网络安全威胁-恶意软件趋势和策略-全-

网络安全威胁、恶意软件趋势和策略（全）

原文：Cybersecurity Threats, Malware Trends, and Strategies

协议：CC BY-NC-SA 4.0

零、前言

想象你在一艘潜艇里，被黑暗冰冷的水包围，淹没在水下数英里。潜艇的船体始终承受着来自四面八方的巨大压力。潜艇的设计、建造或操作中的一个小小的错误都会给它和它的全体船员带来灾难。

这类似于首席信息安全官(ciso)和他们的团队今天面临的挑战。他们的组织在互联网上被攻击者包围，这些攻击者不断寻找渗透和危害组织 IT 基础架构的方法。组织中的人员会收到一波又一波的社会工程攻击，这些攻击旨在欺骗他们做出不可信的决策，从而破坏他们的安全团队已经实现的控制。勒索软件和数据泄露的幽灵继续困扰着世界上最复杂的组织的首席信息官、首席信息官 ( 首席信息官)和首席技术官 ( 首席技术官)。

在进行了数百次事件响应调查并发布了数千页威胁情报后，我有机会向全世界数千家企业和公共部门组织学习并提供建议。我写这本书是为了分享我在这段不平凡的旅程中学到的一些见解和教训。

本书中表达的观点和意见是我自己的，而不是我过去或现在的雇主的。

这本书是给谁的？

本书面向首席信息安全官、有抱负的首席信息安全官、CISO 办公室的高级经理、首席信息官、首席技术官以及其他对其组织的网络安全负有重要责任的角色。

这本书涵盖的内容

第一章，成功的网络安全策略的要素，详细介绍了成功的网络安全计划所必需的要素。

第二章，利用漏洞趋势降低风险和成本，利用来自国家漏洞数据库的漏洞披露数据，提供了一个独特的 20 年漏洞视图。这将有助于读者更准确地评估后面章节中讨论的网络安全策略的有效性。

第三章，威胁格局的演变——恶意软件，提供了一个独特的数据驱动视角，展示了恶意软件在过去 10 年间是如何在全球范围内演变的。这有助于读者了解他们面临的恶意软件威胁的类型，以及哪些恶意软件威胁最常见，哪些最不常见。

第四章，基于互联网的威胁，探讨了一些攻击者使用互联网的方式以及这些方法是如何随着时间的推移而演变的。本章深入探讨了网络钓鱼攻击、驱动下载攻击和恶意软件托管站点。

第五章，网络安全策略，讨论了过去 20 年左右业界采用的主要网络安全策略。本章介绍了网络安全基础评分系统，该系统使读者能够估计任何网络安全策略的功效分数。

第六章、策略实现，提供了一个如何实现已确定的最佳网络安全策略之一的示例。本章说明了如何实现以攻击为中心的策略，即入侵杀伤链。

第七章，衡量表现和有效性，探讨 CISOs 和安全团队一直面临的挑战，以及如何衡量其网络安全计划的有效性。本章探讨了如何衡量网络安全策略的表现和有效性。

第八章，云——安全和合规性的现代方法，概述了云如何成为一个伟大的网络安全人才放大器。本章着眼于云如何减轻企业通常受到危害的方式。此外，本章还深入探讨了安全团队如何使用加密和密钥管理来保护云中的数据。

从这本书中获得最大收益

• 你已经了解了基本的信息技术 ( IT )概念，并且拥有一些使用、实现和/或操作 IT 系统和应用程序的经验。
• 管理企业 IT 和/或网络安全团队的经验将有所帮助，但不是严格要求。
• 你会带着健康的兴趣去学习一些你过去可能没有接触过的网络安全方面的知识。

使用的惯例

本书中使用了以下约定:

代码块设置如下:

{
    "eventVersion": "1.05", 
    "userIdentity": { 
 "type": "AssumedRole", 
 "principalId": "Example:user123", 
 "arn": "arn:aws:sts::Example:assumed-role/Admin/user123", 
 "accountId": "Example-ID", 
} 

粗体:表示一个新的术语或一个重要的单词。

下载彩色图像

我们还提供了一个 PDF 文件，其中有本书中使用的截图/图表的彩色图像。可以在这里下载:static . packt-cdn . com/downloads/9781800206014 _ color images . pdf。

取得联系

我们随时欢迎读者的反馈。

总体反馈:电子邮件feedback@packtpub.com，在邮件主题中提及书名。如果您对本书的任何方面有疑问，请发邮件至questions@packtpub.com联系我们。

勘误表:虽然我们已经尽力确保内容的准确性，但错误还是会发生。如果你在这本书里发现了一个错误，请告诉我们，我们将不胜感激。请访问，，选择您的图书，点击勘误表提交表单链接，输入详细信息。

盗版:如果您在互联网上遇到我们作品的任何形式的非法拷贝，如果您能提供我们的地址或网站名称，我们将不胜感激。请通过copyright@packtpub.com联系我们，并提供材料链接。

如果你有兴趣成为一名作家:如果你对某个主题有专长，并且对写作或写书感兴趣，请访问。

复习

请留下评论。一旦你阅读并使用了这本书，为什么不在你购买它的网站上留下评论呢？潜在的读者可以看到并使用您不带偏见的意见来做出购买决定，我们 Packt 可以了解您对我们产品的看法，我们的作者可以看到您对他们的书的反馈。谢谢大家！

更多关于 Packt 的信息，请访问packtpub.com。

一、成功的网络安全策略的要素

毫无疑问，如今的企业比以往任何时候都更需要有效的网络安全策略。然而，良好的策略本身并不能保证成功。网络安全项目要取得成功，有几个要素是必不可少的。本章将详细描述网络安全策略是什么样子，以及成功的每个必要因素。

在本章中，我们将讨论以下主题:

• 定义术语网络安全策略
• 组织受到危害的常见方式，以及如何缓解这些方式对有效的网络安全至关重要
• 理解攻击者的动机和他们的战术之间的区别
• 关于制定成功的网络安全策略的补充指南

在详细讨论网络安全策略之前，让我们先回答一个基本问题:当我们说“网络安全策略”时，我们实际上指的是什么？

什么是网络安全策略？

拥有超强安全文化的组织本质上已经将网络安全融入其中。对其他所有人来说，都有策略。以我的经验来看，商业界对“策略”和“战术”这两个术语的理解很差。一个人的策略是另一个人的战术。我曾经和一位公司副总裁一起工作，他告诉我，当我解释我们的策略时，我说的是战术。在我的职业生涯中，我参加过一些会议，会上人们互相讨论，因为一个人在讨论策略，另一个人在讨论战术。

此外，安全和合规专业人员在提到框架、模型或标准时，有时会使用术语“策略”。行业中有许多这样的工具，许多组织都在使用它们。例如，ISO 标准、NIST 标准、OWASP 十大标准、CIS 基准、STRIDE、风险管理框架、SOC 2、PCI、HIPAA、云安全联盟云控制矩阵、AWS 云采用框架安全视角、AWS 架构完善的安全支柱等等。所有这些都是有用的工具，有助于组织改善其安全状况，遵守法规，并证明他们符合行业标准。

我并不是在为术语“策略”提出一个新的字典定义，但我确实想解释我在本书中讨论网络安全策略时的意思。在我看来，网络安全策略至少有两个关键要素:

1. 每个组织的高价值资产
2. 适用于每个组织的特定要求、威胁和风险，由他们所处的行业、他们在世界上开展业务的地方以及与每个组织相关联的人员决定

高价值资产 ( HVAs )也被称为“皇冠上的宝石”这些术语有许多定义。但是当我使用它们时，我的意思是如果资产的机密性、完整性或可用性受到损害，那么组织将会失败或者会被严重破坏。HVAs 很少是组织的信息工作者使用的计算机。然而，我看到如此多的组织关注桌面系统的安全性，就好像他们是 HVAs 一样。鉴于 hva 的重要性，很容易将重点放在 hva 上而排除低价值资产。但是请记住，攻击者通常使用价值较低的资产作为攻击 HVAs 的切入点。例如，那些从未适当退役的旧开发和测试环境通常不是 HVAs。但是他们经常被发现是妥协的来源。

CISO 人得到工作后需要做的第一件事就是识别组织的 hva。这可能比听起来更具挑战性，因为皇冠上的宝石对于不具备与其所支持的业务相关的专业知识的人来说可能并不明显。采访首席执行官和董事会成员有助于识别真正会导致企业失败或被严重破坏的资产。

从组织的目标逆向工作也有助于识别其 hva。当首席信息安全官进行这种分析时，他们应该为一些最初并不明显的细微差别做好准备。例如，如果没有电力、水、暖气、空调和生命安全系统，企业还能实现目标吗？根据企业和它所使用的建筑类型，如果没有电梯，让员工和顾客从前门进来还有意义吗？顾客可能愿意走上几层楼梯，但如果有必要，他们会愿意走上 40 层楼梯吗？可能不会。

如果这种中断持续几天、几周或几个月，企业能存活多久？这些功能的控制系统在哪里？上次评估这些系统的安全状况是什么时候？识别一个组织的 HVAs 并不意味着 CISOs 可以忽略其他一切。了解哪些资产是真正的 HVAs，哪些不是，有助于 CISOs 优先考虑其有限的资源，并专注于避免组织的灭绝事件。

一旦 CISO 确定了他们组织的皇冠上的宝石，下一步就是确保最高管理层和董事会理解并同意这份名单。当需要比组织过去利用的更多的资源或不同的资源时，这种清晰性将非常有帮助。当组织需要做出关于减少资源的艰难决策时，围绕 HVAs 的清晰性将有助于做出基于风险的决策。花费时间和精力让高级利益相关者群体达成一致将使 CISO 的生活更加轻松。

网络安全策略的第二个关键输入是适用于组织的特定要求、威胁和风险，这些要求、威胁和风险来自于组织所处的行业、组织开展业务的地点以及与组织相关的人员。该输入有助于进一步确定网络安全计划的要求范围。例如，他们开展业务的行业和/或地点可能有他们需要遵守的法规遵从性要求，或者他们可能面临高额罚款或吊销营业执照。请记住，大多数组织无法识别所有可能的威胁和风险。这需要全知全能，也是基于风险的方法的自然局限。

在我在微软工作时(微软公司，2007-2016 年)发表了数千页的威胁情报后，我可以告诉你，有可能影响每个人的全球性威胁，但也有特定行业的威胁和区域性威胁。使用可信的威胁情报来制定策略将有助于 CISOs 对能力和控制进行优先排序，如果他们没有无限的资源，这将特别有帮助。试图保护所有东西，就好像它们对组织具有相同的价值一样，这是一个失败的秘诀。首席信息安全官必须做出取舍，如果他们知道他们开展业务的行业和地区所面临的具体威胁，他们会做得更好。这并不意味着 CISOs 可以忽略所有其他威胁，但是确定对其组织皇冠上宝石的最高风险威胁将有助于他们将资源集中在最重要的地方。

我在本书中专门用了三章来帮助您了解威胁形势以及它在过去 20 年中是如何演变的。第二章，利用漏洞趋势降低风险和成本，深入探讨漏洞管理，并向您展示过去二十年漏洞披露的趋势。第三章，威胁格局的演变——恶意软件，重点讲述恶意软件在过去 20 年中是如何演变的。第四章、基于互联网的威胁，探讨了每个组织都应该设法缓解的基于互联网的威胁。

如果没有我在这里描述的两种输入，首席信息安全官们只能实现基于他人威胁模型的“最佳实践”和行业标准。同样，这些有助于推动组织朝着正确的方向发展，但它们通常不是基于单个组织的 hva 和他们关心的特定威胁。使用没有这两个输入信息的最佳实践和行业标准将更有可能出现关键差距。

此时，您可能想知道网络安全策略是什么样子的。下图展示了网络安全策略。人道主义援助是核心，并得到策略其他部分的支持。网络安全基础包括支持成功安全计划的基本能力，如漏洞管理和身份管理等。

高级网络安全能力是组织在非常精通基础知识时应该进行的投资。如果您的组织并不真正擅长基础知识，那么就不要费心投资高级网络安全功能，因为攻击者不需要做任何“高级”的事情来成功危及环境并颠覆这些高级功能。

图 1.1:网络安全策略的示例

既然我们已经对网络安全策略需要什么有了一个很好的想法，让我们来检查一下我认为是网络安全策略的一个关键因素:组织被入侵的常见方式。

组织最初是如何受到危害的，以及网络安全的基本原则

该策略的基础是我所说的“网络安全基础”成功的策略需要坚实的基础。网络安全的基础是基于我之前提到的威胁情报。在进行了数百次事件响应调查并研究了十多年的微软威胁情报后，我可以满怀信心地告诉你，组织最初让受到攻击的方式只有五种。在最初的妥协之后，有许多许多的战术、技术和程序 ( TTPs )可以让攻击者用来横向移动、窃取凭证、危害基础设施、保持持久性、窃取信息以及破坏数据和基础设施。其中一些已经存在了几十年，一些是新的和新颖的。

组织最初受到危害的五种方式是我所说的“网络安全常见疑点”:

1. 未修补的漏洞
2. 安全错误配置
3. 脆弱、泄露和被盗的凭据
4. 社会工程
5. 内部威胁

网络安全基础是策略的一部分，重点是减轻网络安全常见的嫌疑。让我们更详细地看一下其中的每一个，从利用未打补丁的漏洞开始。

未修补的漏洞

漏洞是软件或硬件设计和/或底层编程代码中的缺陷，它允许攻击者让受影响的系统做一些意想不到的事情。最严重的漏洞允许攻击者完全控制受影响的系统，运行他们选择的任意代码。不太严重的漏洞会导致系统以非预期的方式泄露数据，或者拒绝向合法用户提供服务。在第二章、利用漏洞趋势降低风险和成本中，我深入探讨了漏洞管理和过去 20 年中一些关键的漏洞披露趋势。我将把深入的讨论留到下一章，但是我将在这里提供更多的背景。

