将防御者困境转化为防御者优势
网络安全防御者天生处于劣势的所谓"防御者困境"观念不仅错误且具有反效果。我们不应只关注如何应对攻击者策略,而应识别并利用防御者身份的固有优势。本文阐释防御者思维模式的内涵及其如何助力强化安全体系。
何为防御者困境?
安全专业人员长期用"防御者困境"宣称企业在网络攻击防护中处于劣势,其核心论点为: “防御者必须始终正确,而攻击者只需成功一次”
这种观点认为防御者需关注所有攻击路径并全面防护,必须艰难选择重点防护路径(形成困境),且因需全面响应所有攻击而导致疏漏。但这种观念不仅挫伤士气,更本质上是错误的——防御者完全可以获得相对攻击者的优势。
防御者困境的谬误
该困境论过度简化了网络攻击的复杂性。以MITRE ATT&CK框架为例,攻击者需完成从侦察、资源开发、初始访问到后续多个阶段的完整链条才能达成目标。防御者只需破坏其中任一环节即可挫败攻击,迫使攻击者调整策略。
网络安全资深专家Richard Bejtlich早在2009年就入侵检测提出"入侵者困境": “防御者只需检测到入侵者存在的任一指标即可启动企业事件响应”
另一位专家David J. Bianco在2023年深化该概念并提出"攻击者困境",指出:
- 攻击者必须在整个攻击生命周期中全程正确
- 攻击者通常对环境认知存在缺陷
防御者的固有优势正是对环境的更深层认知。通过前瞻规划,我们可构建改变攻防动态的安全架构。
获取防御者优势
防御者困境假设防御者被动等待攻击再响应,这种反应式姿态让攻击者掌握主动权。行业分析师因此强调"主动安全"实践,包括:
- 在威胁危及IT环境前主动发现并缓解可能威胁
- 通过强可见性、优先级排序和修复控制安全态势
- 始于对环境扎实认知,明确需保护资源和安全弱点
这种地形认知优势不仅存在于网络安全,历史上战场防御同样适用。例如1415年阿金库尔战役中,英军利用狭窄地形夹击法军骑士。类似地,在网络安全中创建瓶颈点可建立防御优势——例如通过单点登录(SSO)提供商集中SaaS登录,强制实施双因素认证和异常检测,使攻击者必须通过防御者控制的瓶颈点实施攻击。
实践防御者优势的具体策略
-
环境认知
- 维护持续更新的资产清单(硬件/软件/SaaS平台/用户账户)
- 理解各资源的业务用途
- 明确需保护对象和安全改进点
-
攻击面最小化
- 定期修补漏洞软件
- 关闭非必需系统和服务
- 强制SSO减少入口点
- 整体减少潜在攻击向量
-
基于上下文优先修复
- 根据系统关键性、业务流程和敏感度评估漏洞风险
- 优先处理最高风险项
- 确保资源有效分配至高优先级领域
-
量化修复执行
- 制定并执行修复计划
- 以可控实用方式实施变更
- 监控修复进度和效果
- 通过指标跟踪改进并在需要时干预
实现路径
通过深度环境认知识别和缓解弱点,部署自动化响应措施,设计将攻击引导至强化节点的架构。通过攻击面最小化和安全改进优先级排序减少攻击路径机会,监督修复进程确保进展,最终通过从反应式到主动式的思维转变颠覆攻击者优势。
最后更新于2024年8月15日 作者:Lenny Zeltser