黑客知道但不希望安全专业人知道他们知道的六件事

黑客在实施恶意行为时，往往对目标拥有丰富的了解，CISO在制定防御策略时应考虑这一现实。

安全专家对威胁行为者发起网络攻击时使用的技术战术、技巧和程序（TTPs）有很好的洞察力，他们同样精通关键的防御策略，例如基于风险优先进行补丁修复和实施零信任策略。

然而，企业安全领域似乎总是落后于黑客一步，后者每年成功发起的攻击数量持续增加。

其中一个原因是，许多CISO低估了黑客带来的知识，忽视了黑客利用的非技术性见解，而这些见解正是他们取得上风的关键。

“黑客知道，普通CISO肩负很多任务，资源有限，无法完成所有事情，所以CISO必须真正关注黑客的行动和他们的知识，才能最有效地防御他们。”IBM首席人类黑客Stephanie "Snow" Carruthers表示。

那么，黑客知道哪些可能未引起足够重视的内容呢？根据安全研究人员，以下是黑客用来策划攻击的六种策略，而CISO可能没有意识到这些策略。

当新冠疫情爆发时，企业高管专注于带领企业和员工安全度过危机，而黑客则看到了一个可利用的机会。

事实上，黑客愿意利用任何漏洞——无论其多么微小，Handshake Leadership网络安全服务公司的创始人Erik J. Huffman表示。为了达到目的，他们甚至愿意让CEO下台，羞辱CFO，毁掉职业生涯，或瘫痪关键服务。

“犯罪分子的手段之低下，超出了我们的预期。”Huffman说道。

Huffman指出，大多数CISO虽然意识到这一点，但并未真正内化这一事实。相反，他们通常设计反钓鱼攻击活动、安全意识培训计划和安全演习，但这些并未融入黑客的“卑劣”手段。例如，他们通常不会设计高度个性化的电子邮件来模拟定向钓鱼攻击，因为这可能被认为是过于激进的举措。

这是一个错误，而黑客正是利用了这一点，因为“他们愿意以CISO不愿意的方式发动攻击，这意味着我们的训练并没有真正反映战斗的真实情况。”Huffman说。他建议安全高管设计反钓鱼攻击活动、模拟和演习，尽可能贴近黑客的下流策略。“摘掉手套，真正挑战你的团队。”

许多攻击发生在最具挑战的时间并非巧合，黑客确实会在周末和假期等安全团队人手不足时增加攻击，而且他们更倾向于在午餐前或工作日结束时发动攻击，因为此时员工通常匆忙工作，因而不太注意到钓鱼攻击或欺诈活动的红旗信号。

“黑客通常在那些时段发动攻击，因为他们知道这些攻击不太容易被察觉。”S-RM（全球情报和网络安全咨询公司）的全球威胁情报负责人Melissa DeOrio表示。

DeOrio承认，许多黑客位于那些工作时间与美洲和西欧的非工作时间相吻合的国家，但她表示，有证据表明，黑客确实利用这一差异，通过精确计算攻击时间来占据优势。

此外，SafeBreach安全研究副总裁Tomer Bar表示，威胁行为者会寻找组织变革期（例如并购、裁员等）来进行攻击。“威胁行为者会试图在CISO和蓝队最为艰难的时刻发起攻击。”

尽管CISO通常知道黑客会选择时机发动攻击，专家表示，有些人可能没有意识到黑客在研究和策划最佳攻击时间时是多么的有战略眼光。此外，Bar表示，CISO在这一问题上可能并未给予足够的关注。

为了应对这一黑客策略，长期担任安全领导的专家建议CISO在制定防御策略时考虑到这一点。CISO应在非工作时间利用第三方服务来补充安全团队的工作日程，增加自动化以提高全天候的工作效率，在风险较高的时刻增加额外的安全层，如更多的监控或更严格的过滤器，确保在假期等繁忙时段之前完成优先的安全工作，并教育所有员工在这些时刻提高警惕。

DeOrio还建议开展应急响应演习，模拟事件发生在特别棘手的时间——例如在暑假期间的午夜——以便安全团队识别并弥补其响应中的漏洞。

Carruthers表示，威胁行为者积极进行开源情报（OSINT）收集，寻找可以用于策划攻击的信息。她说，黑客寻找有关重大裁员、并购等变革性事件的新闻并不令人意外，但CISO、他们的团队和其他高管可能会感到惊讶的是，黑客还会关注看似无关紧要的事件，例如技术实施、新的合作伙伴关系、大规模招聘以及高管的日程安排，这些信息可能揭示出他们何时不在办公室。

