利用攻击者剧本提高安全性

高绩效团队依赖于定义的流程。有时这些被称为剧本。

原来有纪律的攻击者也使用剧本。

里克·霍华德(LinkedIn,Twitter) 表明知识可能是改进和自动化安全性的另一种方法的关键。霍华德是帕洛阿尔托网络公司(Palo Alto Networks)的首席安全官,有23年的军事经验,他在帕洛阿尔托网络公司继续建设42号机组威胁情报团队,支持公司的产品线,是网络安全领域受人尊敬的思想领袖和公司传道者。他在InfoSec的几个不同领域都有丰富的背景,包括公共和私营部门的经验。

里克·霍华德的安全镜头:

大多数网络防御者都熟悉防守战术。这些剧本包含了一组预定义的动作,当在我们的操作权限内发生重复的情况时,我们可以运行这些动作。我们没有在每次情况出现时都做出反应,而是推出上次处理同样情况时效果最好的剧本。每次演出时,我们都会不断地改进,这样下次遇到同样的情况时,我们的反应会更好。

网络防御者还必须记住的一点是,网络对手也使用剧本来执行攻击。网络对手不会在每次针对新的受害者时都制造新的攻击序列。他们不会为每一次新的攻击发明新的交付方案,也不会发明新的零日攻击、新的指挥和控制基础设施、新的横向移动方式或新的数据外泄方式。对手重复使用相同的攻击序列,在时间和地点上对先前的受害者起作用

敌方反复使用与先前受害者相同的攻击序列,直到network defender社区决定如何阻止他们。

换言之,他们重复使用相同的进攻战术,直到他们不再工作。

这就引出了一个问题:在某一天,互联网上活跃着多少攻击性的剧本?当网络对手早上一手端着咖啡,一手拿着攻击笔记本来上班时,他们坐在终端攻击一个新的受害者,打开攻击笔记本翻开第一页,阅读第一条指令,那一刻世界上到底有多少笔记本?

在这一点上,网络卫士社区作为一个整体并没有一个很好的答案。我问过世界各地的政府网络情报组织。他们都认为现存的剧本数量很少,也许不到100本。我也和那些不持有许可证的商业网络维护者谈过,他们认为这个数字更大,接近20000。

但关键是:不是一百万。在最坏的情况下,network defender社区设置的上限是20000,在这种情况下这不是一个大数字。如果network defender社区协作,每天自动实时共享这20000个对手剧本的更改,那么整个世界都可以在所有已知对手剧本演变过程中获得全面保护。这可能会改变游戏规则,这正是 网络威胁联盟 正在尝试做。

我经常帮助领导者和他们的团队开发系统,以提高他们的绩效和加速他们的成果。里克指出,成功的攻击者也会做同样的事情——知道这一点,我们就能扭转局面。

我喜欢学习、共享和利用信息来自动防御的想法。这意味着我们的集体知识和经验有助于增加对攻击者的摩擦。虽然这意味着他们只会开发新的剧本,但这个过程需要时间,而且会在过程中制造噪音。

你认为如何扭转进攻局面,让我们的防御系统自动对抗他们的战术?

在我们的Facebook页面上发表你的评论,或者把它放到Twitter上,和我(@catalyst)、里克(@raceBannon99)和其他人交谈。

准备…准备…反应!