将防御者的困境转化为防御者的优势

网络安全防御者处于天然劣势的观点——即所谓的"防御者困境"——不仅是错误的，而且具有反作用。与其只关注如何应对攻击者的策略，我们更应该识别并利用防御者身份的固有优势。本文将阐述防御者思维的内涵，以及它如何帮助强化安全体系。

什么是防御者困境？

多年来，安全专业人士一直用"防御者困境"来解释为何企业在防范网络攻击时处于劣势。其核心观点是：

“防御者处于劣势，因为我们必须时刻保持正确，而攻击者只需成功一次。”

按照这种观点，防御者需要关注所有可能的攻击路径并全面防护。我们必须艰难地选择重点防御哪些攻击路径（这就是困境所在），这使我们处于不利地位。这种劣势还源于我们需要全面应对每一次攻击，这意味着有时会漏掉某些攻击。

防御者困境的概念不仅令人沮丧，而且并不正确。防御者完全可以获得相对于攻击者的优势。

防御者困境之所以是谬误，部分原因在于它过度简化了网络攻击的复杂性。以MITRE ATT&CK框架为例，它展示了攻击者为达成目标必须遵循的多步骤过程。根据ATT&CK，攻击者通常从侦察开始，进展到资源开发，再到初始访问，之后还必须突破多个阶段才能实现目标。

攻击者必须成功完成每个阶段才能达成任务。而防御者只需干扰其中一个环节就能挫败攻击，迫使攻击者调整策略。行业资深人士Richard Bejtlich早在2009年就在入侵检测背景下观察到这点，创造了"入侵者困境"一词。他指出：

“防御者只需检测到入侵者存在的一个指标，就能在企业内部启动事件响应。”

另一位备受尊敬的网络安全专家David J. Bianco在2023年扩展了这一观点，提出了"攻击者困境"的概念。除了指出"攻击者必须在整个攻击生命周期中都做对"，他还强调：

“攻击者通常在不完全了解目标环境的情况下行动。”

我们的固有优势——防御者优势——在于我们能够比攻击者更深入地了解自身环境。通过前瞻性规划和设计，我们可以创建改变与攻击者互动方式的安全架构。

防御者困境假设防御者只能被动等待攻击发生然后响应。这种被动立场让攻击者掌握了主动权，使防御者总是处于追赶状态。为改变这种态势，行业分析师强调防御者需要实践"主动安全"。Omdia的Eric Parizo用这个术语鼓励企业：

“在可能的威胁对扩展IT环境构成危险之前，就主动寻找并消除它们。”

Forrester的Erik Nost认为，实践主动安全意味着通过强大的可见性、优先级排序和修复来控制安全态势并减少违规。这一过程始于对环境的深入了解，这样我们才能知道需要保护的资源和需要解决的安全弱点。

地形认知并非网络安全独有，这个概念适用于各个领域的攻击者和防御者，包括历史上的战场。例如，在1450年的阿金库尔战役中，英军将自己部署在两侧有树林的狭窄战场上，将法国骑士引入受限空间。通过收窄战线，英军击败了规模大得多的法军。

就像阿金库尔战役一样，在网络安全防御中创建瓶颈点是建立防御者优势的一种方式。例如，通过单点登录(SSO)提供商集中SaaS登录，可以让组织应用可靠的安全措施，如双因素认证和异常检测。SSO迫使攻击者通过防御者控制的瓶颈点来攻击SaaS目标，使他们处于劣势。

更广泛地说，要获得防御者优势，我们应该：

了解我们的环境：持续更新所有资产的清单，包括硬件、软件、SaaS平台和用户账户。了解每项资源的业务目的。这一基础步骤让我们明确知道需要保护什么以及潜在的安全改进点在哪里。
最小化攻击面：定期修补漏洞软件，关闭不需要的系统，禁用或停用不需要的服务，并强制使用SSO来减少入口点。这些行动共同减少了潜在的攻击向量数量。
基于上下文优先修复：根据系统关键性、业务流程和敏感性评估每个漏洞的风险。优先解决最重大的风险。这种有针对性的方法确保资源被有效分配到最高优先级的领域。
有节制地修复：制定并执行修复计划，以可控和实际的方式实施变更。监控修复工作的进展和效果，使用指标跟踪改进并在需要时干预。这确保安全改进项目能达到预期效果。

要获得防御者优势，首先需要彻底了解你的环境，这使你能够识别和修复弱点，部署自动化响应措施，并设计将攻击引导至防御最严密环节的架构。通过减少攻击面和优先处理安全改进机会来最小化攻击路径可能。监督修复工作以确保进展。通过从被动思维转向主动思维，彻底扭转攻击者的优势。