至少从 2001 年的 Code Red 和 Nimda 时代开始，攻击者就一直在利用漏洞大规模危害系统。2003 年，SQL Slammer 和 MSBlaster 通过利用微软 Windows 操作系统中未打补丁的漏洞，成功破坏了互联网，并危及全球数十万个系统的安全。在这些攻击之后的几年中，家庭手工业发展了一种持续的努力，以帮助企业组织，那些具有最复杂环境的组织，清点他们的 IT 系统，识别其中的漏洞，为漏洞部署缓解措施，并修补它们。截至 2019 年底，在国家漏洞数据库(National Vulnerability Database，n.d .)的记录中，全行业软件和硬件产品中披露的漏洞超过 122，000 个。正如您将在第二章、中读到的，利用漏洞趋势降低风险和成本，整个行业披露的漏洞数量在 2016 年至 2020 年间激增，达到前所未有的水平。

经济已经围绕漏洞和利用的供给和需求而发展，参与者的名单各不相同，包括供应商、攻击者、防御者、各种商业实体、政府等。这种经济中参与者的数量及其相对复杂性使得组织更难通过增加相关风险来保护自己免受其 it 环境中漏洞的利用。利用未打补丁的漏洞是攻击者的主要工具。

高效且擅长漏洞管理的组织使得攻击者更难成功攻击他们。

运行良好的漏洞管理计划是网络安全策略的基本组成部分和关键要求。没有它，组织的网络安全努力将会失败，无论他们进行其他投资。重申这一点很重要。操作系统中未修补的漏洞，以及高级网络安全功能所依赖的底层平台组件，使攻击者能够完全破坏这些投资的有效性。如果不能有效解决您的系统所依赖的“可信计算基础”中正在发生的漏洞泄漏，就会使其变得不可信。

所有 IT 资产的准确清单对于漏洞管理计划至关重要。如果组织无法准确、及时地清点所有 IT 资产，扫描所有 IT 资产的漏洞，并有效地缓解和/或修补这些漏洞，那么在此问题得到解决之前，就不应该进行其他投资。如果您的组织属于这一类，请重读本书的前言部分，回忆一下我介绍的潜艇类比。如果 CISO 和漏洞管理项目经理依赖其组织的 IT 团队或其他内部合作伙伴来提供 IT 资产清单，则这些清单需要是完整的，而不仅仅是他们想要遵守的系统的清单。

没有出现在清单中的资产将不会被扫描或修补，并将成为您试图创建的安全链中的薄弱环节。通常，这与 IT 组织衡量正常运行时间的目标不一致，因为修补漏洞会增加系统重启的次数，从而减少正常运行时间，即使一切顺利。我的建议是，在资产清单由漏洞管理程序本身以外的其他方提供的情况下，要相信但要核实。花费额外的精力和预算来不断核对资产库存与现实情况。这包括那些官方和非官方的开发和测试环境，这些环境多年来造成了行业中如此多的违规行为。

如果资产库存的来源不符合这一要求或不能提供准确、及时的库存，这就代表了应该通知董事会的风险类型。向他们提供当前未由您的漏洞管理计划管理的总资产库存的估计百分比的视图，应该会导致资产库存的来源重新安排他们工作的优先级，并打破危险的现状。我将在本书的第二章、使用漏洞趋势降低风险和成本中更详细地讨论漏洞管理。我还将在第八章、云——关于云计算的安全和合规性的现代方法中讨论漏洞管理。

云可以让老式的清点、扫描和修补安全漏洞的方法变得过时。

当然，我刚刚描述的方法的一个挑战是，环境已经接受了自带设备 ( 自带设备)政策，允许信息工作者使用他们的个人移动设备来访问和处理企业数据。潜在的问题是企业漏洞管理团队是否应该清点和管理个人设备？这场辩论是许多安全专业人士最初将 BYOD 称为“带来自己的灾难”的一个原因不同的组织在回答这个问题时采取不同的方法。一些组织为员工提供公司所有且完全受管理的移动设备，而其他组织则要求员工使用个人设备加入企业移动设备管理计划。我还见过一种更被动的管理模式，即要求用户在设备上安装访问密码，如果他们的设备上没有安装最新版本的移动操作系统，就不允许他们连接到雇主的网络。一些组织使用网络访问控制 ( NAC )或网络访问保护 ( NAP )技术来帮助执行与连接到其网络的系统健康相关的策略。最大限度地减少允许连接到企业网络的未打补丁系统的数量是一种最佳实践，但根据企业文化和移动设备政策的不同，这一点很难做到。收集有助于安全团队了解移动设备对其环境造成的风险的数据，对于合理化的基于风险的方法非常有帮助。

接下来，我们将考虑安全错误配置。与未打补丁的漏洞一样，安全错误配置可能会使攻击者在系统上采取一系列行动，包括中断系统运行、窃取信息、降低安全设置或禁用安全功能、夺取系统控制权，以及利用系统攻击其他系统。

安全错误配置

安全错误配置可以作为默认设置出现在系统中，例如供应商制造的每个系统上的预置密钥或密码都是相同的。随着管理时间的推移，系统的配置会逐渐发生变化，安全错误配置也会逐渐引入。

当我在微软面向客户的事件响应团队中执行了数百次事件响应调查后，我可以告诉你，很大一部分系统最初都是由于安全错误配置而受到危害的。

对于面向互联网的系统来说尤其如此，比如 web 服务器、防火墙和其他在企业非军事区 ( 非军事区)中发现的系统。一旦错误配置使得攻击者能够控制 DMZ 中的系统，或者使用该系统代表攻击者发送经过验证的命令(例如服务器端请求伪造攻击)，攻击者就会渴望使用该系统访问 DMZ 中的其他系统，并最终访问组织内部防火墙内的系统。20 多年来，这一直是攻击者战术手册中的常见模式。

安全错误配置也困扰着终端设备，如个人电脑、智能手机和物联网 ( 物联网)设备。这些端点连接的基础设施，如无线接入点，也经常被攻击者探测常见的错误配置。安全错误配置也是工业控制系统 ( ICS )中的一个问题。例如，ICS 在过去曾让安全团队焦头烂额，其中一种情况是“退回到最近已知的状态”，它可以覆盖最近的安全配置更改，以支持以前的较不安全的设置。硬编码凭证和易受攻击的默认配置长期以来一直困扰着整个行业的各种软件和硬件制造商。

一个运行良好的漏洞管理程序通常会将识别安全错误配置作为其工作范围的一部分。用于识别和修补安全漏洞的许多相同的漏洞扫描器和工具也能够识别安全错误配置，并就如何解决它们提供指导。同样，如果组织还不能非常熟练地识别和减轻其环境中的安全错误配置，他们应该放弃在高级网络安全功能上的大量投资。如果攻击者可以使用互联网上几十年前的硬编码密码列表成功入侵并在环境中四处活动，那么花费大量金钱和精力在环境中寻找高级持续威胁 ( APT )就毫无意义。即使 CISOs 在他们的 IT 环境中发现了这样的攻击者，他们也无法用未受管理的常见安全错误配置来驱逐他们。

历史上一些最大的违规事件是由于未打补丁的漏洞和安全错误配置的组合导致的初步妥协。两者都可以通过运行良好的漏洞管理程序来管理。在任何网络安全策略中，这都是一个不可选择的原则，应该相应地提供资源。别忘了，你管理不了你不衡量的东西；完整、准确和及时的 IT 资产清单对于漏洞管理计划至关重要。始终相信但核实资产清单。值得记住的是，与旧的内部 It 世界相比，云提供了几个优势。我将在本书的第八章、云——安全和合规性的现代方法中详细讨论这一点。

新的硬件和软件可能会默认出现安全错误配置，也可能会随着时间的推移逐渐出现。另一个需要持续关注的持续威胁是凭据泄露。组织必须不断主动地努力缓解这一威胁载体。

脆弱、泄露和被盗的凭据

由于凭据薄弱、泄露或被盗而危及 IT 环境的情况屡见不鲜。凭据泄露和被盗的方式有多种，包括网络钓鱼等社交工程、记录击键或从操作系统和浏览器窃取凭据的恶意软件，以及缓存、存储和/或处理凭据的被入侵系统。有时，开发人员将项目放在公开的代码共享网站上，这些网站上有一些秘密，比如忘记在代码中的密钥和密码。被放弃但仍在运行的旧开发和测试环境，如果不及时修补，最终会向攻击者提供凭证。

多年来，在互联网上发现了大量被盗和泄露的凭据。除了这些列表之外，高性能计算集群和基于 GPU 的密码破解工具的可用性也使得密码本身无法有效保护资源和帐户。一旦密码泄露或被盗，它们就有可能被用于对系统的未授权访问、“重用”攻击和权限提升。密码本身保护企业资源的效用早已不复存在。随后，使用多因素认证 ( MFA )对企业和消费者都是一种需求。在许多(但不是所有)情况下，使用 MFA 可以减少凭据被盗和泄露。使用 MFA，即使攻击者拥有帐户的有效用户名和密码，如果攻击者不具备身份验证所需的其他因素，他们也无法访问该帐户。其他可用于身份验证的因素包括数字证书、在专用硬件或智能手机应用程序上生成的一次性密码和 pin 码、对预先注册的座机或手机的呼叫等等。

MFA 不是针对弱密码、泄露密码或被盗密码的灵丹妙药，但它在许多情况下非常有用。对一些 MFA 方法已经有一些成功的攻击。例如，通过 SMS 拦截发送到预先注册的移动电话的 pin 码的 SIM 交换攻击。MFA 的另一个实际限制是它在企业 it 环境中并不普遍。拥有数十年使用老式身份验证和授权方法的遗留应用程序的组织不太可能完全减轻 MFA 带来的风险。即使最新的系统和基于云的服务需要 MFA，也有可能有更多的传统应用程序不容易利用它。

这里我想到了一幅冰山的图片。我交谈过的几个 CISOs 在渗透测试中亲身经历了这种限制，暴露了 MFA 在其环境中的局限性。尽管如此，MFA 应该被广泛采用，因为它成功地缓解了许多攻击场景，其中涉及弱密码、泄露密码和被盗密码。对于正在采用的新系统，应该有此要求，并且应该仔细考虑没有此要求的旧系统所带来的风险，并在可能的情况下减轻这些风险。有几家供应商专门从事此类缓解工作。

当内部部署的企业环境最初遭到破坏时，攻击者使用泄漏或窃取的凭据来执行侦察，并寻找环境中缓存的其他凭据。他们特别注意管理员凭证，这些凭证可以让他们在受损的环境中无限制地访问资源。通常情况下，在最初的危害发生后的几秒钟内，攻击者试图访问受害组织的用户帐户目录服务，如微软活动目录 ( AD )，以转储目录中的所有凭证。他们可以用来移动和保持持续的凭证越多，就越难将他们从环境中驱逐出去——他们可以无限期地持续下去。攻击者将试图窃取用户帐户数据库。如果攻击者成功地从他们的目录服务中获得所有凭证，那么恢复真的是令人向往的。

一旦攻击者窃取了哈希凭证，这些凭证中最弱的一个就可以在几个小时内被离线攻击破解。较长的、不常见的和真正复杂的密码将最后被破解。几十年来，关于密码与通行短语的功效，以及适当的字符长度、字符集、密码锁定策略、密码过期策略等，一直存在激烈的争论。随着威胁和风险的变化以及新数据的出现，密码指南也在不断变化。我在微软身份保护团队中的一些同事根据他们在企业和消费者身份系统上每天看到的 1000 万次凭据攻击的数据发布了密码指南。《微软密码指南》(Hicock，2016)推荐阅读。

当凭据从组织中泄露或被盗时，攻击者很快就会通过脚本运行它们，这些脚本试图登录金融机构、电子商务网站、社交网站和其他网站，希望凭据在某个地方被重用。跨帐户重复使用密码是一种可怕的做法。简而言之，提供多个帐户访问权限的凭据比不提供的凭据对攻击者有更高的投资回报率。可以提供访问公司资源和信息的一组被破坏的凭证，以及也可以作为丰富的信息来源和潜在受害者的社交网络，都是有价值的。

为每个帐户使用唯一的密码并在任何地方使用 MFA 可以减轻这种风险。如果您有太多的帐户要分配唯一的密码，那么使用密码库使生活更容易。对于消费者和企业来说，有许多商业可用的产品。

身份一直是网络安全最难的部分。身份治理和管理值得拥有自己的书。我提供了一个非常不完整的建议列表来帮助管理脆弱、泄露和被盗的凭据的风险:

• MFA 可能非常有效——尽可能在任何地方使用它。微软发表了一篇关于 MFA 有效性的伟大博文，名为“你的 Pa$$word 无关紧要”(Weinert，2019)，推荐阅读。
• 您应该知道您的组织是否正在泄漏凭据，以及这些泄漏的凭据存在了多长时间。使用一个收集泄露和被盗凭据的服务，并查找您的组织在网上出售和交易的凭据，可以让您安心一点，因为您不会错过一些明显的东西。了解这些凭据的年龄有助于确定密码重置是否必要以及潜在受影响的人数。
• 特权访问管理解决方案可以检测哈希传递、票证传递和黄金票证攻击，以及攻击者在您的基础架构中的横向移动和侦察:
  • 其中许多解决方案还提供密码保险存储、凭据代理和专业分析。其中一些解决方案可能会有噪音，容易出现误报，但它们仍然可以帮助您管理和检测薄弱、泄露和被盗的凭据。
• 在基于云的环境中，身份和访问管理(IAM)控件是您拥有的最强大的控件。利用 IAM 控件提供的所有功能可以帮助您保护和检测云中的资源。但是，这是一个控制集领域，可以迅速扩散成一个不可收拾的烂摊子。围绕您的组织的 IAM 策略的额外的深思熟虑的计划将支付巨大的安全红利。

我将在本书的第五章、网络安全策略中进一步讨论身份。

保护凭据的一个重要方面是教育组织内的信息工作者注意社交工程攻击，攻击者可能试图通过网络钓鱼等方法窃取凭据。然而，这并不是社会工程用来危害系统的唯一方式。接下来我们将更详细地讨论社会工程。

社会工程

在通常的网络安全怀疑中，社会工程是最广泛使用的方法。简而言之，社会工程正在欺骗用户做出糟糕的信任决定。不良信任决策的例子包括通过改变系统的设置而降低系统的安全状态，而不了解这样做的可能结果，或者在系统上安装恶意软件。攻击者在社会工程攻击中依靠受害者的天真。

