企业网络攻防行动指南:从蜜罐到黑客反击的全面解析

本文详细介绍了企业可采用的多种网络攻防技术,包括本地欺骗操作、基础设施拆除、公共披露、法律行动等,涵盖从低风险到高风险的各类操作,并分析了其复杂性和业务风险。

企业网络攻防行动指南

我一直在考虑写这篇文章,现在终于决定动笔。这里写的一切都严重依赖于你在法律上被允许做什么,而这又取决于你的法律实体/公司所在的国家、地区法律法规、影响你的国际法律以及业务本身(例如,网络安全公司相比零售业务会有更多的自由)。这就是为什么如果你决定对对手采取进攻性行动,你必须首先与你的法律顾问检查你的目标,并获得他们的签字同意。

话虽如此,在什么都不做和黑客反击对手之间有许多层次。其中一些相当常见,而另一些则仅由国家行为体使用。为了简化结构,我创建了一个图表,试图将它们放入某种框架中,以帮助你决定你在法律上允许和技术上能够执行哪些进攻性操作。如果你不确定从哪里开始,可以自由使用这个作为起始指南;但不要仅限于那里提到的内容,根据你的需求和能力进一步发展它。它应该给你一个起点。在图表下面,你会找到每个提到的名称的简要解释。

从低复杂性、低业务风险开始,我们有:

本地欺骗操作

所有可以在公司环境内部实施的网络欺骗,如蜜标、蜜罐、蜜网、金丝雀令牌、欺骗/虚假网络等,以引诱对手进入高度受控的环境并监控他们的活动,和/或快速检测并拒绝/破坏他们的操作。

  • 进攻行动:欺骗对手采取行动,让你获得检测和响应的战术优势。
  • 复杂性:低/中
  • 业务风险:轻微(由于保持所有这些欺骗操作机密,可能会对员工产生负面影响/看法,以及安全团队内部的复杂流程)

基础设施拆除

即通过服务提供商或直接通过托管公司报告和请求拆除恶意基础设施。这包括请求拆除钓鱼域名、恶意软件托管服务器、电子邮件账户等。

  • 进攻行动:根据拆除情况,这可能是对对手基础设施的降级、拒绝、破坏或摧毁操作,诱导他们重新建立该基础设施的成本。
  • 复杂性:低/中
  • 业务风险:中等。流程需要明确定义,以避免任何问题,如请求拆除合法基础设施、受到受影响公司的法律问题、避免在拆除请求中泄露敏感信息等。

间接公共披露

几个威胁情报供应商和国家CERT允许匿名报告/公开披露情报报告。这种能力允许公司公开披露细节,否则会有后面提到的“公共披露”操作的风险。

  • 进攻行动:迫使对手改变他们的TTP(从而诱导他们的操作成本和延迟),让全世界知道对手做什么和如何做,这可能使国家行为体或其他公司使用这些公开材料作为更激进进攻行动的支持证据。
  • 复杂性:低
  • 业务风险:当匿名化小心完成时,风险轻微。

主动暗网监控

通过这个术语,我指的是任何获取访问和监控对手通信渠道(如Telegram群组、暗网论坛等)的操作,以尽可能早地了解针对你业务的任何进攻行动并采取适当措施。对大多数公司来说,这通常通过威胁情报供应商实现。

  • 进攻行动:渗透到对手的通信平台并收集关于他们活动的 intelligence。
  • 复杂性:低/中
  • 业务风险:通过供应商完成时风险轻微。内部开发时风险中等,因为它需要高度纪律、流程、OPSEC措施、法律和隐私签字等。

与当局合作

即主动联系与网络操作相关的执法和/或情报机构,帮助他们对特定对手进行操作。例如,向他们提供只有你公司有的证据、信息等。

  • 进攻行动:可能对国家针对你的对手采取行动,如起诉、外交/外部行动、制裁、秘密行动等。
  • 复杂性:中等
  • 业务风险:这带来了企业与特定政府和/或政党关联的明显风险,意外卷入无关的政府问题,成为你合作的当局的“代理人”,被其他国家/政府视为国家代理等。

法律行动

这涉及你的公司可能对对手施加的任何类型的法律行动,如停止和终止信、查封恶意基础设施、对特定对手的刑事投诉、制裁等。

  • 进攻行动:通过法律手段主动和公开地破坏和摧毁对手活动。
  • 复杂性:中/高
  • 业务风险:中/高。这将需要经验丰富的调查员、具有实际法律/起诉经验的数字取证专家、构建刑事案件和管理证据的流程、经验丰富的法律资源、对公开曝光的胃口,当然,接受现在你的对手知道你知道什么,并且当案件上法庭时,总是有可能输掉案件。

