企业进攻性安全操作指南

我一直在考虑写这篇文章，现在终于决定动笔。这里写的一切都严重依赖于你在法律上被允许做什么，而这又取决于你的法律实体/公司所在的国家、地区法律法规、影响你的国际法律以及业务本身（例如，网络安全公司相比零售业务会有更多的自由）。这就是为什么如果你决定对对手采取进攻性操作，你必须首先与你的法律顾问检查你的目标并获得他们的签字同意。

话虽如此，在什么都不做和黑客反击对手之间有许多层次。其中一些相当常见，而另一些则仅由国家行为者使用。为了简化结构，我创建了一个图表，试图将它们放入某种框架中，以帮助你决定你在法律上允许和技术上能够执行哪些进攻性操作。如果你不确定从哪里开始，可以自由使用此作为起始指南；但不要仅限于那里提到的内容，根据你的需求和能力进一步发展它。它应该给你一个起点。在图表下方，你会找到每个提到名称的简要解释。

从低复杂度、低业务风险开始，我们有以下内容：

本地欺骗操作：所有可以在公司环境内部实施的网络欺骗，如蜜标、蜜罐、蜜网、金丝雀令牌、欺骗/虚假网络等，以诱使对手进入高度受控的环境并监控他们的活动，和/或快速检测并拒绝/破坏他们的操作。
进攻行动：欺骗对手采取行动，使你获得检测和响应的战术优势。
复杂度：低/中
业务风险：较小（由于保持所有这些欺骗操作机密，可能会对员工产生负面影响/看法，以及安全团队内部的复杂流程）

基础设施拆除：即通过服务提供商或直接通过托管公司报告和请求拆除恶意基础设施。这包括请求拆除钓鱼域名、恶意软件托管服务器、电子邮件账户等。
进攻行动：根据拆除情况，这可能是对对手基础设施的降级、拒绝、破坏或摧毁操作，导致他们重新建立该基础设施的成本。
复杂度：低/中
业务风险：中等。流程需要明确定义，以避免任何问题，如请求拆除合法基础设施、受到受影响公司的法律问题、避免在拆除请求中泄露敏感信息等。

间接公共披露：几个威胁情报供应商和国家CERT允许匿名报告/公开披露情报报告。此功能允许公司公开披露细节，否则将具有后面提到的“公共披露”操作的风险。
进攻行动：迫使对手改变他们的TTP（从而增加其操作的成本和延迟），使全世界都知道对手做什么以及如何做，这可能使国家行为者或其他公司使用此公开材料作为更积极进攻行动的支持证据。
复杂度：低
业务风险：当匿名化小心完成时较小。

主动暗网监控：通过该术语，我指的是任何获取访问和监控对手通信渠道（如Telegram群组、暗网论坛等）的操作，以尽可能早地了解针对你业务的任何进攻行动并采取适当措施。对于大多数公司，这通常通过威胁情报供应商实施。
进攻行动：渗透到对手的通信平台并收集关于他们活动的 intelligence。
复杂度：低/中
业务风险：通过供应商完成时较小。内部开发时中等，因为它需要高度纪律、流程、OPSEC措施、法律和隐私签字等。

与当局合作：即主动联系与网络操作相关的执法和/或情报机构，帮助他们对特定对手进行操作。例如，向他们提供只有你公司拥有的证据、信息等。
进攻行动：可能对国家行为者针对你的对手采取行动，如起诉、外交/外部行动、制裁、秘密行动等。
复杂度：中等
业务风险：这带来了企业与特定政府和/或政党关联的显著风险，意外卷入无关的政府问题，成为你合作当局的“代理人”，被其他国家/政府视为国家代理等。

法律行动：这涉及你的公司可能对对手采取的任何法律行动，如停止和终止信、查封恶意基础设施、对特定对手的刑事投诉、制裁等。
进攻行动：通过法律手段积极和公开地破坏和摧毁对手活动。
复杂度：中/高
业务风险：中/高。这将需要经验丰富的调查员、具有实际法律/起诉经验的数字取证专家、建立刑事案件和管理证据的流程、经验丰富的法律资源、对公开曝光的胃口，当然，接受现在你的对手知道你知道什么，并且当案件进入法庭时，总是有可能你会输掉案件。

公共披露：这是许多国家行为者的外交政策工具，也可以在私营公司中实施。通过让每个人都知道谁针对你，特别是对国家行为者，向全世界提供弹药给任何其他国家行为者使用此信息对抗你的对手，而无需你的直接参与。
进攻行动：揭示一个旨在隐蔽的操作，导致对手改变他们的策略，并给他们的对手机会使用此披露材料对抗他们。
复杂度：中/高
业务风险：中/高。此披露可能带来很多负面新闻，并将揭示你知道什么。这意味着那些对手下次针对你的公司时可能使用更先进的技术。此外，国家可能请求你在法律行动中支持。对于较低风险的方法，检查“间接公共披露”操作。

远程被动SIGINT（信号情报）：这意味着通过第三方如数据经纪人或威胁情报供应商获取信号（通常是原始网络流量或原始通信），这可以帮助你主动发现对手活动。
进攻行动：检查在组织外部收集的数据，以主动发现并拒绝任何针对你公司的对手活动。
复杂度：中等
业务风险：较小。唯一风险是确保你不使用任何非法或 shady 服务，而是依赖行业标准和知名供应商。

远程欺骗操作：此类操作包括创建你公司的虚假配置文件、虚假公开暴露服务、带有跟踪令牌的虚假泄露文档等。这是后面讨论的“诱捕操作”的较轻版本。
进攻行动：通过用虚假目标引诱对手来狩猎他们，以便你可以在他们针对公司真实资产之前抓住他们。
复杂度：中等
业务风险：较小。主要是围绕有强大的流程以避免安全错误，这将危及你的安全态势，并保持那些良好管理，但也按需知密 basis 操作。

数据泄露数据利用：这意味着从数据泄露中获取访问并使用它们来 uncover 对手活动或 intelligence，这将帮助你主动保护你的公司。例子包括主动发现用于恶意目的的基础设施、对手使用的账户、去匿名化等。
进攻行动：利用否则对拥有它们的组织保密的数据，以获得关于你对手的更多见解。
复杂度：中等
业务风险：中等。关于数据泄露数据利用有很多法律和道德辩论，这可能对公司产生一些业务影响。此外，处理此类数据涉及访问管理、谁做了什么和为什么的可审计性、保留政策等的一些复杂性，这意味着可能需要额外的资源、技术和流程。

虚假标志操作：一种先进的进攻技术，以欺骗你的对手进入一个思维过程，以利用他们的行动。例如，使其看起来像 rival 对手泄露了关于他们的信息，或使他们相信 rival 对手已经 compromised 他们所在的系统。
进攻行动：动态和积极地改变对手的TTP，通过迫使