以攻擊者角度淺談系統(tǒng)安全

背景

設(shè)計開發(fā)一套安全可靠的系統(tǒng)，除了需要有穩(wěn)定的功能支撐外還要設(shè)計開發(fā)能夠抵御各種攻擊者的攻擊，并且能保證受到攻擊者攻擊后能夠有應急響應方案確保業(yè)務正常運行。

所有的系統(tǒng)安全攻擊都可以追溯到有動機的攻擊者身上，對系統(tǒng)安全攻擊者的了解，有利于提高抵御各種災難的能力和生存能力。

攻擊者一般是通過執(zhí)行惡意活動以破壞, 暴露, 更改, 禁用, 竊取或未經(jīng)授權(quán)訪問資產(chǎn)或未經(jīng)授權(quán)使用資產(chǎn)的個人或組織，通過了解攻擊者有利于我們提高我們產(chǎn)品的安全防御能力。

以攻擊者的角度進行思考設(shè)計開發(fā)系統(tǒng)安全問題。

攻擊者動機

攻擊者主要的目標圍繞著破壞系統(tǒng)安全性問題，通過深入了解系統(tǒng)安全的攻擊者，從攻擊者的視角上來考慮設(shè)計系統(tǒng)安全性，這樣能夠更好了解如何對系統(tǒng)采取主動和被動的安全措施。

攻擊者對系統(tǒng)進行發(fā)動攻擊的動機可細分:?

1、為了炫耀自己過硬的技術(shù);?

2、通過攻破系統(tǒng)而進行獲取報酬;?

3、激進主義者，為了發(fā)表自己某種觀點或傳播某種言論;?

4、一些受雇傭的商業(yè)攻擊者;?

5、單純?yōu)榱似茐南到y(tǒng)、銷毀數(shù)據(jù)。

系統(tǒng)攻擊者攻擊手段不僅僅在于：密碼方面攻擊（暴力攻擊、字典攻擊、社會工程、密碼嗅探器、鍵盤記錄器）、勒索軟件攻擊、網(wǎng)絡釣魚、DDos、SQL注入攻擊、DNS欺騙、僵尸網(wǎng)絡等等。

通過了解系統(tǒng)攻擊者的動機，可以縮短溯源出真正的系統(tǒng)攻擊者的時間成本。

攻擊者畫像

通過思考和挖掘攻擊者的畫像，結(jié)合和理解攻擊者的系統(tǒng)攻擊動機，可以挖掘出系統(tǒng)攻擊者是誰，他們實施攻擊的目的，他們攻擊的利益鏈是什么。通過挖掘出攻擊者的畫像，有助于提高安全系統(tǒng)的安全防御能力。

系統(tǒng)攻擊者的群體可能是為了賺錢的漏洞研究員、網(wǎng)絡犯罪分子、內(nèi)部人員、業(yè)余愛好者，如果我們了解了這些攻擊者的畫像可以更清晰挖掘出攻擊者攻擊的方向。

下面就針對這些攻擊者畫像簡短的解析。

漏洞研究員

他們應用自身所掌握的安全技能，進行對目標系統(tǒng)尋找挖掘系統(tǒng)中存在的一些漏洞。漏洞研究員他們可以是全職的員工、兼職的自由職業(yè)者，甚至是偶然發(fā)現(xiàn)漏洞的普通人員。

一般情況下漏洞研究員，會在規(guī)定或約定的安全規(guī)范下進行對系統(tǒng)安全漏洞的分析挖掘，因為只有在系統(tǒng)許可并且合規(guī)下才能獲取對應的獎勵并且不被認定為犯罪行為。

和他們相關(guān)的，紅隊和滲透測試人員在系統(tǒng)所有者的許可下對目標系統(tǒng)進行攻擊。這方面的人員主要目標就是尋找攻破系統(tǒng)安全的方法，專注于提高系統(tǒng)安全性。

業(yè)余愛好者

一般來說業(yè)余愛好者的攻擊者，它們一般是對安全技術(shù)比較感興趣，在興趣的驅(qū)動下嘗試對指定的系統(tǒng)安全進行攻擊。

他們在一般情況下都會遵守系統(tǒng)安全規(guī)則，不會對系統(tǒng)采取破壞系統(tǒng)安全的行為，也不會越界進行從事犯罪行為。

犯罪分子

犯罪分鐘通過利用自身技術(shù)進行對系統(tǒng)實施各種手法的攻擊，他們需要具備足夠強的技術(shù)。

在犯罪分子的攻擊手法中：

1、社會工程還是一個非常常見的攻擊手法；

2、實施勒索軟件手法也是很高頻方式，通過對用戶實施勒索威脅，威脅用戶以敏感信息進行交換金錢，直到受害者向攻擊者支付金錢才能解決；

3、還有一些敏感信息收集軟件手法，犯罪分子惡意將軟件植入受害者的計算機或者手機中或通過誘導受害者進行安裝啟動惡意軟件。盜取用戶的敏感信息，用于威脅或二次出售。

總之犯罪分子會通過一系列非常規(guī)的攻擊手段進行持續(xù)的攻擊直到攻陷整個系統(tǒng)。

內(nèi)部人員

每個公司都很多安全和不安全的內(nèi)部人員，這些內(nèi)部人員被信任的擁有系統(tǒng)內(nèi)部訪問權(quán)限或特有權(quán)限，內(nèi)部安全風險往往是這些內(nèi)部人員構(gòu)成的威脅。

