產(chǎn)的個(gè)人或組織，通過(guò)了解攻擊者有利于我們提高我們產(chǎn)品的安全防御能力。

以攻擊者的角度進(jìn)行思考設(shè)計(jì)開發(fā)系統(tǒng)安全問(wèn)題。

攻擊者動(dòng)機(jī)

攻擊者主要的目標(biāo)圍繞著破壞系統(tǒng)安全性問(wèn)題，通過(guò)深入了解系統(tǒng)安全的攻擊者，從攻擊者的視角上來(lái)考慮設(shè)計(jì)系統(tǒng)安全性，這樣能夠更好了解如何對(duì)系統(tǒng)采取主動(dòng)和被動(dòng)的安全措施。

攻擊者對(duì)系統(tǒng)進(jìn)行發(fā)動(dòng)攻擊的動(dòng)機(jī)可細(xì)分:?

1、為了炫耀自己過(guò)硬的技術(shù);?

2、通過(guò)攻破系統(tǒng)而進(jìn)行獲取報(bào)酬;?

3、激進(jìn)主義者，為了發(fā)表自己某種觀點(diǎn)或傳播某種言論;?

4、一些受雇傭的商業(yè)攻擊者;?

5、單純?yōu)榱似茐南到y(tǒng)、銷毀數(shù)據(jù)。

系統(tǒng)攻擊者攻擊手段不僅僅在于：密碼方面攻擊（暴力攻擊、字典攻擊、社會(huì)工程、密碼嗅探器、鍵盤記錄器）、勒索軟件攻擊、網(wǎng)絡(luò)釣魚、DDos、SQL注入攻擊、DNS欺騙、僵尸網(wǎng)絡(luò)等等。

通過(guò)了解系統(tǒng)攻擊者的動(dòng)機(jī)，可以縮短溯源出真正的系統(tǒng)攻擊者的時(shí)間成本。

攻擊者畫像

通過(guò)思考和挖掘攻擊者的畫像，結(jié)合和理解攻擊者的系統(tǒng)攻擊動(dòng)機(jī)，可以挖掘出系統(tǒng)攻擊者是誰(shuí)，他們實(shí)施攻擊的目的，他們攻擊的利益鏈?zhǔn)鞘裁?。通過(guò)挖掘出攻擊者的畫像，有助于提高安全系統(tǒng)的安全防御能力。

系統(tǒng)攻擊者的群體可能是為了賺錢的漏洞研究員、網(wǎng)絡(luò)犯罪分子、內(nèi)部人員、業(yè)余愛(ài)好者，如果我們了解了這些攻擊者的畫像可以更清晰挖掘出攻擊者攻擊的方向。

下面就針對(duì)這些攻擊者畫像簡(jiǎn)短的解析。

漏洞研究員

他們應(yīng)用自身所掌握的安全技能，進(jìn)行對(duì)目標(biāo)系統(tǒng)尋找挖掘系統(tǒng)中存在的一些漏洞。漏洞研究員他們可以是全職的員工、兼職的自由職業(yè)者，甚至是偶然發(fā)現(xiàn)漏洞的普通人員。

一般情況下漏洞研究員，會(huì)在規(guī)定或約定的安全規(guī)范下進(jìn)行對(duì)系統(tǒng)安全漏洞的分析挖掘，因?yàn)橹挥性谙到y(tǒng)許可并且合規(guī)下才能獲取對(duì)應(yīng)的獎(jiǎng)勵(lì)并且不被認(rèn)定為犯罪行為。

和他們相關(guān)的，紅隊(duì)和滲透測(cè)試人員在系統(tǒng)所有者的許可下對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊。這方面的人員主要目標(biāo)就是尋找攻破系統(tǒng)安全的方法，專注于提高系統(tǒng)安全性。