诚然，这些低层级的活动不会像裁员和并购那样引发员工焦虑或组织混乱，因此也不会给黑客提供相同的机会，然而，Carruthers指出，这些事件仍然会带来变化，黑客可以利用这些变化。“它们都为攻击者提供了机会。”

Carruthers深知这种黑客策略的有效性，她的道德黑客团队进行的演习从收集六个月的公告、博客、社交媒体帖子和在线论坛信息开始，员工会在这些地方分享他们的想法，然后，她的团队根据这些信息确定何时何地发动攻击，就像黑客会做的那样，她表示，她的团队可能会利用一些对公司有利的事情发起钓鱼攻击，例如发送一封通知员工受欢迎的福利即将取消的邮件，或者团队会利用新技术迁移的机会，诱使员工分享登录信息或凭据。

尽管CISO无法阻止新闻的流动，但他们可以应对黑客利用这些信息攻击其组织的能力，Carruthers表示。他们可以监控与公司相关的开源情报（OSINT），与其他高管协作发布公告及其发布时间，并从商业角度运行这些公告的模拟演练。这一切都有助于CISO及其团队了解黑客的视角，更好地理解他们的思维方式，并为可能的定向攻击做好准备。

安全意识培训通常教导员工花时间仔细检查电子邮件或思考请求，以判断其是否合法或可疑，然而，Huffman表示，如今的职场文化通常与这种方法背道而驰。“我们为自己置身于紧张的情绪状态感到自豪。”他说，并指出许多招聘广告中使用的诸如“快节奏”、“动态”和“高强度”来形容企业文化的词汇。

Huffman指出，在这样的环境中，员工既没有时间，也没有被鼓励花额外的时间来评估收到的信息（无论是电子邮件、电话、视频还是短信）。“这就是黑客成功的原因：他们在我们处于紧张状态时抓住机会，趁我们快速点击处理1000封电子邮件时发动攻击。”

CISO和他们的高管同事可以通过降低工作压力来创建更安全的组织。

“我咨询的许多公司并不真正了解他们的团队在多么辛苦地工作，以及他们承受了多大的压力，他们以为自己有很好的文化，但他们的团队实际上在加班工作。如果公司能鼓励员工放慢节奏，明确哪些事情可以推迟到明天，允许员工放松，他们会在保障企业安全方面做得更好。”Huffman说。

深度伪造的效果足以欺骗员工。今年早些时候，一份报告指出，英国工程公司Arup的一名员工被骗子利用公司CFO的深度伪造请求转账2500万美元。

“深度伪造技术已经存在了近10年，但这项技术已经得到了极大的改进。”Immersive Labs的网络威胁研究高级总监Kev Breen说。他指出，深度伪造的音频技术尤其成熟。“虽然深度伪造的视频仍然很难制作，但只需要很少的音频就能创建令人信服的片段。”

他说，大多数CISO都知道音频和视频深度伪造已经足够逼真，但许多其他高管和员工对这一新兴威胁并没有足够的认识。尽管这些深度伪造攻击是高度定向的，黑客正是利用这种广泛的认知不足来提高成功率。

尽管目前还没有能够检测和阻止深度伪造的安全工具，CISO可以通过教育员工了解这一威胁以及如何识别可能的深度伪造音频和视频来减轻这一威胁，同时更新涉及资金转账等业务流程的协议，确保请求此类操作的行为合法。

深度防御可以增强企业的安全态势，但许多企业并没有从中受益，因为它们的控制措施并不独立，CTM Insights的创始人兼管理合伙人、网络安全研究实验室及孵化器负责人Lou Steinberg表示，他同时是MITRE科学技术咨询委员会成员及前TD Ameritrade CTO。

“我见过一些案例，本应独立的控制措施都运行在同一台服务器上。黑客知道一旦攻破这台服务器，他们就可以一次性攻破多个控制措施。”Steinberg说。

他还曾与一家公司合作，渗透测试显示，一个网络控制和一个非网络控制都运行在同一台本地服务器上。

“两个控制措施可以一起被绕过，这显然不是什么好事。”他说。

他还听说过类似的云端场景，比如安全控制（如云访问安全代理（CASB）或网络应用防火墙）的凭证与企业的云管理员的凭证相同的情况。

Steinberg表示，解决这个安全漏洞相对简单：确保控制措施是独立的，这样即使一个控制措施被攻破，其他控制措施不会受到影响，从而实现真正的深度防御，而不仅仅是防御的假象。