社交工程攻击的数量比其他类型的攻击多几个数量级。例如，微软报告的 2019 年 7 月电子邮件钓鱼攻击量占当月通过 Office 365(微软公司，n.d .)流动的超过 4700 亿封电子邮件的 0.85%。仅在一个月内，就有 40 亿封网络钓鱼电子邮件依靠社会工程被检测出来。同样，木马是一种依赖社会工程才能成功的恶意软件，在过去十年中一直是世界上最流行的恶意软件。我将在第三章、威胁格局的演变——恶意软件中详细讨论这一类别的恶意软件和许多其他种类的恶意软件。

鉴于大量的社会工程攻击，以及它们成功的历史记录，减轻这些攻击对企业来说确实不是可有可无的。企业网络安全策略的一个基本组成部分是针对社会工程攻击的缓解策略。换句话说，在你的网络安全策略中不包括社会工程攻击将意味着忽略组织最初被大量攻击的主要方式。

社会工程攻击通常由组织外部的攻击者实现，用户必须通过适当的教育和培训做好准备。另一个需要防御的挑战是来自内部的威胁。最后一条潜在的妥协途径是内部威胁，我们接下来将讨论这一点。

内部威胁

在与 CISOs 和安全团队讨论内部威胁时，我发现将它们分成三个不同的类别很有用，这里从最有可能到最不可能列出:

1. 用户和管理员会犯错误或做出不可信的决策，从而导致不良的安全后果。
2. 独狼内部人员或极少数利用其特权窃取信息或以其他方式对组织的信息技术和/或数据的机密性、完整性或可用性产生负面影响的个人。
3. 多名内部人员共同努力克服分散安全控制范围的职责分离的大规模阴谋。我发现企业在讨论托管服务提供商环境和云中的风险时，通常会提到这一类别。

减轻内部威胁是网络安全的一个重要方面，也是任何企业策略的基础。强制执行有意义的职责分离和采纳最小特权原则是有帮助的，监控和审计也是如此。

在看到欺骗技术如何被用来减轻内部威胁后，我成了它的忠实粉丝。欺骗技术有几种不同的方法，但基本概念是为攻击者提供一个系统，该系统可能具有众所周知的漏洞或常见的安全错误配置，当与这些漏洞或错误配置交互时，会提醒防御者注意攻击者的存在。这种方法有助于提醒防御者注意外部攻击者和内部威胁的存在。我听到一些安全专业人士称之为 it 环境中的“煤矿中的金丝雀”。在尽可能少的人参与的情况下实现欺骗技术，并对程序保密，这有助于暴露我概述的三类内部威胁中的至少两类。

这是组织最初受到损害的五种方式。防御这五种攻击是有效网络安全的基础。

关注网络安全基础知识

为了有一个成功的网络安全计划，组织需要非常善于持续缓解所有这五种类型的威胁。这种能力构成了健全的网络安全策略的基础。如果该策略的基础不牢固，其他网络安全相关投资的回报可能会减少。

在攻击者使用这五种方法中的一种或多种来初步危害组织后，他们可能会使用大量新颖和高级的 TTP。专注于网络安全基础的组织让攻击者更难得逞；也就是说，通过关注网络安全基础所在的钟形曲线内部的 85%，而不是曲线两端外围的 7.5%，安全团队将会更加成功。不幸的是，寻找高级持久威胁的诱惑可能会从曲线中间不太性感但很关键的工作中夺走资源。

图 1.2:说明大多数安全团队应该把时间花在网络安全基础知识上的钟形曲线

如果真的只有五种方式让组织最初受到危害，为什么在网络安全项目的适当优先级方面，行业中似乎有如此多的混乱？我认为造成这种混乱的因素有很多。造成混乱的一个原因是，流行媒体报道攻击、安全事件和数据泄露的方式有时会混淆攻击者的策略和动机。这可能导致组织做出错误的安全优先级决策。

理解攻击者的动机和策略之间的差异

我发现许多组织缺乏对网络安全基础知识的关注和能力的原因之一是过去十年中新闻报道大数据泄露的方式。声称一次攻击是“迄今为止最先进的攻击”或“一个民族国家”所为的故事似乎很常见。但是，当您仔细观察这些攻击时，受害者组织最初总是被攻击者使用我在本章中概述的五种方法中的一种或多种来危害。

有些攻击者公开活动，因为基于他们的位置和法律管辖权，他们不相信他们的非法活动会有后果。但这是一个例外，他们会模糊自己真实的个人身份。声称一次攻击是一个民族国家或一个 APT 组织所为通常是基于间接证据。快速变化的社交媒体账户网络和传播虚假信息的新闻渠道加剧了归属的挑战。

将攻击归咎于个人或团体可能非常困难。这是因为互联网是基于 35 年前开发的一套协议。

开发这些高度可扩展和复杂协议的工程师从未设想过这样一个未来世界:一个每年价值数十亿美元的产业将建立在新的安全漏洞、恶意软件研究、社会工程保护和国家行为者的发现之上。TCP/IP 第 4 版是互联网的基础，但它从未被设计用来帮助调查人员对利用全球范围内的巨大分布式系统网络的攻击进行归因。比较来自两个恶意软件样本的代码片段以确定是否是同一个攻击者开发的，这并不是一种可靠的方法来执行归因，尤其是当攻击者知道这是一种常见的技术时。在已经被入侵数月或数年的大型环境中，使用来自被入侵系统的数据来寻找“零号患者”，是不可能完全有把握的。

但是，许多网络安全专家仍然使用这种类型的数据来猜测攻击者的动机和身份。攻击者的动机包括:

• 恶名:攻击者想要证明他们比大型高科技公司及其受害者更聪明。
• 利润:正如我将在第三章、中讨论的，威胁格局的演变——恶意软件，在 2003 年成功的蠕虫攻击之后，恶意软件开始演变以支持持续至今的利润动机。
• 经济间谍:例如，东亚某大国的一些团体涉嫌从西方国家窃取有价值的知识产权，以给自己的产业带来竞争和经济优势。
• 军事间谍活动:这是一个与政府本身一样古老的动机，政府希望了解对手的军事能力。
• 黑客主义:基于政治或哲学问题上的分歧而攻击组织和机构。
• 影响选举:利用文化操纵和信息战来帮助国家实现外交政策目标。
• 许多其他人:看任何一部詹姆斯·邦德的电影，其中反情报、恐怖主义、报复和勒索的特别执行官 ( 幽灵)是情节的一部分。

如果大多数组织不能真正知道谁在攻击他们，那么他们就不能真正理解攻击者的动机是什么。如果 CISOs 不知道攻击者的动机是什么，他们怎么知道什么是适度反应呢？谁应该帮助受害者组织应对攻击-地方当局、军方、国际联盟？

尽管如此，我还是和那些网络安全策略严重依赖归属的组织谈过。在为微软的客户进行了数百次事件响应调查后，我发现可以有把握地进行及时归因的假设过于乐观。对于大多数组织来说，依靠准确的归因来制定网络安全策略或帮助做出事件响应决策纯属幻想。但是，我相信您可以以 99.9%的把握预测攻击者在试图首先破坏 IT 环境时将使用的策略。这是组织应该投资的——网络安全基础。

拥有网络安全策略是朝着正确方向迈出的一大步。但它本身代表了良好的意愿，而不是本组织的承诺。在下一节中，我们将了解为了成功实现有效的网络安全策略还需要做些什么。

成功策略的其他要素

有一堆与管理相关的工作需要完成，以确保 CISO、安全团队和组织的其他部分能够有效地执行网络安全策略。本节概述了一些使策略最有可能成功的因素。

那些告诉他们所支持的企业，“不，你不能这样做”的 CISOs 不再受欢迎。安全团队必须与其组织的业务目标保持一致，否则他们不会成功。

业务目标一致性

我遇到过许多首席信息官，他们在自己的岗位上苦苦挣扎。他们中的一些人只是没有得到他们的组织的适当支持。很容易发现一些高管认为网络安全威胁被夸大了，他们的 CISO 所做的一切都是对他们试图完成的事情征税。对这些人来说，网络安全只是另一个应该支持他们争取资源的计划。毕竟，公司不会通过成本中心达到下一个收入里程碑，对吗？

与不了解其组织所面临的网络安全威胁、也没有时间关注这些威胁的高管一起工作并不罕见。大多数首席信息安全官必须与其他高管合作完成工作，即使这些高管没有意识到他们与 CISO 有着共同的命运；当 CISO 失败时，他们都失败了。但我见过的最好的首席信息安全官往往能在这样的环境中茁壮成长。

无论 CISO 是在我描述的环境中工作，还是有幸与关心他们是否成功的人一起工作，要想成功，首席信息安全官需要与他们支持的业务保持一致。不理解并接受他们所支持的组织的目标的 CISOs 会产生摩擦。高层领导人在要求改变之前，只愿意容忍这么多摩擦。对业务及其运作方式的深刻理解给开明的首席信息官提供了真正支持其组织所需的知识和信誉。换句话说，“纯粹主义”的首席信息安全官试图将数据保护与他们的组织赖以成功的人员、业务流程和技术隔离开来，但他们只是做了他们被雇来做的工作的一部分。

网络安全策略只有在真正支持业务的情况下才会成功。开发有助于减轻安全团队最关心的风险的策略可能会让团队感到满意，因为他们有一个严密的计划，使攻击者难以得逞。但是，如果这种策略也使企业难以保持竞争力和灵活性，那么安全团队必须做得更好。

向你的高管同事证明你在那里帮助他们的最好方式是了解他们管理的业务部分，他们的优先事项是什么，并赢得他们的信任。所有这些都不会在你的安全运营中心 ( SOC )发生，所以你将不得不花时间在他们的世界里，无论是在工厂车间，在仓库，在卡车上，还是在办公室。站在他们的立场上走一英里，他们会更容易听从你的建议，在重要的时候为你辩护。

最后，请记住，沟通、管理和减轻业务风险是 CISO 的工作，而不是决定组织的风险偏好。自该组织成立以来，董事会和高级管理层一直在为其管理风险。他们一直在管理各种风险，包括财务风险、经济风险、人力资源风险、法律风险和许多其他风险。网络安全风险可能是他们被迫管理的最新类型的风险，但如果 CISO 能够学会以与企业其他部门相同的方式沟通网络安全风险，企业将为客户和股东做正确的事情，否则他们将付出代价——但这是企业的决定，而不是 CISO 的决定。

也就是说，责任、义务和授权是相辅相成的。许多 CISOs 面临着严峻的现实，他们有责任降低企业接受的风险，但没有权力做出必要的改变或实现对策。简而言之，CISO 的工作很辛苦。这可能有助于解释为什么与其他高管相比，CISO 的任期通常如此之短。

对网络安全在一个组织更广泛的业务策略中的位置有一个明确和共同的愿景，这不仅在一个组织的高层非常重要；组织作为一个整体，应该对其网络安全计划的愿景、使命和必要性有一个清晰的立场。我们接下来会看看这个。

网络安全愿景、使命和当务之急

花时间制定并记录网络安全计划的愿景、使命陈述和必要条件对首席信息安全官很有帮助。从网络安全的角度传达组织未来最佳状态的共同愿景可以成为发展支持性企业文化的有力工具。它可以激发对网络安全团队和组织未来的信心。它还可以激发人们对安全团队的热情和好感，这对他们的工作很有帮助。

同样，一份写得很好的使命宣言可以成为组织积极的文化咒语。一份好的使命陈述可以传达安全团队试图完成的任务，同时展示安全团队如何与业务、客户和股东保持一致。使命陈述将有助于传达安全小组的目标，因为它与组织的其他部分一起工作。

最后，业务需求是网络安全团队在未来两三年内的主要目标。这些目标应该足够雄心勃勃，不能在一个财年内实现。要务支持策略，并与更广泛的业务目标保持一致。当策略与更广泛的业务目标不一致时，这可能会显示出一个不合适的必要条件——一个圆孔中的方钉。为什么业务支持是一个与其目标不一致的大的多年目标？这应该是向 CISO 发出的一个信息，要求它重新调整策略，重新思考当务之急。这些多年目标成为网络安全组织开展项目的基础。一个命令可能由一个项目完成，也可能需要多个项目。记住一个项目有一个明确的开始日期，结束日期和预算。

不要把这和一个不一定有结束日期并且可以永久资助的项目相混淆。项目可以也应该有助于团队的使命。

为网络安全项目制定愿景、使命宣言和必要措施并不总是容易或简单的。如果没有网络安全小组之外的利益相关者的支持，愿景就无法实现，让他们相信该计划的价值可能会非常耗时。这项工作的未来回报，对于 CISO 和整个网络安全组织来说，通常是值得的。接下来，我们将简要讨论如何获得这种支持，这是我们成功的网络安全策略的重要组成部分之一。

高级管理人员和董事会支持

确保高级管理人员和董事会理解并支持组织的网络安全策略是安全计划成功的重要一步。如果高级管理人员了解策略，参与制定并批准了策略，他们应该表现出更多的主人翁精神，支持策略向前发展。但是，如果他们与策略没有联系，那么为支持策略而执行的活动将是潜在的破坏性和不受欢迎的。他们不会理解为什么要做出改变，或者为什么治理模型会有这样的行为。

首席信息安全官在面试 CISO 的新职位时应该问的两个重要问题是，该职位向谁报告，以及 CISO 多久与董事会或董事会审计委员会会面一次？如果 CISO 没有每季度或每年两次与董事会开会，那就是一个危险信号。这可能是 CISO 向其汇报的角色，而是与董事会会面。但除非这个角色在策略和日常运营中根深蒂固，否则他们应该将与董事会开会的工作分担或委托给 CISO。这给了 CISO 与理事会讨论优先事项的第一手经验。它还允许理事会成员直接从 CISO 获得他们的更新，并直接向他们提问。我会非常犹豫是否接受 CISO 的工作，因为这个职位每年至少不会与董事会直接会面几次。

这一经历很重要，表明 CISO 是本组织管理层的合法成员。如果 CISO 没有机会请求董事会帮助他们的同行，包括首席执行官，这是他们的同行不需要支持他们的另一个原因。在 CISO 和董事会之间增加管理层可能是高级管理层用来延迟、影响或阻止 CISO 推进其安全计划的一种策略。它还可以为那些不具备商业头脑或企业成熟度、无法与董事会直接互动的首席信息官提供庇护。