公共披露

这是许多国家行为体的外交政策工具,也可以在私营公司中实施。通过让每个人意识到谁针对你,特别是对国家行为体,向全世界你给任何其他国家提供弹药,使用这些信息 against 你的对手,而无需你的直接参与。

  • 进攻行动:揭示一个旨在隐蔽的操作,导致对手改变他们的战术,并给他们的对手机会使用这些披露的材料 against 他们。
  • 复杂性:中/高
  • 业务风险:中/高。这种披露可能会带来很多负面新闻,并且还会揭示你知道什么。这意味着那些对手下次针对你的公司时可能会使用更先进的技术。此外,国家可能会请求你在法律行动中支持。对于风险较低的方法,检查“间接公共披露”操作。

远程被动SIGINT(信号情报)

这意味着通过第三方如数据经纪人或威胁情报供应商获取信号(通常是原始网络流量或原始通信),这可以帮助你主动发现对手活动。

  • 进攻行动:检查在你组织外部收集的数据,以主动发现并拒绝任何针对你公司的对手活动。
  • 复杂性:中等
  • 业务风险:轻微。唯一的风险是确保你不使用任何非法或 shady 服务,而是依赖行业标准和知名供应商。

远程欺骗操作

此类操作包括创建你公司的虚假配置文件、虚假公开暴露的服务、带有跟踪令牌的虚假泄露文档等。这是后面讨论的“诱捕操作”的较轻版本。

  • 进攻行动:通过用虚假目标引诱对手来狩猎他们,以便你可以在他们针对公司真实资产之前抓住他们。
  • 复杂性:中等
  • 业务风险:轻微。主要是围绕有强大的流程来避免安全错误,这会危及你的安全态势,并保持那些良好管理,但也按需知密 basis 操作。

数据泄露数据利用

这意味着获取数据泄露中的数据,并使用它们来 uncover 对手活动或 intelligence,这将帮助你主动保护你的公司。例子包括主动发现用于恶意目的的基础设施、对手使用的账户、去匿名化等。

  • 进攻行动:利用否则对拥有它们的组织保密的数据,以获得关于你对手的更多 insights。
  • 复杂性:中等
  • 业务风险:中等。关于数据泄露数据利用有很多法律和道德辩论,这可能对公司的业务产生影响。此外,处理此类数据在访问管理、审计谁做了什么和为什么、保留政策等方面涉及一些复杂性,这意味着可能需要额外的资源、技术和流程。

假旗操作

一种先进的进攻技术,欺骗你的对手进入一个思维过程,以利用他们的行动。例如,让它看起来像是一个 rival 对手泄露了关于他们的信息,或让他们相信一个 rival 对手已经 compromise 了他们所在的系统。

  • 进攻行动:动态和主动地改变你对手的TTP,通过强迫他们相信除了他们看到的之外的事情正在发生。
  • 复杂性:中/高
  • 业务风险:中/高。这些操作需要非常仔细的规划、纪律,并且可能以各种不同的方式轻易适得其反,包括负面媒体关注、让你的对手转向更先进的技术、来自政府机构的法律行动,你可能干扰了他们的操作,产生相反的效果等。

CNA操作

计算机网络攻击(CNA)操作是任何会导致对手基础设施和资源降级、破坏或摧毁的活动。例子包括拒绝服务攻击、查封他们的资源、淹没他们的资源(如大量邮件发送器、自动呼叫等)、在他们的平台上创建无数虚假账户、垃圾邮件、用虚假数据喂养他们等。

  • 进攻行动:导致对手将精力集中在响应CNA操作上,而不是执行他们 intended 的恶意活动。
  • 复杂性:高
  • 业务风险:高。这是一个非常灰色的区域,可能会让公司被视为犯罪实体。需要非常彻底的法律和业务对齐,关于如何、为什么、谁、何时和何地这些活动会发生,并且在大多数情况下,对大多数公司来说,(法律上)不可能执行此类操作。

诱捕操作

在这里,防御者可以尝试冒充罪犯渗透一个团体,或设置一个虚假网站招募网络罪犯,以及其他类似操作,最终目标是渗透对手的实体。

  • 进攻行动:主动识别对手计划并通过应用适当的安全控制来拒绝它们。
  • 复杂性:高
  • 业务风险:高。对于绝大多数公司来说,法律上不可能这样做。然而,一些公司可能与当局合作完成这一点。风险很高,并且在多个层面上,从公共关系,到影响执法操作,到隐私和法律问题等。

