企业主动防御操作指南:从基础诱饵到高级网络攻击

本文详细介绍了企业可采用的多种主动防御操作,从基础的本地诱饵部署到高级的网络攻击行动,涵盖了技术实现、复杂度和业务风险评估,为企业安全团队提供实用指南。

企业主动防御操作指南

我考虑写这篇文章已有一段时间,最终决定付诸实践。本文所述内容很大程度上取决于法律允许的范围,这又取决于你的法人实体/公司所在国家、地方法律法规、影响你的国际法律以及业务本身(例如,网络安全公司相比零售企业拥有更多自由)。因此,如果你决定对对手采取主动防御行动,必须首先与法律顾问确认目标并获得他们的批准。

话虽如此,在无所作为和反击对手之间存在多个层级。其中一些相当常见,而另一些则仅由国家行为体采用。为简化结构,我创建了一个图表,试图将它们置于某种框架中,帮助你确定在法律允许和技术能力范围内可以执行哪些主动防御操作。如果你不确定从何开始,可将此作为入门指南;但不要局限于所述内容,根据自身需求和能力进一步发展。它应为你提供一个起点。图表下方是对每个提及名称的简要说明。

从低复杂度、低业务风险开始,我们有:

本地诱饵操作:所有可在公司环境内部实施的网络诱骗,如蜜标、蜜罐、蜜网、金丝雀令牌、欺骗/虚假网络等,旨在引诱对手进入高度受控环境并监控其活动,和/或快速检测并阻止/中断其操作。

  • 主动行动:诱使对手采取行动,为你提供检测和响应的战术优势
  • 复杂度:低/中
  • 业务风险:轻微(由于保持这些诱饵操作机密性,可能对员工产生负面影响/看法,以及安全团队内部的复杂流程)

基础设施拆除:通过服务提供商或直接通过托管公司报告并请求拆除恶意基础设施。包括请求拆除钓鱼域名、恶意软件托管服务器、电子邮件账户等。

  • 主动行动:根据拆除类型,可能是对对手基础设施的降级、拒绝、中断或破坏操作,使其承担重建成本
  • 复杂度:低/中
  • 业务风险:中等。流程需明确定义以避免问题,如请求拆除合法基础设施、遭受受影响公司的法律问题、避免在拆除请求中泄露敏感信息等

间接公开披露:多家威胁情报供应商和国家CERT允许匿名报告/公开披露情报报告。此功能允许公司公开披露详细信息,否则将承担后面提到的"公开披露"操作风险。

  • 主动行动:迫使对手改变其TTP(从而增加其操作成本和延迟),使对手的行为和方式全球知晓,这可能使国家行为体或其他公司能够使用此公开材料作为更激进主动行动的支持证据
  • 复杂度:低
  • 业务风险:在仔细进行匿名化处理时轻微

主动暗网监控:此术语指任何获取访问权限并监控对手通信渠道(如Telegram群组、暗网论坛等)的操作,以尽早了解针对你业务的任何主动行动并采取适当措施。对大多数公司而言,通常通过威胁情报供应商实施。

  • 主动行动:渗透到对手的通信平台并收集其活动情报
  • 复杂度:低/中
  • 业务风险:通过供应商实施时轻微。内部开发时为中等,因需要高度纪律、流程、操作安全措施、法律和隐私批准等

与当局合作:主动联系与网络行动相关的执法和/或情报机构,帮助他们对特定对手采取行动。例如,向他们提供只有你公司拥有的证据、信息等。

  • 主动行动:可能对国家针对你的对手采取行动,如起诉、外交/外部行动、制裁、秘密行动等
  • 复杂度:中等
  • 业务风险:这会带来企业与特定政府和/或政党关联的显著风险,意外卷入无关的政府问题,成为你所合作当局的"代理人",被其他国家/政府视为国家代理等

