合气道哲学与全面信息安全策略的融合

本文探讨了合气道的哲学原则如何应用于信息安全实践,包括防御策略、威胁情报、事件响应流程和集中化管理,强调通过统一技术和心态来应对数字威胁。

合气道与全面信息安全™

这是全面信息安全™博客的第300篇文章。虽然这并非斯巴达式的严苛内容,但我认为以战士/哲学家的心态向您提供内容仍然非常重要。

本文作者是一名合气道练习者,尽管在实践上仍是新手,还有很多需要学习的地方。虽然合气道通常被翻译为“与生命能量统一之道”或“和谐精神之道”,但我认为合气道所蕴含的哲学和原则对信息安全的实践具有重要影响。

除了在道馆度过的时间外,还有许多专门针对合气道的参考书供学生学习。其中最好的一本是Adele Westbrook和Oscar Ratti的《合气道与动态球体》。以下所有引文和参考资料均出自这本优秀的出版物。

作为全面信息安全™实践的倡导者(以至于我将其注册为商标),与合气道的联系几乎是修辞性的,但请允许我为您提供一些具体的例子。我试图以我认为合适的顺序连接这些内容,以促进您的理解,并帮助您改进实践。简单来说,可以说每一项都可以引导至下一项。

合气道的实践

“防御的第一个必要条件是了解敌人。”

在信息安全中,我们经常看到引用被滥用的《孙子兵法》,其中孙子说:“知己知彼,百战不殆。”合气道将这一点作为第一个必要条件,但也强调了不要低估你的敌人或对手的重要性。对于信息安全,我将其比作:如果你不了解对手的类型和特征、他们的TTP(工具、战术、程序)、当前的漏洞和利用,以及更一般的威胁情报,那么在你甚至开始想象对抗对手之前,你已经处于劣势。

“积极的防御策略进一步被定义为具体、即时、一致和强大。”

在了解更多关于对手的信息后,一个经过演练的应对攻击的策略应被视为防御的第二个必要条件。为实现这一点,您的努力必须包括:

  • 清晰定义和清点您要保护的资产
  • 对代码、服务和基础设施进行威胁建模
  • 事件响应计划和SOP,并定期演练IR计划
  • 强大的安全监控,包括收集、聚合、检测、关联和可视化
  • 理想情况下,采用紫队方法,包括与红队合作测试蓝队的检测和响应能力。任何遵循“你们不行,我们行”方法的红队都应被请出大楼,并由一个信奉“我们存在的目的是识别漏洞和利用,以帮助组织更好地缓解和修复”的红队取代。

随着您的检测和响应能力通过实践和重复而提高,您的平均缓解时间(MTM)和平均修复时间(MTR)应开始缩短,从而有助于您的防御的即时性、一致性和强大性。

防御过程及其因素

“每一个防御过程都将包括三个阶段:感知、评估-决策和反应。”

这些应该很容易让您理解。

感知 = 检测和意识

您的威胁情报收集和检测能力越好、越完整,您的情境意识就越好,因此您对对手行为的感知将改善并变得更加及时。

评估-决策 = 分类

不可避免的是…糟糕的事情会发生。您快速评估对手行动并在响应中果断决策的能力将决定您作为事件响应者的成功水平。此阶段的强度直接影响响应过程的其余部分。不正确或不完整的评估,以及由此产生的信息不足的决策,可能会使您的响应过程倒退,以至于恢复将非常困难。

反应 = 响应

我的合气道导师在这样做之后,喜欢提醒他的学生“不要被打中”。:-) 这里的类比是反应足够快以保持站立。您能否移动得足够快,以避免被对手意图的打击击中或减轻其影响?您的反应和响应将决定这样的结果。动能和虚拟战斗之间的联系在这里是深刻的。站着不动,就会被击中。假装或躲避,至少避免部分或全部接触。在数字领域,您通过这种心态减少恢复时间。

动态因素

“防御性合气道策略从潜在攻击者向您迈出一步或 aggressively转向您的方向的那一刻开始。他的初始动作(移动)本身包含您将用于中和攻击行动的因素,该攻击将从该汇聚动作中以爆炸性的力量迸发。”

继续我们关于不可避免性的主题,数字对手将毫无疑问地向您迈出一步或 aggressively转向您的方向。对您的问题将是,根据我们上面讨论的必要条件,您甚至知道那是什么时候发生的吗?合气道是关于利用对手的能量对抗他们,对于我们这些在DFIR领域的人来说,对手的移动本身包含我们用于中和攻击行动的因素。随着我们在防御过程(感知、评估-决策和反应)中的能力提高,我们应该能够以从识别对手行为的那一刻开始的方式响应,并且做得足够快,以至于我们的行动直接围绕对手的初始动作展开。

例如,您的对手进行了一次有针对性的、细致的鱼叉式网络钓鱼活动。您的检测手段识别出所有预期的受害者,您立即反应,并将所有预期的受害者添加到增强的监视列表中以进行持续监控。两个接触了有效载荷的受害者被立即隔离,并且没有发现进一步的对手转移或升级。整个环境提高到高度警觉状态,您的用户群成为您感知网络的一部分。

“当您的反应如此迅速,以至于在攻击仍在发展时应用中和技术,甚至在实践的高级水平上,在攻击完全发动之前,它将是即时或瞬间的。”

您的威胁情报能力足够强大,以至于您主动部署针对特定妥协指标(IOC)的检测防止了有针对性的、细致的鱼叉式网络钓鱼活动甚至到达预期的受害者。您的监控活动列表包括已知的对手基础设施,以至于他们发动攻击的那一刻,您已经意识到其迫近。

您甚至可以在对手发动之前中和他们。这对某些人来说可能是不可想象的,但在特定情况下,某些成熟的组织是可以实现的。

集中化原则

“因此,集中化意味着采用一个新的参考点,一个新的平台,从中您可以对事件和自身行使更客观的控制。”

一些组织分散信息安全,其他组织以绝对权威集中化。两者都有争论,我不打算参与那场辩论。我要求您拥抱的是“集中化原则”。类比是:大型公司和组织通常有多个甚至冗余的安全团队。即便如此,他们的合作是成功的关键。

信息是否开放自由地交换,避免了孤岛? 团队是否能够联合响应? 是否有共享资源,所有团队都可以从中获取一致的IOC和案例数据? 您和您的团队是否专注于事实,避免FUD,创造性思考,但以批判性、客观的眼光评估?

即使采用逻辑上分散的安全模型,组织也可以拥抱集中化原则,并实现对事件的客观控制。联合力量焦点的实践定义了团队可以且应该操作的平台。

敌对条件,无论是在物理领域还是DFIR从业者操作的数字领域,都是压力大、具有挑战性和令人担忧的。 合气道的创始人植芝盛平提醒我们:“在极端情况下,整个宇宙都成为我们的敌人;在如此关键的时刻,心态和技术的统一是必不可少的——不要让你的心动摇!”也就是说,完美是不可能的,甚至是不可能的,这是您必须练习的实践。植芝再次提供:“失败是成功的关键;每一个错误都教会我们一些东西。” 不断学习,保持坚强的心。:-) 干杯…直到下次。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次