業(yè)余愛(ài)好者

一般來(lái)說(shuō)業(yè)余愛(ài)好者的攻擊者，它們一般是對(duì)安全技術(shù)比較感興趣，在興趣的驅(qū)動(dòng)下嘗試對(duì)指定的系統(tǒng)安全進(jìn)行攻擊。

他們?cè)谝话闱闆r下都會(huì)遵守系統(tǒng)安全規(guī)則，不會(huì)對(duì)系統(tǒng)采取破壞系統(tǒng)安全的行為，也不會(huì)越界進(jìn)行從事犯罪行為。

犯罪分子

犯罪分鐘通過(guò)利用自身技術(shù)進(jìn)行對(duì)系統(tǒng)實(shí)施各種手法的攻擊，他們需要具備足夠強(qiáng)的技術(shù)。

在犯罪分子的攻擊手法中：

1、社會(huì)工程還是一個(gè)非常常見(jiàn)的攻擊手法；

2、實(shí)施勒索軟件手法也是很高頻方式，通過(guò)對(duì)用戶實(shí)施勒索威脅，威脅用戶以敏感信息進(jìn)行交換金錢，直到受害者向攻擊者支付金錢才能解決；

3、還有一些敏感信息收集軟件手法，犯罪分子惡意將軟件植入受害者的計(jì)算機(jī)或者手機(jī)中或通過(guò)誘導(dǎo)受害者進(jìn)行安裝啟動(dòng)惡意軟件。盜取用戶的敏感信息，用于威脅或二次出售。

總之犯罪分子會(huì)通過(guò)一系列非常規(guī)的攻擊手段進(jìn)行持續(xù)的攻擊直到攻陷整個(gè)系統(tǒng)。

內(nèi)部人員

每個(gè)公司都很多安全和不安全的內(nèi)部人員，這些內(nèi)部人員被信任的擁有系統(tǒng)內(nèi)部訪問(wèn)權(quán)限或特有權(quán)限，內(nèi)部安全風(fēng)險(xiǎn)往往是這些內(nèi)部人員構(gòu)成的威脅。

當(dāng)他們通過(guò)執(zhí)行對(duì)公司造成損害的各種惡意、疏忽或者意外情況的操作時(shí)，就會(huì)觸發(fā)對(duì)系統(tǒng)安全威脅。

當(dāng)要對(duì)系統(tǒng)安全做防御時(shí)候，出于抵御內(nèi)部人員的目的來(lái)設(shè)計(jì)的系統(tǒng)時(shí)，可靠性和安全性往往是相輔相成的。

內(nèi)部安全的威脅可細(xì)分為:內(nèi)部員工、乙方內(nèi)部人員、第三方內(nèi)部人員、相關(guān)知情人。

針對(duì)內(nèi)部人員風(fēng)險(xiǎn)可以參考下面幾個(gè)原則來(lái)降低風(fēng)險(xiǎn)

最小特權(quán)原則：無(wú)論訪問(wèn)范圍或者訪問(wèn)時(shí)間，僅授權(quán)履行工作職責(zé)所需的最小特權(quán)。

零信任：設(shè)計(jì)自動(dòng)化機(jī)制來(lái)管理系統(tǒng)，這樣內(nèi)部人員就不會(huì)過(guò)高訪問(wèn)權(quán)限，從而避免造成危害。

多方授權(quán)：使用技術(shù)控制手段要求多人授權(quán)敏感操作

審計(jì)和檢測(cè)：審閱所有訪問(wèn)日志和理由，確保安全性。

可恢復(fù)性：在破壞性操作后恢復(fù)系統(tǒng)的能力。

防御攻擊者

理解和分析透攻擊者是如何進(jìn)行對(duì)系統(tǒng)攻擊的難度就像變魔術(shù)一樣，由于網(wǎng)絡(luò)中各種攻擊技術(shù)的不斷迭代更新。

下面主要從威脅情報(bào)、網(wǎng)絡(luò)殺傷鏈和TTP這三方面展示分析下防御攻擊者方法。

威脅情報(bào)