法律行动:这涉及你公司可能对对手采取的任何法律行动,如停止和终止信函、查封恶意基础设施、对特定对手的刑事投诉、制裁等。

  • 主动行动:通过法律手段积极公开地中断和破坏对手活动
  • 复杂度:中/高
  • 业务风险:中/高。这将需要经验丰富的调查员、具有实际法律/起诉经验的数字取证专家、建立刑事案件和管理证据的流程、经验丰富的法律资源、接受公开曝光,当然还要接受现在你的对手知道你所知信息,且案件进入法庭时有可能败诉

公开披露:这是许多国家行为体的外交政策工具,也可在私营公司中实施。通过让所有人知晓谁针对你,特别是对国家行为体,向全世界提供弹药让任何其他国家使用此信息对抗你的对手,而无需你直接参与。

  • 主动行动:揭露旨在隐蔽的操作,导致对手改变策略,并给其对手机会使用此披露材料对抗他们
  • 复杂度:中/高
  • 业务风险:中/高。此披露可能带来大量负面报道,并揭示你所知信息。这意味着那些对手下次针对你公司时可能使用更先进技术。此外,国家可能请求你在法律行动中提供支持。对于较低风险方法,请查看"间接公开披露"操作

远程被动信号情报:这意味着通过第三方(如数据经纪人或威胁情报供应商)获取信号(通常是原始网络流量或原始通信),这可以帮助你主动发现对手活动。

  • 主动行动:检查在组织外部收集的数据,以主动发现并拒绝针对你公司的任何对手活动
  • 复杂度:中等
  • 业务风险:轻微。唯一风险是确保不使用任何非法或可疑服务,而是依赖行业标准和知名供应商

远程诱饵操作:此类操作包括创建公司虚假资料、虚假公开暴露服务、带有跟踪令牌的虚假泄露文档等。这是后面讨论的"诱捕行动"的较轻版本。

  • 主动行动:用虚假目标引诱对手狩猎,以便在他们针对公司真实资产之前捕获他们
  • 复杂度:中等
  • 业务风险:轻微。主要是围绕建立强流程以避免安全错误危及你的安全状况,并保持良好管理,同时在需知基础上操作

数据泄露数据利用:这意味着从数据泄露中获取数据并使用它们揭示对手活动或情报,以帮助你主动保护公司。例子包括主动发现用于恶意目的的基础设施、对手使用的账户、去匿名化等。

  • 主动行动:利用原本对拥有它们的组织保密的数据,以获取关于对手的更多洞察
  • 复杂度:中等
  • 业务风险:中等。关于数据泄露数据利用存在许多法律和伦理辩论,可能对公司产生一些业务影响。此外,处理此类数据在访问管理、谁做了什么及为什么的可审计性、保留策略等方面涉及一些复杂性,这意味着可能需要额外资源、技术和流程

假旗行动:一种先进的主动技术,欺骗对手进入思维过程以利用其行动。例如,使其看起来像竞争对手泄露了关于他们的信息,或让他们相信竞争对手已经入侵了他们所在的系统。

  • 主动行动:通过迫使对手相信除了他们所见之外正在发生其他事情,动态积极地改变对手的TTP
  • 复杂度:中/高
  • 业务风险:中/高。这些操作需要非常仔细的规划、纪律,且可能以多种不同方式轻易适得其反,包括负面媒体关注、使对手转向更先进技术、来自你可能干扰其行动的政府机构的法律行动、产生相反效果等

CNA操作:计算机网络攻击操作是任何导致对手基础设施和资源降级、中断或破坏的活动。例子包括拒绝服务攻击、查封其资源、淹没其资源(如大量邮件发送器、自动呼叫等)、在其平台上创建无数虚假账户、垃圾邮件、向他们提供虚假数据等。

  • 主动行动:导致对手将精力集中在响应CNA操作上,而不是执行其预期的恶意活动
  • 复杂度:高
  • 业务风险:高。这是一个非常灰色地带,可能使公司被视为犯罪实体。需要就这些活动如何、为什么、谁、何时、何地发生进行非常彻底的法律和业务对齐,且在大多数情况下,大多数公司(在法律上)不可能执行此类操作