當他們通過執(zhí)行對公司造成損害的各種惡意、疏忽或者意外情況的操作時，就會觸發(fā)對系統(tǒng)安全威脅。

當要對系統(tǒng)安全做防御時候，出于抵御內(nèi)部人員的目的來設(shè)計的系統(tǒng)時，可靠性和安全性往往是相輔相成的。

內(nèi)部安全的威脅可細分為:內(nèi)部員工、乙方內(nèi)部人員、第三方內(nèi)部人員、相關(guān)知情人。

針對內(nèi)部人員風險可以參考下面幾個原則來降低風險

最小特權(quán)原則：無論訪問范圍或者訪問時間，僅授權(quán)履行工作職責所需的最小特權(quán)。

零信任：設(shè)計自動化機制來管理系統(tǒng)，這樣內(nèi)部人員就不會過高訪問權(quán)限，從而避免造成危害。

多方授權(quán)：使用技術(shù)控制手段要求多人授權(quán)敏感操作

審計和檢測：審閱所有訪問日志和理由，確保安全性。

可恢復性：在破壞性操作后恢復系統(tǒng)的能力。

防御攻擊者

理解和分析透攻擊者是如何進行對系統(tǒng)攻擊的難度就像變魔術(shù)一樣，由于網(wǎng)絡中各種攻擊技術(shù)的不斷迭代更新。

下面主要從威脅情報、網(wǎng)絡殺傷鏈和TTP這三方面展示分析下防御攻擊者方法。

威脅情報

威脅情報是識別和分析網(wǎng)絡威脅的過程，它描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險，并可以用于通知主體針對相關(guān)威脅或危險采取某種響應。

威脅情報是關(guān)于威脅的信息，利用公開的資源，用于發(fā)現(xiàn)威脅并指導企業(yè)行動以改善安全狀況。

目前市面上很多的安全公司對搜集捕獲到的安全威脅都做了詳細的分析和描述，這種威脅情報可以幫助構(gòu)建系統(tǒng)防御者了解真正的網(wǎng)絡攻擊者是如何進行工作的，以及如果抵御這些攻擊者的攻擊的。

通過利用好威脅情報有助于降低安全風險、避免數(shù)據(jù)泄露、降低成本。

威脅情報生命周期：1.方向；2.收集；3.處理；4.分析；5.傳播；6.反饋。

威脅情報有多種展現(xiàn)形式：書面報告、失陷指標、惡意軟件報告。

網(wǎng)絡殺傷鏈

網(wǎng)絡殺傷鏈又稱為網(wǎng)絡攻擊生命周期，它是攻擊準備的一種方法是列出所有攻擊者為實現(xiàn)其攻擊目標必須采取的所有步驟流程。

通過使用像網(wǎng)絡殺傷鏈的形式化框架來分析網(wǎng)絡安全攻擊。這種有助于在構(gòu)建防御控制的同時繪制攻擊的過程。

網(wǎng)絡殺傷鏈的7個詳細步驟：1.偵察；2.武器化；3.交付；4.利用；5.安裝；6.命令與控制；7.行動。

TTP

通過對攻擊者的TTP（攻擊者技術(shù)、戰(zhàn)術(shù)和成效的3方面）進行系統(tǒng)下分類，列舉攻擊者所采用各種攻擊手段是一種越來越常見的方法。

通過列出將攻擊者可能出現(xiàn)的攻擊行為，然后進行針對每種攻擊方法構(gòu)建防御機制，它能夠為安全分析人員提供一定的決策支持。

小結(jié)

通過關(guān)注了解安全公司發(fā)布的威脅情報，雖然很多步驟攻擊的方法可能是無效的，但它也提供了多個接觸點，我們可以在軟件做安全防御方面實現(xiàn)檢測和防御攻擊。

網(wǎng)絡攻擊首當其沖做好內(nèi)部安全威脅防御，這種內(nèi)部的安全風險往往是最不好防御的。

了解潛在的攻擊者是誰及其可能使用的方法是復雜又微妙的，復雜的攻擊策略下，往往最簡單粗暴的網(wǎng)絡釣魚可能最有效果。

在系統(tǒng)軟件的安全防御上，進行評估各種攻擊者造成的安全風險的時候，對資產(chǎn)信息的排查很重要，這些很可能成為攻擊者的首要攻擊目標的目標點。

通過在系統(tǒng)中盡可能的收集數(shù)據(jù)了解系統(tǒng)安全的情況，從而更好做好對系統(tǒng)的防御。

編輯：黃飛

?