但如果高管团队真的支持 CISO 和网络安全策略，他们应该欢迎 CISO 有机会在不建立更多官僚机构的情况下尽快获得所需的帮助。此外，高管团队应该已经知道 CISO 会告诉董事会什么，如果他们认真对待自己的责任的话。当然，历史告诉我们，就网络安全而言，情况并非总是如此。

如果 CISO 成功地让董事会同意网络安全策略，这将使董事会更容易理解安全团队为什么要做他们正在做的事情。这也将使 CISO 在需要时更容易寻求帮助，并对照该策略报告结果。我不认为这是一件容易的事情。我第一次和董事会见面就像是和阿加莎·克里斯蒂小说或《线索游戏》中的人物见面。我见过的董事会成员在专业方面都很有成就。有些人对自己的成就很谦虚，而有些人则宣称自己的成就是为了影响他人。似乎总会有至少一名董事会成员声称拥有网络安全经验，希望提出尖锐的问题，并就网络安全问题向 CISO 提出建议。但是，如果 CISO 能够有效地传达一个基于数据的网络安全策略结果视图，该策略也是理事会批准的策略，这些对话对所有利益相关者都非常有帮助。此外，内部和外部审计的结果通常会让董事会对 CISO 的工作效率有所信心。

在与全球数千个组织的高管就网络安全进行交流后，我可以告诉你，在组织愿意接受的风险程度上确实存在差异。除了获得高级管理人员和董事会的支持，很好地了解他们的风险偏好也很重要，我们将在接下来讨论这一点，因为这可能会对网络安全策略产生重大影响。

了解风险偏好

一些组织处于高度竞争的行业中，在这些行业中，创新、速度和敏捷性是重中之重；当面临安全和法规遵从性决策时，这些组织往往愿意接受更大的风险，因为这些决策可能会降低他们的速度或妨碍他们的竞争力。对于这些公司来说，如果他们不承担计算好的风险，他们不会在未来的业务中做出足够长的决策。我谈过的其他组织非常厌恶风险。这并不意味着他们一定会行动缓慢，但他们在做决定时需要更多的确定性。

他们愿意花时间真正理解基于风险的决策中的因素和细微差别，以努力为他们的组织做出最佳决策。当然，在这两个例子之间也有组织。

了解其组织中高级管理层风险偏好的 CISOs 可以帮助他们做出更快、更好的决策。这些年来，我看到许多首席信息安全官决定扮演“房间里的大人”的角色，试图规定组织应该接受多大的风险。在大多数情况下，这不是 CISO 的工作。提供背景和数据以帮助企业做出明智的基于风险的决策是 CISOs 应该提供的功能。有时，他们还必须教育不了解网络安全风险的高管和董事会成员。但我发现，在成熟的组织中，早在网络安全风险与他们相关之前，高管团队就已经在为组织管理多种类型的风险，这一点非常有用。请注意，对于初创企业或 CISO 在其支持的业务中也有深厚专业知识的组织来说，这可能会有所不同；在这些场景中，CISO 可能会更直接地为组织做出风险决策。但在所有情况下，理解组织在正常业务过程中愿意接受多大的风险对 CISOs 来说都很重要。

组织对风险的偏好将在他们的治理模型和治理实践中表现出来。在许多情况下，为了更快地前进而接受更多风险的组织将精简他们的治理实践，以最小化摩擦和障碍。想要采取谨慎的决策方法的组织通常会实现更多的治理控制，以确保决策完全通过适当的流程。因此，首席信息安全官必须验证他们对组织风险偏好的理解，而不是做出假设。这就是他们的业务知识和他们的同行的优先事项将有所帮助的地方。

除了对业务优先级的了解，对组织当前的能力和技术人才有一个现实的想法也很重要。我们接下来会讨论这个问题。

对当前网络安全能力和技术人才的现实看法

我认识的许多首席信息安全官都渴望拥有一个世界级的网络安全团队来设计、实现和操作复杂而有效的控制措施。然而，诚实面对自己目前的状况是最好的起点。

十多年来，整个行业一直严重缺乏网络安全人才。随着越来越多的组织开始意识到他们需要认真对待网络安全，否则将遭受潜在的违规处罚和负面的声誉后果，这个问题变得越来越严重。评估安全团队目前拥有的人才有助于首席信息官和首席信息官确定关键的专业知识缺口。例如，如果安全团队在漏洞管理或事件响应等关键领域人手不足，首席信息官和首席信息官需要尽早了解这一情况。如果您的员工在他们负责或预期使用的一些硬件、软件或流程方面未经培训，确定这些差距是解决这些差距的第一步。它还有助于首席信息官和首席信息官为安全团队成员确定专业发展领域，并发现潜在的未来领导者。跨团队或跨职能的交叉授粉员工将有助于以未来可能有用的方式发展他们。

关键是首席信息官和首席信息官在评估时要尽可能地实事求是，这样他们才能对组织中的人才有一个清晰的认识。不要让对伟大的渴望描绘出一幅不准确的组织人才的图画。这将更容易优先考虑所需人才的类型，并使组织的招聘人员有更好的机会吸引合适的新人才。

制图，或者对你当前的网络安全能力做一个清单，是另一个重要的练习。这些结果将为我之前讨论的网络安全需求的发展提供信息，并有助于确定能力方面的关键差距。它还可以帮助识别对功能的过度投资。例如，发现组织购买了三个身份管理系统，但实际上只部署了其中一个。当组织没有足够的漏洞扫描器来在合理的时间内胜任扫描和修补基础架构的工作时，就会发生这种情况。

在大多数大型复杂的 IT 环境中，这不是一件容易的事情。从采购部门获得授权列表或从 It 部门获得已部署的软件清单可能相对容易。但是，知道已经部署了特定的设备、软件或功能套件只能回答 CISO 需要回答的部分问题。真正理解这些功能的部署和操作的成熟度同样重要，但通常更难确定。仅仅因为一个身份管理产品已经投入生产，并不意味着它的所有功能都已经实现或启用，也不意味着该产品正在被主动管理，并且它产生的数据正在被任何人使用。

发现这些细节可能具有挑战性，并且衡量它们对您的策略的影响可能太难了，以至于无法实际考虑。但是，如果没有这些细节，您可能无法准确识别保护、检测和响应能力方面的差距，以及发生过度投资的领域。

如果首席信息官和首席信息官能够准确了解他们当前的网络安全人才和能力，他们就能更容易、更经济地有效管理组织的网络安全项目。

根据我的经验，当网络安全团队和合规团队不能很好地合作时，组织中会有很多冲突和摩擦。接下来让我们探索这种动态。

合规计划和控制框架的一致性

我见过网络安全团队和合规团队在控制框架和配置上相互冲突。当这种情况发生时，组织内的网络安全策略和合规性策略之间往往会出现脱节。例如，CISO 可能决定网络安全团队将 ISO 作为他们衡量自己的控制框架。如果合规团队正在衡量对 NIST 标准的合规性，这可能会导致一次又一次关于控制框架和配置的谈话。一些组织快速有效地解决了这些差异，而其他组织则努力协调这些工作。

网络安全和合规团队之间不一致的一个常见领域是内部标准和行业标准中的控制措施不一致。内部标准通常由最适用于每个组织的特定风险和控制提供信息。但是，当内部标准比行业标准新时，内部标准和行业标准之间就会出现差异，反之亦然。例如，行业标准规定帐户锁定策略必须设置为最多 5 次不正确的密码输入。但是网络安全团队知道，在强制执行强密码策略的环境中，尤其是在启用了 MFA 的系统上，这种控制是“安全剧场”。但是，为了满足行业标准，他们可能会被迫打开帐户锁定策略，从而使攻击者能够通过拒绝服务攻击随时锁定帐户。

我见过合规专业人士与 CISOs 争论这些过时的控制标准的有效性，他们只是试图成功地遵守行业标准，而没有考虑到他们实际上增加了整个组织的风险。我甚至看到一些合规专家在工作过程中声称，他们可以代表整个组织接受风险，而这种决策是很少发生的。

应该认识到并承认法规遵从性和安全性对组织都很重要。法规遵从性由责任法规驱动，安全性由预防、检测和响应驱动。CISOs 应促进标准化和应用框架的一致性，以实现安全性和合规性。法规遵从性专业人员需要认识到，任何将法规遵从性放在更高优先级的组织最终都会受到损害。

网络安全小组和合规小组应共同努力，找到既能满足标准，又能保护、检测和应对现代威胁的方法。这些不同但重叠的规程应该与帮助组织管理风险的共同目标相协调。正如我前面提到的，网络安全策略应该以组织的高价值资产和他们关心的特定风险为基础。合规团队是第二道防线，旨在通过将他们的控制与内部、行业和/或监管标准进行比较，确保网络安全团队有效地开展工作。但他们需要准备好评估存在差异或冲突的控制措施的有效性，而不是盲目地要求遵守某个标准。

例如，通常情况下，通过满足过时的行业标准来接受更多风险的决定应该由风险管理委员会或更广泛的内部利益相关者群体做出，而不是由单个个人或团体做出。内部和外部审计团队是第三道防线，通过审计工作结果来帮助网络安全团队和合规团队保持诚实。当这些团队为控制框架和标准而争斗时，没有人会赢，特别是当所讨论的框架或标准基于其他人的威胁模型时，行业和监管标准几乎总是如此。

一些组织试图通过向法规遵从性组织提交 CISO 报告来解决这个问题。我总是为 CISOs 感到遗憾，我会向合规或审计领导报告。这绝不是对合规、审计专业人士或领导力的批评。简单来说，网络安全和合规是不同的学科。

合规性关注于证明组织成功满足内部、行业和/或监管标准。网络安全专注于保护、检测和应对现代网络安全威胁。它们共同帮助组织管理风险。我将在第五章、网络安全策略中详细讨论“作为网络安全策略的合规性”。然而，接下来，我们将讨论网络安全和 IT 保持愉快且富有成效的相互关系的重要性。

网络安全和 IT 之间的有效关系

以我的经验来看，与企业 IT 部门保持良好工作关系的首席信息官通常在工作中更快乐、更有效率。与它的无效关系会让 CISO 人的生活很痛苦。同样真实的是，首席信息安全官会让首席信息官和 It 部门副总裁的工作变得令人沮丧。我遇到过许多 CISOs，他们与其组织的 IT 部门的工作关系并不理想。我见过许多网络安全组织和 IT 组织像油和水一样相互作用，而成功的唯一途径就是合作。毕竟，他们有着共同的命运。那么，有什么问题呢？简单地说，在很多情况下，改变是很难的。首席信息官们很容易将 CISOs 的崛起解读为自身缺点的副产品，不管这是否准确。首席信息官代表着变革，他们中的许多人是变革的领导者。

此外，我认为这种动态可以发展至少有几个原因。这些团体的组织方式可能是其中之一。我见过的最常见的两种网络安全团队整合方式如下，这些团队通常比大型成熟组织中的 IT 组织更新:

• CISO 向 IT 部门报告并共享 IT 资源以完成工作。
• CISO 在 IT 部门之外向首席执行官、董事会、法律部、合规部或首席财务官报告。这种模式有两种风格:
  1. CISO 有自己的网络安全资源，但需要 IT 资源来完成工作。
  2. CISO 有自己的网络安全和 IT 资源，可以独立完成工作。

历史上，CISO 向 IT 组织报告的情况非常普遍。但是这种报告关系一直在演变。如今，我估计我遇到的 CISOs 中只有不到 50%的人会向 IT 部门汇报。报告关系发生这种变化的原因之一是，首席信息官往往将信息技术优先于网络安全。

网络安全与任何其他 it 项目一样，必须与其他 IT 项目排队，并与它们竞争资源才能完成工作。沮丧的 CISOs 们要么成功说服他们的老板网络安全不仅仅是另一个 IT 项目，要么被迫升级。这种升级没有赢家，尤其是 CISO。在许多情况下，CISO 留给首席信息官的是憎恨他们的人，视他们为 IT 组织的负担。

许多首席信息官花了几年时间才意识到每个 It 项目都有安全需求。降低网络安全计划的优先级或减缓其速度意味着每个依赖于网络安全能力的 IT 项目要么被推迟，要么需要一个例外来回避这些要求。后者往往比前者更常见。当首席执行官和其他高管开始失去工作，董事会董事因数据泄露而被追究责任时，许多组织接受外部顾问的建议，让他们的 CISOs 向首席执行官报告或直接向董事会报告。这样，如果没有最高级别的人参与做出这些风险决策，网络安全就不会被置于次要地位。

在 CISO 向 CEO、董事会或公司的其他部门报告的场景中，引入了新的挑战。CISO 将从哪里获得完成工作所需的 IT 人员？当 CISO 向 it 部门报告时，访问 IT 资源变得更加容易，即使他们必须排队。对于 it 组织之外的 CISOs 来说，他们只有很少的选择。他们可以从 IT 部门获得资源并成为他们的客户，或者他们必须雇佣自己的 IT 资源。成为它的客户听起来会让 CISOs 的事情变得更容易，但只有当他们与它有良好的关系，导致积极的结果。否则，它可能与 CISO 向其报告的模型没有足够的不同。尽管雇佣他们自己的资源听起来是权宜之计，但这种方法存在挑战。例如，变更控制可能变得更加复杂，因为它不是唯一一组可以在环境中进行变更的人。很多时候，这导致 IT 工程师看到网络安全工程师在他们的共享环境中做出改变，反之亦然。使用两倍的资源来确保事情及时完成是解决这个问题的一种方法。但是大多数组织可以找到更好的资源利用方式。

我见过更好的方法。当首席信息官、首席信息官和首席技术官相互尊重彼此的章程并相互支持时，工作会更容易，事情会更有效率。

首席信息官需要与他们的 IT 部门建立良好、有效的工作关系，以确保他们能够完成工作，而不是通过资源争夺或权力主张来定义关系。建立这样的关系并不总是容易的，甚至是不可能的，但我相信这是一个成功的网络安全策略的关键因素。理想情况下，这些关系会发展成一种安全文化，整个组织都会从中受益。

关于文化的话题，成功的网络安全策略的最后一个要素是强大的安全文化。这种文化要求组织中的每个人都了解他们在帮助维护良好的安全态势以保护组织免受危害方面的角色。让我们在本章的下一节也是最后一节更详细地讨论它。