威脅情報(bào)是識(shí)別和分析網(wǎng)絡(luò)威脅的過(guò)程，它描述了現(xiàn)存的、或者是即將出現(xiàn)針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。

威脅情報(bào)是關(guān)于威脅的信息，利用公開的資源，用于發(fā)現(xiàn)威脅并指導(dǎo)企業(yè)行動(dòng)以改善安全狀況。

目前市面上很多的安全公司對(duì)搜集捕獲到的安全威脅都做了詳細(xì)的分析和描述，這種威脅情報(bào)可以幫助構(gòu)建系統(tǒng)防御者了解真正的網(wǎng)絡(luò)攻擊者是如何進(jìn)行工作的，以及如果抵御這些攻擊者的攻擊的。

通過(guò)利用好威脅情報(bào)有助于降低安全風(fēng)險(xiǎn)、避免數(shù)據(jù)泄露、降低成本。

威脅情報(bào)生命周期：1.方向；2.收集；3.處理；4.分析；5.傳播；6.反饋。

威脅情報(bào)有多種展現(xiàn)形式：書面報(bào)告、失陷指標(biāo)、惡意軟件報(bào)告。

網(wǎng)絡(luò)殺傷鏈

網(wǎng)絡(luò)殺傷鏈又稱為網(wǎng)絡(luò)攻擊生命周期，它是攻擊準(zhǔn)備的一種方法是列出所有攻擊者為實(shí)現(xiàn)其攻擊目標(biāo)必須采取的所有步驟流程。

通過(guò)使用像網(wǎng)絡(luò)殺傷鏈的形式化框架來(lái)分析網(wǎng)絡(luò)安全攻擊。這種有助于在構(gòu)建防御控制的同時(shí)繪制攻擊的過(guò)程。

網(wǎng)絡(luò)殺傷鏈的7個(gè)詳細(xì)步驟：1.偵察；2.武器化；3.交付；4.利用；5.安裝；6.命令與控制；7.行動(dòng)。

TTP

通過(guò)對(duì)攻擊者的TTP（攻擊者技術(shù)、戰(zhàn)術(shù)和成效的3方面）進(jìn)行系統(tǒng)下分類，列舉攻擊者所采用各種攻擊手段是一種越來(lái)越常見(jiàn)的方法。

通過(guò)列出將攻擊者可能出現(xiàn)的攻擊行為，然后進(jìn)行針對(duì)每種攻擊方法構(gòu)建防御機(jī)制，它能夠?yàn)榘踩治鋈藛T提供一定的決策支持。

小結(jié)

通過(guò)關(guān)注了解安全公司發(fā)布的威脅情報(bào)，雖然很多步驟攻擊的方法可能是無(wú)效的，但它也提供了多個(gè)接觸點(diǎn)，我們可以在軟件做安全防御方面實(shí)現(xiàn)檢測(cè)和防御攻擊。

網(wǎng)絡(luò)攻擊首當(dāng)其沖做好內(nèi)部安全威脅防御，這種內(nèi)部的安全風(fēng)險(xiǎn)往往是最不好防御的。

了解潛在的攻擊者是誰(shuí)及其可能使用的方法是復(fù)雜又微妙的，復(fù)雜的攻擊策略下，往往最簡(jiǎn)單粗暴的網(wǎng)絡(luò)釣魚可能最有效果。

在系統(tǒng)軟件的安全防御上，進(jìn)行評(píng)估各種攻擊者造成的安全風(fēng)險(xiǎn)的時(shí)候，對(duì)資產(chǎn)信息的排查很重要，這些很可能成為攻擊者的首要攻擊目標(biāo)的目標(biāo)點(diǎn)。

通過(guò)在系統(tǒng)中盡可能的收集數(shù)據(jù)了解系統(tǒng)安全的情況，從而更好做好對(duì)系統(tǒng)的防御。

編輯：黃飛

?