进攻性安全作为一个类别已经超过了它的临界点,有可能成为那些被过度使用的术语之一,它意味着一切,但又毫无意义。但从早期的《黑客反击》到红队,进攻性网络思维首先在哪里扎根,它在今天到底意味着什么,在人工智能时代,它下一步将走向何方?
对于某个年龄段的许多人来说,“进攻性安全”具有更具攻击性的“黑客反击”含义,本质上涉及企业计算机私刑活动。使用相同的策略、技术和程序 (TTP),团队将反击犯罪分子 - 很多时候也会对无辜系统造成附带损害。它引出了影子政府实体的形象,甚至是在美国《计算机欺诈和滥用法案》( CFAA ) 管辖范围之外的国家/地区设有“实验室”团队的大公司。虽然“黑客攻击”肯定仍然会发生,但合法性和道德使其范围受到限制。然而,用于评估和压力测试企业防御的进攻性 TTP 的概念、知识和使用已成为主流。其原因在于,防守确实很困难,而且在很多情况下注定会反复失败。
“冒犯”的感性
安防行业具有周期性和可预测性。一旦发现技术问题或攻击类型,就会出现淘金热,以尽可能快地获利并利用该机会获利。虽然这推动了创新,但也造成了混乱,因为新的供应商努力寻求认可,而现有供应商则将水搅浑,直到他们能够适应。随着不同质量的解决方案争夺注意力,许多人将自动化推崇为提供安全“简单按钮”,声称可以在很少的人机交互的情况下实施防御或进攻策略,并且易于采用。虽然高度自动化和低摩擦在概念上很有吸引力,但其执行成本可能会很高。自动化取决于先例,而且大多数案件都是预先存在的受害情况。它还基于这些知识逐步和线性地构建防御,而攻击者则并行快速创新。
实践中的安全从来都不是“设置好后就忘记”。犯罪分子适应防御的速度使他们成为移动目标。依靠专用的自动化平台无法跟上步伐,尤其是在速度和规模方面,只会推迟不可避免的、可能是灾难性的妥协。不断扩大和日益互联的企业生态系统(网络、端点、云、应用程序、物联网等)加剧了这种情况。这些要素必须单独评估,但也必须在它们呈现的总体表面上进行评估。
进攻性安全将焦点从本月的攻击者或攻击上移开,转而审视组织生态系统,从一开始就承认并非所有事情都是 APT,并非每个组织都是国家目标,也不是每次攻击都是直截了当或简单的。基于技术漏洞——甚至必然是复杂的。考虑:
勒索软件速度快、噪音大、数量大、羞耻和/或破坏性大。
网络钓鱼和社会工程非常狡猾,通常用于窃取从金融资产到知识产权的所有内容
云攻击的范围很广,从容易发生的错误配置到供应链渗透
对于许多参与者来说,攻击将结合一系列方法、目标,在某些情况下甚至是目标。
与大多数防御方法甚至某些攻击模拟产品相比,进攻安全并不关注谨慎的攻击、单一参与者或妥协指标,而是了解战场双方的整体——组织资产和攻击面,以及与之对应的威胁模型。通过这种方式,进攻性安全提供了一个超越攻击者的机会,方法是先发制人、有条不紊地切断攻击路径,阻止攻击者无所作为,或者陷入无法扩散的有限妥协。
在这里,我们需要强调防御解决方案和真正的进攻性安全方法之间的关键区别之一。不同之处在于进攻既关乎创新又关乎直觉。就像恶意行为者一样,进攻性安全需要人类智能的速度和敏捷性来预测和适应。要使进攻性安全脱颖而出,不仅需要管理和监控技术的人员,还需要拥有能够放大和增强精英人才的技术。技术与人类的强有力结合是最有效的评估方法。技术可以快速识别、分析和过滤,而人类可以连接点、验证、修复和影响持续改进和进步。最全面的是,进攻性安全计划将攻击模拟与防御评估和渗透测试结合起来,以在攻击者有机会评估和采取行动之前消除或最小化攻击面。这被称为紫队,因为它将进攻技术(红队)与防守概念和机制(蓝队)结合起来。
自动化这个!
然而,我们并不是要埋葬自动化,而是要赞扬它。虽然过度依赖自动化可能会导致过于简单化和低估风险,但它也可以成为一个强大的盟友。对于上述人类团队来说,智能且专注的自动化是一个力量倍增器。这就是人工智能 (AI) 的承诺可以(而且已经在某种程度上)改变游戏规则的地方。虽然大型语言模型(LLM)在理解方面的能力呈指数级增长,但在可预见的未来,它们仍然并且最终将依赖于人类智力,或者因缺乏人类智力而受到影响。除此之外,法学硕士输出始终需要人工审核和验证。除了限定因素之外,人工智能已经在攻击模拟中发挥着重要作用——从网络钓鱼活动的开发到漏洞利用和工具。但它的好坏和效果取决于它所吃的东西。
“Garbage In, Garbage Out”这一永恒的计算概念至今仍未被击败。对人工智能的盲目信任就像试图靠垃圾食品维持健康饮食一样。我们需要充分了解和使用最好的食材和最强的烹饪方法,并继续考虑我们自身组织“生理学”的变化,以确保长寿和富有成效的生活。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...