安全文化

有人最近说，“文化早餐吃策略。”我完全同意。成功地将安全融入企业文化的组织能够更好地保护、检测和应对现代威胁。例如，当组织中的每个人都了解社会工程攻击看起来像什么，并在寻找这种攻击时，它会使网络安全团队的工作变得容易得多，并给他们更大的成功机会。相比之下，在工作环境中，由于员工双击来自未知发件人的电子邮件中的附件，员工不断被成功钓鱼，漏洞不断被利用。在这些环境中，网络安全团队花费大量时间和精力来应对已经意识到的威胁。强大的安全文化有助于减少威胁、减少检测和响应时间，从而减少相关的损失和成本。

文化超越训练。员工接受一次性或每年一次的合规性安全培训是一回事，但员工在培训中学习到的理念和行动要求要得到所有员工和工作环境本身的持续支持和强化则完全是另一回事。这不应该仅限于一线信息工作者。开发人员、操作人员和 IT 基础设施人员都从包含安全性的文化中受益。安全文化可以帮助员工在缺乏治理或明确指导的情况下做出更好的决策。

关于网络安全培训的游戏化，有一点值得注意:当组织将一些网络安全培训从阅读和视频转移到更具互动性的体验时，我看到了良好的效果。

我主持了“游戏日”活动，旨在帮助组织了解威胁建模和云安全。老实说，我对使用这种方法非常怀疑。但是我已经看到许多高管和安全团队接受了它，并提供了热情的反馈，现在我是用于培训目的的游戏化的忠实粉丝。

当组织中的每个人都帮助首席信息安全官时，他们成功的机会更大。我鼓励首席信息安全官们在其他高管的帮助下，花些时间培养一种安全文化，因为这肯定会带来回报。

章节总结

我在这一章中涉及了很多内容。但是我在这里提供的背景将对本书其余部分的读者有所帮助。在这一章中，我介绍了网络安全基础知识、网络安全常见疑点、高价值资产(HVAs)和其他概念，我将在本书的其余部分中不断提及这些概念。

什么是网络安全策略？网络安全策略至少有两个关键输入:您组织的 HVAs，以及适用于您组织的特定要求、威胁和风险，这些信息来自您所在的行业、您在世界上开展业务的地方以及与组织相关的人员。如果 HVA 的机密性、完整性或可用性受到损害，组织将会失败或受到严重破坏。因此，识别 hva 并优先保护、检测和应对它们是至关重要的。这并不意味着安全团队可以完全忽略其他资产。HVAs 的清晰性有助于安全团队区分优先级，并避免灭绝事件。

只有五种方式会让组织最初受到危害，我称之为网络安全通常的嫌疑人。它们包括未打补丁的漏洞、安全错误配置、薄弱、泄露和被盗的凭证、社会工程和内部威胁。非常擅长管理网络安全基础的组织会让攻击者更加难以得逞。在 IT 环境遭到初步破坏后，攻击者可以使用许多策略、技术和程序(TTP)来实现他们的非法目标。高级网络安全功能可以帮助安全团队检测 TTP 的使用，并减少响应和恢复时间。不要混淆攻击者的动机和他们的策略。由于攻击的准确归属非常困难，因此大多数组织不太可能确定谁在攻击他们以及他们的动机是什么。

无论攻击者是商业恶意软件的供应商还是一个民族国家，他们最初试图危及受害者 IT 环境的方式都仅限于网络安全的常见嫌疑人。精通网络安全基础知识让攻击者更加难以下手，无论他们是试图窃取知识产权的民族国家，还是敲诈勒索者。

网络安全策略是成功的必要条件，但它本身是不够的。成功策略的要素包括:

• 业务目标一致性
• 网络安全愿景、使命和当务之急
• 高级管理人员和董事会支持
• 了解组织的风险偏好
• 对当前网络安全能力和技术人才的现实看法
• 合规计划和控制框架的一致性
• 网络安全和 IT 之间的有效关系
• 安全文化

既然已经介绍了所有这些内容，我将在接下来的章节中继续介绍。在接下来的几章中，我将探讨威胁格局是如何演变的。我相信，当 CISOs 了解威胁如何随着时间的推移而变化时，他们可以做出更好的决策。我将深入探讨的三类威胁是 CISOs 最常问我的:漏洞、恶意软件和基于互联网的威胁，如网络钓鱼和驱动下载攻击。

参考

1. 希科克河(2016 年)。微软密码指导。检索自微软公司网站:www . Microsoft . com/en-us/research/WP-content/uploads/2016/06/Microsoft _ Password _ Guidance-1 . pdf
2. 微软公司。(2007-2016).微软安全情报报告。检索自
3. 微软公司。(未注明日期)。微软安全情报报告。检索自
4. 国家脆弱性数据库。(未注明)。检索自
5. a . weinert(2019 年 7 月 9 日)。你的 Pa $ $字不重要。检索自tech community . Microsoft . com/T5/azure-active-directory-identity/your-pa-word-does-t-matter/ba-p/731984

二、利用漏洞趋势降低风险和成本

漏洞对所有组织来说都意味着风险和费用。认真降低客户风险和成本的供应商专注于减少其产品中的漏洞数量，并致力于使攻击者利用其客户变得困难和昂贵，从而降低攻击者的投资回报。确定成功做到这一点的供应商和产品既费时又困难。

在这一章中，我将为您提供有价值的背景信息，并深入分析一些行业领导者在过去二十年中是如何管理其产品中的漏洞的，重点是操作系统和 web 浏览器。我介绍了一个漏洞改进框架，它可以帮助您识别已经为客户降低风险和成本的供应商和产品。这些数据和分析可以为您的漏洞管理策略提供信息。

在本章中，我们将讨论以下主题:

• 漏洞管理入门
• 引入漏洞管理改进框架
• 检查特定供应商、操作系统和 web 浏览器的漏洞披露趋势
• 漏洞管理计划指南

让我们从什么是漏洞管理开始。

介绍

在过去的 20 年里，组织一直面临着管理软件和硬件中不断出现的新漏洞的挑战。攻击者和恶意软件不断试图利用世界各地各行业系统中未打补丁的漏洞。漏洞是许多利益团体的货币，包括安全研究人员、漏洞管理行业、政府、各种商业组织，当然还有恶意软件的攻击者和供应者。这些团体有不同的动机和目标，但他们都重视新的漏洞，其中一些愿意为此支付可观的费用。

在蠕虫和其他恶意软件第一次大规模利用微软软件漏洞的混乱时期，我坐在归零地的前排。在微软的企业网络支持团队工作了几年后，我被要求帮助建立一个新的面向客户的安全事件响应团队。2003 年 1 月 23 日，星期四，我接受了那份工作。两天后，1 月 25 日星期六，SQL Slammer 攻击了互联网，扰乱了全球网络。那个星期六的早上，我开车去办公室，但是不得不停下来加油。由于“网络问题”，加油站的提款机和加油机都离线了。那时，我意识到那次袭击是多么的广泛和严重。然后，2003 年 8 月的一天，MSBlaster 对互联网的破坏程度甚至超过了 SQL Slammer。然后，在接下来的一年里，MSBlaster 变种接踵而至，还有 MyDoom、Sasser 和其他广泛传播的恶意软件攻击。结果是数百万人愿意双击一个标有“MyDoom”的电子邮件附件。

这些攻击大多利用微软产品中未打补丁的漏洞来感染系统并传播。这一切都发生在 Windows Update 出现之前，也没有任何工具可以用来维护软件。由于微软不得不发布多个安全更新来解决 MSBlaster 使用的组件中的底层漏洞，许多 IT 部门开始了一种长期的行为模式，推迟修补系统以避免重复修补相同的组件和重复重启系统。当时，大多数联网的基于 Windows 的系统也没有运行防病毒软件，而且许多运行了防病毒软件的系统也没有安装最新的特征码。在那个年代，在面向客户的安全事件响应团队中工作，支持安全更新，帮助企业客户应对恶意软件感染和黑客，是一项非常艰巨的工作——你需要厚脸皮。随后，在这个角色中，我学到了很多关于恶意软件、漏洞和利用的知识。

在我在微软职业生涯的后期，我管理过微软安全响应中心(MSRC)微软安全开发生命周期 ( SDL )和微软恶意软件保护中心 ( MMPC )的营销传播。MSRC 是微软管理传入漏洞报告和攻击报告的小组。MMPC 当时被称为微软的反病毒研究和响应实验室。SDL 是一种开发方法，是在这些毁灭性的蠕虫攻击之后的几年中在微软建立的。我在这个名为“可信计算”的组织工作了 8、9 年，了解了很多关于漏洞、利用、恶意软件和攻击者的知识。

经常有人问我，今天的情况是否比 5 年或 10 年前更好。本章致力于回答这个问题，并从漏洞管理的角度提供一些关于事情如何变化的见解。我还想为您提供一种方法，来识别那些为客户降低风险和成本的供应商和产品。

漏洞管理初级读本

在我们深入探讨过去几十年的漏洞披露趋势之前，让我为您提供一个关于漏洞管理的快速入门，以便更容易理解我提供的数据和分析，以及一些漏洞管理团队如何使用这些数据。

国家漏洞数据库 ( NVD )用于跟踪全行业各种软硬件产品中公开披露的漏洞。https://nvd.nist.gov【NVD】是一个公开可用的数据库。

在这种情况下，漏洞被定义为:

“在软件和硬件组件中发现的计算逻辑(例如代码)弱点，当被利用时，会对机密性、完整性或可用性产生负面影响。在这种情况下，漏洞的缓解通常涉及编码更改，但也可能包括规范更改，甚至规范废弃(例如，完全删除受影响的协议或功能)。”

—(NIST，联合国出版物，出售品编号:e . 02 . ii . a . 7)

当在软件或硬件产品中发现漏洞并报告给拥有易受攻击产品或服务的供应商时，该漏洞最终将在某个时候被分配一个常见漏洞和暴露 ( CVE )标识符。

一个 CVE 标识符被分配给一个漏洞的确切日期是许多不同因素的函数，本书可以用整整一章来讨论这个问题。事实上，我在微软与人合写了一份关于这个主题的微软白皮书，名为软件漏洞管理，其中描述了为什么发布微软产品的安全更新可能需要相对较长的时间。这篇论文似乎已经随着时间的流逝从微软下载中心消失了。然而，以下是解释为什么厂商从收到漏洞报告到发布安全更新需要很长时间的一些因素:

• 识别 bug :有些 bug 只在特殊情况下或者在最大的 IT 环境中出现。供应商可能需要一段时间来重现错误并对其进行分类。此外，报告的漏洞可能存在于使用相同或相似组件的其他产品和服务中。所有这些产品和服务需要同时修复，这样供应商就不会无意中在自己的产品线中产生零日漏洞。我将在本章后面讨论零日漏洞。
• 识别所有变种:修复报告的 bug 可能简单明了。但是，找到问题的所有变体并修复它们也很重要，因为这将避免需要重新发布安全更新或发布多个更新来解决同一组件中的漏洞。这可能是修复漏洞时花费时间最多的活动。
• 代码审查:确保更新的代码确实修复了漏洞，并且没有引入更多的错误和漏洞，这很重要，有时也很耗时。
• 功能测试:这确保了修复不会影响产品的功能性——当这种情况发生时，客户不会喜欢。
• 应用程序兼容性测试:对于操作系统或网络浏览器，供应商可能需要测试成千上万的应用程序、驱动程序和其他组件，以确保他们在发布安全更新时不会破坏他们的生态系统。例如，Windows 的集成测试矩阵非常庞大，包括数千个在该平台上运行的最常见的应用程序。
• 发布测试:确保安全更新的分发和安装按预期运行，不会使系统无法启动或不稳定。

认识到为漏洞分配 CVE 标识符的日期不一定与供应商发布解决底层漏洞的更新的日期相关，这一点很重要；也就是说，这些日期可以不同。宣布发现新漏洞带来的恶名诱惑导致一些安全研究人员在供应商修复漏洞之前公开发布细节。典型的最佳情况是，漏洞的公开披露发生在供应商发布解决该漏洞的安全更新的同一天。这减少了攻击者利用漏洞的机会，缩短了组织在其 it 环境中测试和部署更新的时间。

CVE 标识符的一个例子是 CVE-2018-8653。从 CVE 标识符可以看出，编号 8653 被分配给了 2018 年与之相关的漏洞。当我们在 NVD 中查找这个 CVE 标识符时，我们可以获得与它相关的漏洞的更多细节。例如，一些详细信息包括漏洞的类型、CVE 的发布日期、CVE 的上次更新日期、漏洞的严重性分数、漏洞是否可以被远程访问以及它对机密性、完整性和可用性的潜在影响。

它还可能包含漏洞的摘要描述，如下例所示:“脚本引擎处理 Internet Explorer 内存中对象的方式中存在一个远程代码执行漏洞，也称为“脚本引擎内存损坏漏洞”。"这将影响 Internet Explorer 9、Internet Explorer 10 和 Internet Explorer 11。这个 CVE ID 是 CVE 唯一的-2018-8643。”

—(NIST)

风险是概率和影响的组合。在漏洞的上下文中，风险是漏洞被成功利用的概率和被利用后对系统的影响的组合。CVE 分数代表此漏洞的风险计算。通用漏洞评分系统 ( CVSS )用于评估 NVD 每个漏洞的风险。为了计算风险，CVSS 使用“可利用性指标”，如攻击媒介、攻击复杂性、所需权限和用户交互(NIST，未注明日期)。如果漏洞被成功利用，为了计算对系统影响的估计，CVSS 使用“影响度量”，例如对机密性、完整性和可用性的预期影响(NIST，北爱尔兰)。

注意，在我前面提到的 CVE 细节中提供了可利用性度量和影响度量。CVSS 在一些简单的数学计算中使用这些细节来产生每个漏洞的基本分数(维基百科)。

漏洞管理专业人员可以通过使用时间指标组和环境组中的指标来进一步细化漏洞的基本分数。

时间度量组反映了这样的事实，即随着新信息变得可用，基本分数可以随着时间而改变；例如，当漏洞的概念证明代码公开时。由于特定 IT 环境中存在缓解因素或控制措施，因此环境指标可用于降低 CVE 的分数。例如，漏洞的影响可能会减弱，因为组织在以前加强其 IT 环境的工作中已经部署了针对漏洞的缓解措施。我在本章中讨论的漏洞披露趋势都是基于 CVE 的基础分数。

