理解网络安全攻防对抗_双向经营的ROI小游戏

2 月 ago
master@tadisi.com
1 minute

网络安全的本质就是攻防两端的对抗

实际上,攻防双方都可以看作是在进行一场经营模拟小游戏,投入一定成本,获得一定产出,只是在网络安全工作场景中,工作产出是难以评价。

所以在不考虑产出的情况下,攻防双方要付出那些成本呢?

我们不妨抽象一下思考:

攻防双方的成本大致可以看作由三方面组成:

时间成本、人工成本、攻防框架技术实现成本

  • 时间成本,讲的是攻防周期
  • 人工成本,讲的是双方人工投入
  • 攻防框架,讲的是攻防双方所构建的攻击体系&&防御体系

换句话说,网络对抗实际上是经过一场充分的竞争,提高产出的游戏。

重新考虑双方的投入产出。

在攻防对抗工作中,攻防双方的这场充分竞争,其实都在都尽可能提高对方的投入,降低对方的产出,同时尽可能在降低己方投入,获取高额产出

所以经营这个小游戏的核心就是持续优化投入产出比(ROI)。

简单的概括就是,攻击方和防守方均需要付出一定的成本达到自己的目标,都追求通过更廉价成本获取高收益,达成最终目标。

在时间成本上:

  • 对于攻击方来说

    • 如果需要在短时间完成一定目标,则时间成本昂贵。
    • 比如在进行限定时间的演习或短期的渗透测试任务中,往往需要在固定时间段提交尽可能多的成果,往往需要使用暴力扫描来获取信息,大幅度增加了防守方的警惕性,安全策略被广泛触发,发起过多无效攻击。
    • 如果可以长期潜伏,则时间成本廉价,如针对特定目标的APT组织,常见于长期窃密、商业间谍,在常态化的演习中,可以从容收集目标资产,调试免杀降低告警触发,所以我们可以看到,很多大型演习的攻击队伍已经开始囤积武器库。

  • 对于防守方来说

    • 时间往往是充裕的,防守方可以随时对自己的IT基础设进行进一步的加固
    • 但是相应的,防守方的应急响应时间是非常昂贵的。

在人工成本上:

  • 对于攻击方来说,成本集中于如何磨合成体系的队伍

    • 谁来完成精准的渗透策划,协调整个打击流程,编辑剧本脚本
    • 谁来搜集探测到团队认可的目标信息资产
    • 谁来快速定位漏洞,如何快速投递攻击载荷
    • 谁来分析情报,提供过程决策建议
    • 谁来武器化攻击工具
    • 谁来构建红队攻击基础设施

  • 对于防守方来说,成本集中于安全基础设施的覆盖率提升

    • 谁来制定安全基线、谁来铺设安全基线、谁来检测安全基线
    • 谁来提升安全设施的覆盖率、谁来检测安全设施覆盖的有效性
    • 谁来覆盖安全工作场景、谁来提供个场景的剧本脚本
    • 谁来提升安全意识、谁来检验安全意识
    • 谁来做检出率的提升(减少不报警)
    • 谁来提升异常行为检出(减少漏报)
    • 谁来做异常行为合并(减少多报、重报)
    • 谁来做正常行为的加白(减少误报)
    • 安全设施不覆盖、安全人员不关注,就等于不防护。

攻防框架的实现成本:

  • 对于攻击方来说,攻防框架的实现成本主要在于如何实现适当的隐蔽性

    • 比如在演习&渗透测试&信息搜集中,攻击方往往需要使用各种代理发起请求,构架干净的设施设备,尽可能的不暴露攻击来源。
    • 比如攻击方往往会构建各种难以追踪的域前置服务器,用以迷惑防守队伍。
    • 整个攻击流程,近似可以看作是attack杀伤链模型,要尽可能的减少告警。
    • 在真实攻击中,攻击者往往会控制肉鸡,构建较大的僵尸网络,借用多层的网络跳板和加密手段
    • 所以网络安全演习最终会发现,演习队伍实际上是在拟合真正的恶意黑客
    • 老美的一些X project 计划更为激进,希望构建普通士兵也能使用的攻击框架,即点即用,套用包以德循环(OODA)的思路,达到所见即所得、发现即摧毁。

  • 对于防守方来说,攻防框架的实现成本主要在于安全基础设施建设和防护自动化的完成

    • 防守放的防御框架,一般来说近似于IPDRR框架,但是在攻防对抗中主要倾向于反杀伤链模型,或许为未来会有一个defend框架
    • 安全基础设施的复杂度与IT基础设施高度拟合,如果防守方是传统基础设施,主机使用HIDS基本就能满足需求,但是如果追求快速响应,则需考虑一下edr到Xdr的联动响应,如果是K8S、容器环境那就需要进一步考虑RASP探针
    • 如果基础建设大幅度使用SSL证书和TLS协议,同时又追求web层的WAF监测防护,则需构建SSL证书卸载设施,以提高访问请求及回复数据的透明度,当然,这一点在全流量监测上也是如此,要么镜像流量配合证书解密,要么构建BPF/eBPF。
    • 昨晚安全设施的覆盖率提高到一定程度之后,安全水位大幅度提升,足以淹没攻击队的大部分攻击成本。
    • 完成自动化建设才是核心,因为只有机器才能对抗机器,攻击方的工具化程度越来越高,防守方也必须构建一套依托类似playbook或者workflow自动化响应平台。
    • 当然,完全隐蔽,或者零信任,也可能是一种有效的机制。

攻防双方的目标

  • 攻击方的目标,是获取收益

    • 是获取信息,如企业人员信息、业务信息、客户信息等
    • 是破坏生产秩序,摧毁防守方的持续生产
    • 是力量宣泄
    • 总的来说,是通过获取信息优势来获取各种超额收益(政治、经济)。

  • 防守方的目标,是对自身的保护

    • 是保障信息数据安全,保护敏感数据不泄露。
    • 是保障业务生产活动不被彻底中断。
    • 是降低攻击者的攻击效率,提供更充足的响应时间。
    • 增大攻击方的攻击成本,迫使攻击方转去捏软柿子。
    • 比如在其他文章里边写到的封禁公有云IP地址池来减少攻击量-封完攻防演练演习直接躺平,就是一种通过打击攻击者的攻击基础设施,迫使攻击者重新构造代理池,去使用肉鸡、代理服务、移动网络来进行替代公有云肉鸡,增加攻击队的暴露风险和基建成本。

总结:

抽象来理解,攻防双方的效果,与投入高低相关,也与对敌对方的识别和破坏相关。

高投入可能会带来战术上的短期胜利,但是在在战略上既要看投入产出比,也要看打击对方的投入产出比。