诱捕行动:这里防御者可以尝试冒充罪犯渗透到团体中,或建立虚假网站招募网络罪犯,以及其他类似操作,最终目标是渗透对手实体。

  • 主动行动:主动识别对手计划并通过应用适当的安全控制来拒绝他们
  • 复杂度:高
  • 业务风险:高。对绝大多数公司而言,在法律上不可能做到这一点。然而,一些公司可能与当局合作完成此操作。风险很高且涉及多个层面,从公共关系到影响执法行动,到隐私和法律问题等

接管:在接管操作中,私营公司使用其知识和资源控制对手操作的基础设施。这不仅会给对手带来新基础设施的成本,还可以揭示其TTP细节、连接其真实身份的可识别信息等。

  • 主动行动:拒绝对手访问,中断或降级其操作,并收集其数字能力和信息的显著部分
  • 复杂度:高
  • 业务风险:高。在过去,这些是常见现象,但随着网络空间越来越受监管和控制,进行接管可能对企业产生非常严重的法律和公关影响。如今,这些通常限于在此领域运营的特定公司和政府实体。其他人仍可以执行,但这是一个具有许多移动部件的复杂过程

在线人力情报:这些操作的目的是通过利用人类弱点(如社会工程、招募内部人员等)来理解和渗透到对手团体/网络,并从内部中断其操作。例如,招募(或成为)有影响力的成员并在团体中制造紧张,提出论据将团体焦点从操作转向内部冲突,在成员间制造分裂等。

  • 主动行动:根据级别,可以是从收集对手TTP情报以主动保护你的资产,一直到制造内部冲突导致完全中断或摧毁团体。在某些情况下,这些紧张可能发展到成员相互向当局报告
  • 复杂度:高
  • 业务风险:高。这些操作通常限于拥有专门资源进行此类秘密活动的国家行为体。私营公司支持这些并非闻所未闻,但由于对手和涉及当局可能对企业产生的潜在影响,风险相当高

第三/四方收集:简单来说,这可以被认为是前面讨论的"接管"操作的升级。这里操作不仅涉及接管对手的基础设施,而且使用它从该基础设施有权访问的地方收集数据。例如,你可能接管了命令与控制服务器,并在那里发现威胁行为者使用的服务器的某些VPN连接。你使用它们访问并收集情报和/或中断其操作。这可能在另一侧也进入多个层级。例如,使用C&C在受感染主机上发送命令(如果对手系统被感染)并在那里也收集数据(或执行其他行动)。

  • 主动行动:在多个层级利用对手基础设施,使用接管的系统掩盖你的活动。这可以用于从情报收集到中断、降级、拒绝等的任何目的
  • 复杂度:高
  • 业务风险:高。这些操作通常限于拥有专门资源进行此类秘密活动的国家行为体。对任何私营公司尝试进行此操作将非常复杂和危险,因为它涉及闯入多个层级的系统

CNE操作:这是识别和利用漏洞的研究,以便对对手执行计算机网络利用操作。例如,在其恶意软件中找到软件漏洞允许你接管其C&C,或识别其操作主机上的错误配置允许你渗透到其中等。这通常被称为反击黑客。

  • 主动行动:利用对手基础设施。这可以用于从情报收集到中断、降级、拒绝等的任何目的
  • 复杂度:高
  • 业务风险:高。这些操作通常限于拥有专门资源进行此类秘密活动的国家行为体。对任何私营公司尝试进行此操作将复杂和危险,因为它涉及闯入系统

自动化CNE:这是通过自动化利用步骤来扩展"CNE操作"。也就是说,开发不仅能够利用已识别的对手基础设施漏洞,而且自动(或通过自动化按需)利用所有现有和新部署的对手基础设施而无需(或最小)人工交互的能力。

  • 主动行动:利用对手基础设施。这可以用于从情报收集到中断、降级、拒绝等的任何目的
  • 复杂度:高
  • 业务风险:高。这些操作通常限于拥有专门资源进行此类秘密活动的国家行为体。对任何私营公司尝试进行此操作将复杂和危险,因为它涉及闯入系统
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次