CVSS 随着时间的推移不断发展，至今已有三个版本。最新版本(第 3 版)的评级在下图中显示(NIST，未注明日期)。CVSS v2 和 v3 的 NVD·CVSS 计算器可帮助组织使用时间和环境指标计算漏洞分数(NIST，北达科他州)。

分数可以转换为低、中、高和关键等等级，比使用粒度数字分数(NIST，北爱尔兰)更容易管理。

表 2.1:CVSS 分数范围的评级说明。

分数越高的漏洞被利用的可能性越大，并且/或者被利用时对系统的影响越大。换句话说，分数越高，风险越高。这就是为什么许多漏洞管理团队在漏洞被公开披露后，使用这些分数和评级来确定在他们的环境中测试和部署安全更新和/或漏洞缓解的速度。

另一个需要理解的重要术语是“零日”漏洞。零日漏洞是指在负责该漏洞的供应商发布解决该漏洞的安全更新之前已经公开披露的漏洞。这些漏洞是所有漏洞中最有价值的，攻击者和政府都愿意为它们支付相对较高的价格(一个有效的漏洞可能需要 100 万美元或更多)。

对于漏洞管理团队来说，最坏的情况是他们环境中的软件或硬件出现严重的零日漏洞。这意味着利用漏洞的风险可能非常高，并且可以防止利用该漏洞的安全更新不会公开发布。零日漏洞并不像你想象的那样罕见。微软最近发布的数据表明，在 2017 年微软产品中已知被利用的 CVE 中，第一次被利用时，100%是零日漏洞，而在 2018 年，83%是零日漏洞(Matt Miller，2019)。

这是一个有趣的事实。2013 年，我在微软的官方安全博客上写了一篇博文，创造了“永远零日”这个词，引发了一场轰动性的新闻大循环。我指的是官方支持终止后在 Windows XP 中发现的任何漏洞。在这种情况下，在支持结束后在 Windows XP 中发现的任何漏洞将永远是零天，因为微软不会为其提供持续的安全更新。

让我更详细地解释一下。攻击者可以等待当前支持的 Windows 版本(如 Windows 10)发布新的安全更新。然后，他们对这些更新进行逆向工程，以找到每个更新解决的漏洞。然后，他们检查这些漏洞是否也存在于 Windows XP 中。如果他们是，而微软不会为他们发布安全更新，那么攻击者就永远拥有 Windows XP 的零日漏洞。时至今日，你可以搜索“永远零日”这几个词，找到很多引用我的新闻。因为那个新闻周期，我成了 Windows XP 生命终结的海报男孩。

这些年来，我与数以千计的 CISOs 和漏洞管理者谈论过他们为组织管理漏洞的实践。关于大型复杂企业环境中管理漏洞的最佳方式，最常见的四种观点如下:

• 区分关键等级漏洞的优先级:当关键等级漏洞的更新或缓解可用时，它们会立即被测试和部署。在定期 IT 维护期间测试和部署较低等级的漏洞，以最大限度地减少系统重启和业务中断。这些组织正在尽快缓解风险最高的漏洞，并愿意接受重大风险，以避免因安全更新部署而不断干扰其环境。
• 确定高等级和严重等级漏洞的优先级:当高等级和严重等级漏洞被公开披露时，他们的政策规定他们将在 24 小时内修补严重漏洞或部署可用的缓解措施，高等级漏洞在一个月内修补。得分较低的漏洞将作为常规 IT 维护周期的一部分进行修补，以最大限度地减少系统重启和业务中断。
• 没有优先顺序–只是修补所有东西:一些组织已经得出结论，考虑到他们被迫管理的持续增长的漏洞披露量，他们投入在分析 CVE 分数和优先更新上的努力是不值得的。相反，他们只是按照基本相同的时间表测试和部署所有更新。这个时间表可以是每月一次，每季度一次，或者，对于那些有健康风险偏好的组织，每半年一次。这些组织致力于真正高效地部署安全更新，而不管其严重性等级如何。
• 延迟部署:对于那些对 IT 中断非常敏感的组织来说，延迟安全更新的部署已经成为一种不幸的做法，因为这些组织过去曾被质量低劣的安全更新所中断。换句话说，这些组织接受与他们使用了几个月的产品中所有已知的、未打补丁的漏洞相关的风险，以确保他们的供应商不会因为质量问题而重新发布安全更新。这些组织认为治疗方法可能比疾病更糟糕；也就是说，与世界上所有潜在的攻击者相比，劣质安全更新带来的破坏给他们带来的风险相同或更高。赞同这种观点的组织倾向于捆绑和部署几个月的更新。至少可以说，这些机构的风险偏好很高。

对于外行人来说，这些方法和权衡似乎没有多大意义。除了费用之外，部署漏洞造成的主要棘手问题是业务中断。例如，历史上，Windows 操作系统的大多数更新都需要重新启动。当系统重新启动时，发生的停机时间将计入大多数 IT 组织承诺的正常运行时间目标。重启一台服务器可能看起来并不重要，但重启数百或数千台服务器所需的时间开始增加。请记住，试图保持 99.999%(5“9”)正常运行时间的组织每年只能承受 5 分 15 秒的停机时间。这相当于每月 26.3 秒的停机时间。企业数据中心中的服务器，尤其是数据库和存储服务器，在正常运行时很容易需要 5 分钟以上的时间来重新启动。此外，当服务器重新启动时，这是出现需要故障排除的问题的黄金时间，从而加剧了停机时间。最坏的情况是安全更新本身导致问题。在数百或数千个系统上卸载更新并再次重新启动所花费的时间，使它们处于易受攻击的状态，也会对正常运行时间产生负面影响。

修补和重新启动系统可能非常昂贵，尤其是对于在非工作时间执行监督修补的组织，这可能需要加班和周末工资。传统维护窗口的概念不再有效，因为许多企业都是全球性的，并且是跨国运营的，一周 7 天、一天 24 小时都是如此。一种经过深思熟虑的计划和分层修补方法，在修补和重新启动少数基础设施的同时保持大部分基础设施可用，已经变得很普遍。

重新启动是组织决定接受某些风险，每季度或每半年打一次补丁的首要原因，以至于我与之密切合作了十多年的 MSRC 过去常常试图将需要系统重新启动的安全更新次数减少到每两个月一次。为此，在可能的情况下，他们会尝试在一个月内发布所有需要重启的更新，然后在下个月发布不需要重启的更新。当这个计划起作用时，每月修补系统的组织至少可以避免每两个月重启一次系统。但是“带外”更新，即计划外的更新，似乎经常破坏这些计划。

当您看到漏洞披露随着时间推移的趋势时，组织在利用风险和正常运行时间之间做出的权衡可能更有意义。在云中运行服务器可以极大地改变这个等式——我将在第八章“云——实现安全性和合规性的现代方法”中对此进行更详细的介绍。

关于 NVD、CVE 和 CVSS，还有许多其他方面和细节我没有在这里介绍，但是我已经提供了足够的基础知识，您将能够理解我接下来提供的漏洞披露趋势。

漏洞披露数据源

在我们深入研究漏洞披露数据之前，让我告诉你数据来自哪里，并提供一些关于数据有效性和可靠性的警告。我在本章中使用的数据有两个主要来源:

1. nvd.nist.gov/vuln/searchNVD
2. CVE 详细资料:https://www . CVE details . com/

NVD 是该行业漏洞披露的事实上的权威来源，但这并不意味着 NVD 的数据是完美的，CVSS 也是如此。我参加了 2013 年黑帽美国会议的一个会议，名为“购买偏见:为什么脆弱性统计很糟糕”(Brian Martian，2013)。

本次会议涵盖了 CVE 数据中的许多偏见。这个演讲仍然可以在网上看到，我推荐观看它，以便你理解我在本章中讨论的 CVE 数据的一些局限性。CVE 细节是一个很棒的网站，它帮我节省了很多收集和分析 CVE 数据的时间。CVE 详细信息继承了 NVD 的局限性，因为它使用 NVD 的数据。值得一读《CVE 细节》的工作原理及其局限性(《CVE 细节》)。因为我在本章提供的数据和分析是基于 NVD 和 CVE 的细节，他们继承了这些局限性和偏见。

鉴于我在本章的分析中使用的两个主要数据来源都有其局限性，我可以自信地说我的分析并不完全准确或完整。此外，随着 NVD 的不断更新，漏洞数据也会随着时间而变化。我的分析是基于几个月前拍摄的 CVE 数据快照，这些数据不再是最新的或准确的。我提供此分析来说明漏洞披露是如何随着时间的推移而发展的，但我对这些数据不做任何保证——使用这些数据风险自担。

行业漏洞披露趋势

首先，让我们看看自 1999 年 NVD 启动以来每年披露的漏洞。1999 年至 2019 年间，分配了 CVE 标识符的漏洞总数为 122，774 个。如图 2.1 所示，2016 年至 2018 年间披露的信息大幅增加。2016 年至 2017 年期间，披露量增加了 128%，2016 年至 2018 年期间增加了 157%。换句话说，在 2016 年，漏洞管理团队平均每天管理 18 个新漏洞。这个数字在 2017 年增加到每天 40 个漏洞，在 2018 年平均每天 45 个。

图 2.1:每年全行业披露的漏洞(1999-2019 年)

您可能想知道是什么因素导致漏洞披露如此之多。主要因素可能是 CVE 标识符分配给 NVD 漏洞的方式发生了变化。在此期间，CVE 指定并授权他们所谓的“CVE 编码机构(CNAs)”为新漏洞分配 CVE 标识符。据 Mitre 称，他负责管理用数据填充 NVD 的 CVE 流程:

“CVE 编码机构(CNA)是来自世界各地的组织，它们被授权在其明确的、商定的范围内为影响产品的漏洞分配 CVE id，以包含在新漏洞的第一次公开声明中。这些 CVE id 提供给研究人员、漏洞披露者和信息技术供应商。

参与该计划是自愿的，参与的好处包括能够公开披露具有已分配的 CVE ID 的漏洞，能够控制漏洞信息的披露而无需预先发布，以及向研究人员请求 CVE ID 的研究人员通知 CNA 范围内的产品漏洞。"

—斜接

CVE 用法:MITRE 特此授予您永久的、全球性的、非排他性的、免费的、免版税的、不可撤销的版权许可，以复制、准备衍生作品、公开展示、公开执行、再许可和分发常见漏洞和暴露(CVE)。只要您在任何此类副本中复制 MITRE 的版权标志和本许可证，您为此目的制作的任何副本都是授权的。

CNAs 的出现意味着 2016 年后将有更多的组织分配 CVE 标识符。截至 2020 年 1 月 1 日，有来自 21 个国家的 110 个组织作为 CNA 参与。CNAs 的名称和位置可在【https://cve.mitre.org/cve/cna.html】获得。显然，这一变化使得分配 CVE 标识符的流程更加高效，从而导致 2017 年和 2018 年漏洞披露量大幅增加。2019 年结束时，漏洞数量少于 2018 年和 2017 年，但仍明显多于 2016 年。

还有其他因素导致了更多的漏洞披露。例如，从事漏洞研究的人和组织比以往任何时候都多，他们拥有比过去更好的工具。发现新的漏洞是一项大生意，很多人都渴望从中分一杯羹。此外，新型硬件和软件正在以物联网 ( 物联网)设备的形式迅速加入计算机生态系统。在这个巨大的新市场空间中获得有意义的市场份额的巨大淘金热导致该行业犯下了软件和硬件制造商在过去 20 年中犯下的所有相同的错误。

几年前，我与一些制造商讨论了他们物联网产品线的安全发展计划，很明显他们计划做的很少。开发缺乏更新机制的物联网设备会让该行业回到个人电脑无法自我更新的时代，但规模要大得多。消费者不愿意为更好的安全性支付更多，制造商也不愿意将时间、预算和精力投入到不能推动需求的开发方面。如果过去 3 年有任何迹象，这种漏洞披露量的增加似乎是该行业的新常态，导致更多的风险和更多的工作要管理。

这些 CVE 的严重程度分布如图 2.2 所示。与其他评级的 CVE 相比，有更多的 CVE 评级为高严重性(CVSS 评分在 7 到 8 之间)和中等严重性(CVSS 评分在 4 到 5 之间)。CVSS 的加权平均得分是 6.6。超过三分之一的漏洞(44，107)被评为严重或高。对于具有漏洞管理策略的组织来说，这些策略规定紧急部署所有关键评级漏洞和每月部署评级为高的 CVE，这意味着在 20 年内可能会有超过 15，000 次紧急部署和超过 25，000 次每月补丁部署。这也是为什么一些组织决定不根据严重性来确定安全更新的优先级的原因之一，因为有太多的高严重性和关键严重性漏洞，与低评级漏洞相比，对它们进行不同的管理是对时间的有效利用。这些组织中的许多组织都致力于在其环境中真正高效地测试和部署安全更新，以便他们能够在不中断业务的情况下尽快部署所有更新，无论其严重性如何。

图 2.2:按严重性划分的 CVSS 得分(1999 年至 2019 年)

图 2.3 列出了 2020 年 1 月 1 日《CVE 细节》50 大供应商名单(CVE 细节，2020)中 CVE 最多的供应商和 Linux 发行版。这个列表并不令人惊讶，因为这个列表中的一些供应商也是过去 20 年中他们在市场上拥有的产品数量最多的供应商。您编写的代码越多，潜在的漏洞就越多，尤其是在 2003 年之前的几年里，那时大蠕虫攻击(SQL Slammer、MS Blaster 等)时有发生。

2004 年后，像这份名单上的那些行业领导者开始更加关注这些攻击后的安全漏洞。我将在第三章、中进一步讨论恶意软件——恶意软件。此外，操作系统和 web 浏览器供应商由于其无处不在而对其产品给予了不成比例的关注。操作系统或浏览器中一个新的严重或高评级漏洞的价值远远超过一个模糊应用程序中的漏洞。

图 2.3:CVE 数量最多的前 10 名供应商/经销商(1999-2019)

此时，您可能想知道这些漏洞出现在什么类型的产品中。将 CVE 最多的前 25 个产品分为操作系统、网络浏览器和应用，图 2.4 展示了细分情况。在 CVE 最多的前 25 个产品中，影响操作系统的 CVE 比浏览器和应用程序加起来还要多。