接管

在接管操作中,私营公司使用他们的知识和资源来控制对手操作的基础设施。这不仅会诱导对手新基础设施的成本,而且还可以揭示他们TTP的细节、可识别信息连接他们的真实身份等。

  • 进攻行动:拒绝对手访问,破坏或降级他们的操作,并收集他们数字能力和信息的 significant 部分。
  • 复杂性:高
  • 业务风险:高。在过去,这些是常见的情况,但随着网络越来越成为一个受监管和受控的空间,进行接管可能会对业务产生非常严重的法律和公关影响。如今,这些通常仅限于在这个空间运营的特定公司和政府实体。它们仍然可以由其他人执行,但这是一个具有许多移动部件的复杂过程。

在线HUMINT(人类情报)

这些操作的目的是通过利用人类弱点(如社交工程、招募内部人员等)来理解和渗透对手团体/网络,而且也从内部破坏他们的操作。例如,招募(或成为)一个有影响力的成员并在团体中制造紧张,提出论点将团体的焦点从操作转向内部冲突,在成员之间制造分裂等。

  • 进攻行动:根据级别,它可能是从收集关于对手TTP的 intelligence 以主动保护你的资产,一直到制造内部冲突,这将导致破坏或完全摧毁一个团体。在某些情况下,这些紧张可能会达到成员相互向当局报告的程度。
  • 复杂性:高
  • 业务风险:高。这些操作通常仅限于拥有 dedicated 资源用于此类秘密活动的国家行为体。私营公司支持这些并非闻所未闻,但风险相当高, due to 企业可能受到对手和 involved 当局的潜在影响。

3rd/4th 方收集

简单来说,这可以被认为是前面讨论的“接管”操作的一个步骤。这里操作不仅涉及接管对手的基础设施,而且使用它来收集该基础设施有权访问的数据。例如,你可能接管了一个命令与控制服务器,并在那里找到威胁行为者使用的服务器的某些VPN连接。你使用它们来访问和收集 intelligence 和/或破坏他们的操作。那也可能在另一侧 multiple 级别上进行。例如,使用C&C在受感染的主机上发送命令(如果对手系统被感染)并在那里也收集数据(或执行其他行动)。

  • 进攻行动:在多个级别上利用对手基础设施,使用接管的系统掩盖你的活动。这可以用于从 intelligence 收集到破坏、降级、拒绝等的任何事情。
  • 复杂性:高
  • 业务风险:高。这些操作通常仅限于拥有 dedicated 资源用于此类秘密活动的国家行为体。对任何私营公司来说,尝试进行这将非常复杂和 risky,因为它涉及在多个级别上闯入系统。

CNE操作

这是 research 以识别和利用漏洞,以便对对手执行计算机网络利用(CNE)操作。例如,在他们的恶意软件中找到一个软件漏洞,允许你接管他们的C&C,或识别他们操作主机上的错误配置,允许你渗透到其中等。这就是通常 known 的黑客反击。

  • 进攻行动:利用对手基础设施。这可以用于从 intelligence 收集到破坏、降级、拒绝等的任何事情。
  • 复杂性:高
  • 业务风险:高。这些操作通常仅限于拥有 dedicated 资源用于此类秘密活动的国家行为体。对任何私营公司来说,尝试进行这将复杂和 risky,因为它涉及闯入系统。

自动化CNE

即通过自动化利用步骤来扩展“CNE操作”。也就是说,开发能力不仅利用 identified 漏洞在对手基础设施中,而且自动(或按需通过自动化)利用所有现有和新部署的对手基础设施,无需(或最小)人工交互。

  • 进攻行动:利用对手基础设施。这可以用于从 intelligence 收集到破坏、降级、拒绝等的任何事情。
  • 复杂性:高
  • 业务风险:高。这些操作通常仅限于拥有 dedicated 资源用于此类秘密活动的国家行为体。对任何私营公司来说,尝试进行这将复杂和 risky,因为它涉及闯入系统。

分享此文章: 在Reddit上分享(在新窗口中打开) Reddit
在Facebook上分享(在新窗口中打开) Facebook
在X上分享(在新窗口中打开) X
通过电子邮件发送给朋友(在新窗口中打开) Email
Like Loading…

相关文章
关于OPSEC你想知道的一切,以及更多… 2020年3月29日 在“opsec”中
进攻性安全私营公司库存 2021年10月18日 在“threat intelligence”中
多阶段C&C和红队 2018年2月11日 在“security”中

由 xorl 撰写
2021年12月28日 15:28

发布于 security

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次