但有趣的是，随着产品数量从 25 个扩大到 50 个，这种分布开始迅速转移，总 CVE 的 5%从操作系统类别转移到应用程序。我怀疑，随着这一分析中所包含的产品数量的增加，应用程序最终会比其他类别拥有更多的 CVE，如果没有其他原因，仅仅是因为这样一个事实，即应用程序比操作系统或浏览器多得多，尽管操作系统多年来一直受到关注。还要记住，在流行的开发库中，如 JRE 或微软，漏洞的影响。NET 可以被放大，因为有数以百万计的应用程序使用它。

图 2.4:按产品类型分类的 CVE 最多的 25 种产品中的漏洞(1999-2019)

以下列表显示了报告了这些漏洞的特定产品(CVE 详细信息，未注明日期)。该列表将让您了解许多流行软件产品的漏洞数量，以及漏洞管理团队可能会花费多少精力来管理它们。

表 2.2:CVE 最多的前 25 种产品(1999-2019)

回到 2003 年，微软 Windows 大蠕虫攻击发生的时候，我当时接触的很多机构都认为只有微软的软件有漏洞，其他厂商的软件都很完美。尽管在 2003 年前后，每年有成千上万的 CVE 被分配给来自许多供应商的软件。

15 年后，我没有遇到多少组织仍然相信这个神话，因为他们的漏洞管理团队正在处理所有软件和硬件中的漏洞。请注意，前 10 名中只有两款微软产品。

但是这些数据并不完美，以这种方式统计漏洞总数并不一定能告诉我们这些年来哪些厂商和产品有所改进，或者整个行业是否改进了其安全开发实践。接下来我们就更多的探讨这些方面。

降低风险和成本——衡量供应商和产品改进

如何降低与安全漏洞相关的风险和成本？通过使用已经成功减少其产品漏洞数量的供应商，您有可能减少与您的漏洞管理计划相关的时间、精力和成本。此外，如果您选择的供应商已经通过使攻击者难以或不可能利用其产品中的漏洞来降低攻击者的投资回报，那么您也将降低您的风险和成本。我现在将为您提供一个框架，您可以使用它来识别这样的供应商和产品。

在 2003 年大蠕虫攻击之后，微软开始开发微软 SDL。微软至今仍在使用 SDL。我为 SDL 管理了几年的营销传播，所以我有机会学习了很多关于这种发展方式的知识。SDL 的既定目标是减少微软软件中漏洞的数量和严重性。

SDL 还试图使开发后的软件中发现的漏洞更难或不可能被利用。很明显，即使微软以某种方式能够生产无漏洞的产品，运行在 Windows 或 web 浏览器上的应用程序、驱动程序和第三方组件仍然会使系统易受攻击。随后，微软与更广泛的行业免费共享了一些版本的 SDL 和一些 SDL 工具。它还将 SDL 的某些方面融入到 Visual Studio 开发工具中。

我将使用 SDL 的目标作为一个非正式的“漏洞改进框架”,来了解使用供应商或特定产品的风险(概率和影响)是否随着时间的推移而增加或减少。这个框架有三个标准:

1. 漏洞总数呈上升趋势还是下降趋势？
2. 这些漏洞的严重性是上升还是下降？
3. 这些漏洞的访问复杂性是上升还是下降？

为什么这个看似简单的框架有意义？让我们走一遍。漏洞总数呈上升趋势还是下降趋势？随着时间的推移，供应商应该努力减少产品中的漏洞数量。所有供应商的理想目标应该是他们的产品零漏洞。但是这是不现实的，因为人类编写代码时会犯错误，导致漏洞。但是，随着时间的推移，供应商应该能够向他们的客户展示，他们已经找到了减少产品漏洞的方法，从而为他们的客户降低风险。

这些漏洞的严重性是上升还是下降？考虑到产品中会存在一些安全漏洞，供应商应该努力降低这些漏洞的严重性。降低漏洞的严重性可以减少我在本章前面提到的紧急安全更新部署的数量。它还为漏洞管理团队提供了更多的时间来测试和部署漏洞，从而减少了对他们所支持的业务的中断。更具体地说，应尽量减少关键和高严重性 CVE 的数量，因为它们对系统构成最大的风险。

这些漏洞的访问复杂性是上升还是下降？同样，如果产品中存在漏洞，让这些漏洞尽可能难以或无法被利用应该是供应商关注的事情。访问复杂性或攻击复杂性(取决于使用的 CVSS 版本)是利用漏洞难易程度的衡量标准。CVSS 版本 2 将访问复杂性估计为低、中或高，而 CVSS 版本 3 将攻击复杂性估计为高或低。概念是一样的——访问复杂性或攻击复杂性越高，攻击者利用漏洞的难度就越大。

使用这些措施，我们希望看到供应商使其产品中的漏洞始终难以利用。我们希望看到高访问复杂性 CVE(具有最低风险的 CVE)的数量随着时间的推移呈上升趋势，而低复杂性漏洞(具有最高风险的 CVE)呈下降趋势或为零。换句话说，我们希望高复杂性 CVE 的份额增加。

为了总结这个漏洞改进框架，我将衡量:

• 每年的 CVE 计数
• 每年临界额定和高额定 CVE 的数量。这些简历的得分在 7 到 10 分之间
• 每年访问复杂度或攻击复杂度较低的 CVE 数量

当我将这个框架应用到拥有成百上千种产品的供应商身上时，我将使用 CVE 过去五年的数据。我认为 5 年的时间足够判断一个厂商管理产品漏洞的努力是否成功。当我将这个框架应用到单个产品时，如操作系统或网络浏览器，我将使用 CVE 最近 3 年(2016-2018)的数据，以便我们看到最近的趋势。请注意，这种方法的一个局限性是，如果供应商和/或他们的产品是新的，并且没有足够的数据进行评估，那么这种方法就没有用。

现在我们有了一个框架来衡量漏洞披露是否随着时间的推移而改善，我将把这个框架应用于一些选定的供应商、操作系统和 web 浏览器的二十年历史 CVE 数据，以更好地了解行业中流行软件的状态。只是为了增加悬念和紧张感，就像你在马克·鲁西诺维奇的网络安全惊悚小说中会发现的那样，我将最后披露微软的 CVE 数据！

Oracle 漏洞趋势

由于甲骨文在简历最多的供应商前十名中排名第二，我们就从他们开始吧。Oracle 产品的 CVE 可以追溯到 1999 年。图 2.5 展示了 1999 年至 2018 年间，甲骨文产品每年发布的简历数量。

在此期间，分配了 5，560 个 CVE，其中 1，062 个被评定为关键或高，3，190 个 CVE 具有低访问复杂性。2019 年披露了 489 个 CVE，使得 1999 年至 2019 年期间甲骨文产品中的 CVE 总数达到 6，112 个(CVE 细节，未注明日期)。

请注意，甲骨文在此期间收购了许多技术公司和新技术，包括 MySQL 和 Sun Microsystems。收购新技术会导致供应商的 CVE 数发生重大变化。收购供应商可能需要时间来使他们获得的产品符合或超过他们的标准。在甲骨文的案例中，他们收购的一些技术在他们庞大的产品组合中拥有最多的 CVEs 其中包括 MySQL、JRE 和 JDK (CVE 详情，未注明日期)。

图 2.5:Oracle 产品中 CVE、关键和高 CVE 以及低复杂度 CVE 的数量(1999-2018)

就过去五年来看，从 2014 年初到 2018 年底，简历数量增加了 56%。具有低访问复杂性或攻击复杂性的 CVE 数量增加了 54%。然而，在同一时期，关键和高分(分数在 7 到 10 之间)CVE 的数量下降了 48%。考虑到这段时间漏洞数量的大幅增加，这一数字令人印象深刻。图 2.6 展示了这一积极变化。图 2.6 展示了 1999 年至 2018 年期间，每年严重和高度严重 CVE 的数量占总 CVE 的百分比。它还向我们展示了低访问复杂度的 CVE 占同期所有 CVE 的百分比。

图 2.6:Oracle 产品中关键和高严重性等级 CVE 和低复杂性 CVE 占总 CVE 的百分比(1999 年至 2018 年)

像这样的长期趋势不是偶然发生的。Oracle 可能在人员(如安全开发培训)、流程和/或技术方面实现了一些变革，帮助他们降低了客户的风险。达到使用寿命的旧产品也有助于改善整体状况。甲骨文可能也在解决其多年来收购的许多技术的漏洞方面取得了进展。漏洞管理团队仍然需要处理相对大量的漏洞，但是正如我前面所讨论的，严重性较低的漏洞是有帮助的。

根据 CVE 的详细信息，1999 年至 2018 年间对 CVE 总数贡献最大的 Oracle 产品包括 MySQL、JRE、JDK、数据库服务器和 Solaris。

苹果漏洞趋势

CVE 数量最多的厂商名单上的下一个是苹果。1999 年至 2018 年间，分配给苹果产品的 CVE 有 4277 个；在这些 CVE 中，1，611 个具有关键或高分，1，524 个具有被描述为低的访问复杂性(CVE 细节，未注明)。2019 年，苹果产品中披露了 229 个 CVE，1999 年至 2019 年期间共有 4507 个 CVE(CVE 细节，未注明)。正如你从图 2.7 中看到的，自 2013 年以来，苹果产品中的 CVE 数量有很大的增加和减少。

仅从 2014 年到 2018 年底这 5 年来看，对比这一时期的开始和结束，CVE 的数量减少了 39%，CVSS 得分为 7 或更高的 CVE 减少了 30%，访问复杂性较低的 CVE 减少了 65%。然而，漏洞管理团队在 2015 年和 2017 年遇到了苹果历史上 CVE 数量最大的增长。

图 2.7:苹果产品中 CVE、关键和高 CVE 以及低复杂度 CVE 的数量(1999-2018)

图 2.8:苹果产品中被评定为严重和高度严重的 CVE 以及低复杂性 CVE 占总 CVE 的百分比(1999 年至 2018 年)

根据 CVE 细节公司的数据，对苹果总 CVEs 贡献最大的苹果产品包括 macOS、iOS、Safari、macOS Server、iTunes 和 watchOS (CVE 细节公司，未注明日期)。

IBM 漏洞趋势

IBM 在漏洞最多的供应商名单中排名第四，在 1999 年至 2018 年期间，其 CVE 略少于苹果，为 4224 个(CVE 细节，未注明日期)，令人难以置信的是，这两家供应商在 19 年期间仅相差 53 个 CVE。但与苹果相比，蓝色巨人有将近一半的 CVEs 被评为关键或高。然而，与苹果相比，IBM 拥有更多低访问复杂度的 CVE。

图 2.9:IBM 产品中 CVE、关键和高分 CVE 以及低复杂度 CVE 的数量(1999–2018)

仅从 2014 年到 2018 年底的过去 5 年来看，IBM 的简历数量增长了 32%。关键和高分 CVE 的数量减少了 17%,而访问复杂度低的 CVE 增加了 82%。在 CVEs 增加了近三分之一的时候，严重和高评级漏洞的减少是积极的，值得注意的。

图 2.10:IBM 产品中关键和高严重性等级 CVE 和低复杂性 CVE 占总数的百分比(1999-2018)

对 IBM 的 CVE 计数贡献最大的产品是 AIX、WebSphere Application Server、DB2、Rational Quality Manager、Maximo Asset Management、Rational Collaborative life cycle Management 和 WebSphere Portal (CVE 细节，未注明日期)。

谷歌漏洞趋势

拥有最多简历的前五名厂商是谷歌。谷歌不同于前五名名单上的其他厂商。NVD 首次公布谷歌产品漏洞是在 2002 年，而不是像其他产品一样在 1999 年。与榜单上的其他公司相比，谷歌是一家更年轻的公司。

在 2002 年至 2018 年期间，有 3959 份简历归因于谷歌产品。在这些简历中，2078 份被评为关键或高分(CVE 细节，未注明)。与 IBM 和 Oracle 相比，这是关键和高分值漏洞数量的两倍多，远远超过苹果。除了微软之外，谷歌比前五名中的任何一家供应商都有更多的严重和高严重性漏洞。在此期间，分配给谷歌产品的 1982 个 CVE 具有低访问复杂性(CVE 详细信息，未注明)。

图 2.11:谷歌产品中 CVE、关键和高 CVE 以及低复杂度 CVE 的数量(2002-2018)

从 2014 年到 2018 年底的 5 年间的趋势来看，分配给谷歌产品的 CVE 增加了 398%；在同一时期，评级为关键或高的 CVE 增加了 168%，低复杂性 CVE 增加了 276%(CVE 细节，未注明)。根据 CVE 细节公司(CVE 细节公司)的数据，2017 年的简历数量达到了 1001 个，这是前五大供应商中没有一家实现过的壮举。

图 2.12:谷歌产品中被评定为严重和高度严重的 CVE 以及低复杂性 CVE 占总 CVE 的百分比(2002 年至 2018 年)

据《CVE 细节》报道，对谷歌 CVE 总计数贡献最大的谷歌产品包括安卓和 Chrome (CVE 细节，未注明日期)。

微软漏洞趋势

现在是时候看看微软是如何管理他们产品中的漏洞的了。他们是简历最多的供应商之一，在 1999 年至 2018 年底期间共有 6，075 个(CVE 详情，未注明日期)。

在上述 6，075 个 CVE 中，3，635 个被评为关键或高，2，326 个 CVE 具有低访问/攻击复杂性(CVE 详情，未注明)。在我们调查的 5 家供应商中，微软的漏洞总数最多，CVSS 得分为 7 或更高的漏洞数量最多，访问复杂性较低的 CVE 数量最多。

图 2.13:微软产品中 CVE、关键和高 CVE 以及低复杂度 CVE 的数量(1999-2018)

关注 2014 年至 2018 年底的 5 年间，分配给微软产品的 CVE 增加了 90%。关键和高分漏洞增加了 14%,低访问复杂性 CVE 增加了 193%。如果有一线希望的话，那就是从长远来看，微软已经大大增加了利用漏洞的难度。微软最近发布了关于其产品可开发性的令人信服的新数据，值得一看，以获得更完整的图片(马特·米勒，2019)。

图 2.14:微软产品中关键和高严重性等级 CVE 和低复杂性 CVE 占总数的百分比(1999 年至 2018 年)

对微软的 CVE 总数贡献最大的产品包括 Windows Server 2008、Windows 7、Windows 10、Internet Explorer、Windows Server 2012、Windows 8.1 和 Windows Vista (CVE 详情，未注明日期)。这个列表中的一些操作系统曾经是世界上最受欢迎的操作系统，尤其是在消费者中。这使得微软尽量减少这些产品漏洞的努力尤为重要。我将在本章后面讨论操作系统和 web 浏览器的漏洞披露趋势。

供应商漏洞趋势摘要

我们在本章中调查的所有供应商都发现，随着时间的推移，他们产品中的漏洞数量急剧增加。与我们在过去 3 年中看到的数量相比，2003-2004 年期间漏洞披露的数量似乎有些古怪。漏洞数量的大幅增加使得降低 CVE 的严重性和增加其访问复杂性变得更加困难。

图 2.15: CVE 排名前五的供应商(1999 年至 2018 年)

图 2.16:前五大供应商的严重和高评级严重 CVE 计数(1999-2018)

在我们调查的行业领导者中，只有一家实现了我们之前为非正式漏洞改进框架定义的所有三个目标。着眼于我目前拥有数据的过去五年(2014 年至 2018 年)，苹果成功减少了 CVE 的数量、关键和高严重性 CVE 的数量以及低访问复杂性 CVE 的数量。恭喜苹果！

表 2.3:应用漏洞改进框架的结果(2014–2018)

一次在数百个产品中沿着正确的方向推动这些指标是极具挑战性的。让我们来看看各个产品在一段时间内的表现。接下来，我们将看看选择的操作系统和网络浏览器。

操作系统漏洞趋势

在过去的几十年里，操作系统吸引了安全研究人员的大量关注。流行的桌面或移动操作系统中的零日漏洞的有效利用可能价值数十万美元甚至更多。让我们来看看操作系统的漏洞披露趋势，并仔细看看几个漏洞数量最多的产品。

图 2.17 显示了根据 CVE 细节公司(CVE 细节公司，未注明日期)的数据，1999 年至 2019 年间存在最独特漏洞的操作系统。该列表包含来自一系列供应商的桌面、服务器和移动操作系统，包括苹果、谷歌、Linux、微软等:

图 2.17:按 CVE 总数统计的具有最独特漏洞的操作系统(1999-2019)

微软操作系统漏洞趋势

由于我们在上一节讨论了微软，我将从他们的操作系统开始。在我前面提到的微软面向客户的事件响应团队工作之后，我有机会在微软的核心操作系统部门工作。我是 Windows 网络团队的项目经理。我帮助推出了 Windows Vista、Windows Server 2008 和一些服务包。信不信由你，运送 Windows 比客户面对事件响应角色更难。但这是另一本书的主题。

让我们来看看客户端和服务器微软操作系统的子集。图 2.18 显示了 Windows XP、Windows Server 2012、Windows 7、Windows Server 2016 和 Windows 10 每年的 CVE 数量。

图 2.18:微软 Windows 精选版本的 CVE 计数(2000–2018)

图 2.18 让我们对随着时间的推移漏洞披露的变化有了一些了解。它向我们展示了与早期相比，在过去的 4、5 年中，漏洞被披露的程度有多严重。例如，在 Windows XP 中报告漏洞披露的 20 年中，共有 741 个 CVE 被披露(CVE 细节，未注明日期)；平均每年有 37 份简历。微软最新的客户端操作系统 Windows 10 在短短 4 年内以 748 个 CVE 超过了 CVE。平均每年有 187 个漏洞被披露。这意味着平均每年披露的 CVE 增加了 405%。

服务器操作系统的漏洞发现率也越来越高。从 2012 年发布到 2018 年的 7 年间，Windows Server 2012 共披露了 802 个漏洞(CVE 细节，未注明日期)；平均每年有 114 份简历。但是对于 Windows Server 2016 来说，这一平均值跃升至每年 177 个 CVE，增长了 55%。

鉴于最新的操作系统 Windows 10 和 Windows Server 2016 不应该有任何漏洞，这些漏洞是在以前的操作系统出厂前修复的，并且它们已经受益于使用更新的工具和受过更好培训的开发人员进行开发，披露的速度令人难以置信。然而，随着其他操作系统即将寿终正寝，Windows 10 是 Windows 唯一的新客户端版本，它可能比任何其他 Windows 操作系统版本都更受安全研究人员的关注。

现在，让我们更深入地了解一些 Windows 版本，并将我们的漏洞改进框架应用于它们。

Windows XP 漏洞趋势

截至 2014 年 4 月，Windows XP 不再获得支持，但 2017 年披露了 3 个 CVE，2019 年披露了 1 个，这就是为什么图 2.19 中的图形有一条长尾巴(CVE 细节，未注明)。虽然到 2014 年初支持结束时，Windows XP 中的关键和高严重性 CVE 的数量确实从 2011 年的高点有所下降，但访问复杂性较低的 CVE 的数量仍然相对较高。我不认为我们可以将我们的漏洞改进框架应用于 Windows XP 生命的最后几年，因为去年，特别是，被寻找和保留新的零日漏洞的淘金热所扭曲，微软可能永远不会修复这些漏洞。只要保密，这些漏洞将非常有价值。

图 2.19:Microsoft Windows XP 中 CVE、严重和高评级严重 CVE 以及低复杂性 CVE 的数量(2000–2019)

为什么微软在停止支持后发布了 Windows XP 的安全更新？这就是我之前提到的“永远零日”的概念。面对 Windows XP 中新的、关键的、潜在的蠕虫漏洞，微软决定在官方支持生命周期结束后为 Windows XP 提供安全更新。

另一种可能是数千或数百万受到危害和感染的“僵尸”Windows XP 系统不断攻击互联网的其余部分。鉴于仍有许多企业、政府和消费者在使用 Windows XP，微软在 Windows XP 寿终正寝后发布更新是正确的决定。

图 2.20 显示了 Windows XP 中严重和高严重性 CVE 以及低复杂性 CVE 占 CVE 总数的百分比。2017 年和 2019 年的不稳定模式是由于这两年披露的简历很少(2017 年 3 份，2019 年 1 份)(CVE 细节，未注明)。

图 2.20:Microsoft Windows XP 中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 占所有 Microsoft Windows XP CVEs 的百分比(2000 年至 2019 年)

Windows 7 漏洞趋势

接下来，让我们检查一下非常流行的 Windows 7 操作系统的数据。Windows 7 于 2020 年 1 月 14 日停止支持(微软公司，2020 年)。Windows 7 于 2009 年 7 月发布，此前 Windows Vista 反响不佳。与 Windows Vista 相比，每个人都喜欢 Windows 7。此外，从 CVE 披露的角度来看，Windows 7 在发布时享受了一个“蜜月”，因为 CVE 的披露花了几年时间才增加，近年来，它们已经显著增加。

Windows 7 在 2009 年至 2018 年期间披露了 1，031 个 CVE。平均每年有 103 个漏洞被披露(CVE 细节，未注明)。这没有 Windows 10 的平均年度 CVE 披露率高，但几乎是 Windows XP 每年披露的 CVE 平均数量的 3 倍。Windows 7 平均每年有 57 个严重或高等级漏洞。

图 2.21:微软 Windows 7 (2009 年至 2018 年)中 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量

如果我们只关注 2016 年至 2018 年之间的过去 3 年(我们有几个 Windows 版本的数据用于比较)，从 2016 年初到 2018 年底，CVE 的数量增加了 20%，而关键和高严重性 CVE 的数量减少了 44%，低复杂性 CVE 的数量增加了 8% (CVE 细节，未注明)。漏洞严重性的显著降低有助于漏洞管理团队，但这并没有实现我们的漏洞改进框架在这 3 年期间的目标。

图 2.22:Microsoft Windows 7 中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 占所有 Microsoft Windows 7 CVEs 的百分比(2009-2018)

Windows Server 2012 和 2016 漏洞趋势

现在让我们来看几个 Windows Server SKU——Windows Server 2012 和 2016。Windows Server 2012 于 2012 年 9 月发布。Windows Server 2016 于 2016 年 9 月发布，因此我们没有 2016 年全年的数据。这将扭曲我们框架的结果，因为与 2016 年相比，我们的指标似乎都有大幅增长。

图 2.23:微软 Windows Server 2012 (2012 年至 2018 年)中的 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量

截至 2018 年底，Windows Server 2012 在 NVD 拥有 802 个 CVE。在图 2.23 的中的 7 年间，平均每年有 115 个 CVE，其中 54 个 CVE 被评为关键或高(CVE 细节，未注明)。从 2016 年到 2018 年底，Windows Server 2012 的 CVE 数量增加了 4%，而关键和高严重性 CVE 减少了 47%，低复杂性 CVE 减少了 10%。它非常接近实现我们的漏洞改进框架的目标。如此接近！

不幸的是，对于 Windows Server 2016 来说，这个故事并不简单。我们只是没有足够的全年数据来了解漏洞披露的趋势。2016 年至 2018 年间，CVE 披露的数据大幅增加(518%)，但这只是因为我们只有 2016 年一个季度的数据。然而，2017 年和 2018 年之间的披露数量基本相同(分别为 251 和 241)。

Windows Server 2012 在 2018 年有 235 项披露，2018 年有 162 项披露(CVE 细节，未注明日期)。这两年平均每年有 199 个 CVE，而 Windows Server 2016 整整两年平均每年有 246 个 CVE。然而，2 年的数据是不够的；我们需要等待更多的数据，以便了解 Windows Server 2016 的表现如何。

图 2.24:微软 Windows Server 2016(2016–2018)中 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量

Windows 10 漏洞趋势

我将在这里考察的最后一个 Windows 操作系统被称为“有史以来最安全的 Windows 版本”(呃…由我(Ribeiro，n.d .)命名)，Windows 10。这个版本的 Windows 发布于 2015 年 7 月。在撰写本文时，我有 2016 年、2017 年和 2018 年整整三年的数据。截至 2018 年底，Windows 10 在 NVD 共有 748 个 CVEs 平均每年 187 个 CVE 和 76 个严重和高严重性漏洞(CVE 详细信息，未注明日期)。

在这 3 年期间，Windows 10 中的 CVE 数量增加了 48%，而关键和高分 CVE 的数量减少了 25%，低访问复杂性 CVE 的数量增加了 48%。

图 2.25:微软 Windows 10(2015–2018)中的 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量

图 2.26:Microsoft Windows 10 中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 占所有 Microsoft Windows 10 CVEs 的百分比(2015–2018)

2019 年结束时，Windows 10 中有 357 个 CVE，比 2018 年增加了 33%，是自发布以来 CVE 数量最多的一年(CVE 细节，未注明日期)。这个数据没有反映的一个重要因素是，微软已经非常擅长快速修补全球数亿个系统。这非常有助于降低客户的风险。现在让我们来看看其他一些流行的操作系统是否符合我们的标准。

Linux 内核漏洞趋势

根据 CVE 的详细资料，在撰写本文的时刻，Debian Linux 和 Linux Kernel 在他们追踪的所有产品中拥有最高的 CVE 数量。让我们来看看 Linux 内核的 CVE 趋势。从 1999 年到 2018 年，个人简历的累计总数为 2，163 份，平均每年约 108 份(CVE 细节，未注明)。这是 Windows XP 年平均水平的 3 倍，略低于 Windows Server 2012 年的年平均水平(114)，也远低于 Windows Server 2016 年的年平均水平(177)。平均每年在 Linux 内核中有 37 个关键的和高评级的 CVE。

查看 2016 年至 2018 年底之间的同一三年期，我们可以从下图 2.28 中看到，2016 年至 2017 年期间，CVE 披露量大幅增加。这与我在本章前面讨论的整个行业的趋势是一致的。这似乎是 Linux 内核的短期增长。2019 年结束时，Linux 内核中有 170 个 CVE，低于 2018 年的 177 个(CVE 细节，未注明日期)。

图 2.27:Linux 内核中 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量(1999-2018)

从 2016 年到 2018 年底，简历数量减少了 18%，而 7 分及以上的简历数量减少了 38%。同期，低复杂度 CVE 的数量下降了 21%。Linux 内核似乎已经实现了我们的漏洞改进框架的目标。太棒了！

图 2.28:在所有 Linux 内核 CVE 中，Linux 内核中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 所占的百分比(1999-2018)

谷歌 Android 漏洞趋势

我们来看看谷歌制造的移动操作系统 Android。Android 的首次发布日期是在 2008 年 9 月，Android 的 CVEs 于 2009 年开始在 NVD 出现。平均而言，每年有 215 个针对 Android 的 CVE，其中 129 个 CVE 被评为严重或高严重性；在 2009 年至 2014 年的 6 年间，Android 只有 43 个 CVE(CVE 细节，未注明)。Android 中 CVE 的数量在 2015 年开始显著增加，此后一直在增加。

图 2.29:谷歌安卓系统中 CVE、严重和高评级严重 CVE 以及低复杂性 CVE 的数量(2009-2018)

从 2016 年到 2018 年底的 3 年间，Android 中的 cv 数量增加了 16%，而关键和高分的 cv 数量减少了 14%，但低复杂度的 cv 数量增加了 285%。

根据 CVE 细节(CVE 细节，未注明日期)的数据，2009 年至 2018 年底，为安卓提交的简历总数为 2147 份。

图 2.30:2009 年至 2018 年期间，Google Android 中被评定为严重和高严重性的 CVE 以及低复杂性 CVE 占所有 Google Android CVEs 的百分比

苹果 macOS 漏洞趋势

我在这里考察的最后一个操作系统是苹果的 macOS。在 1999 年至 2018 年期间，有 2094 份简历进入 NVD MAC OS(CVE 详情，未注明日期)。平均每年有 105 例心血管事件，其中约有 43 例严重和高度严重的心血管事件。这和 Linux 内核平均每年 108 个 CVE 非常相似。从图 2.31 可以看出，2015 年 CVEs 有较大幅度的增长。

图 2.31:MAC OS 中 CVE、关键和高评级严重性 CVE 以及低复杂性 CVE 的数量(1999-2018)

从 2016 年初到 2018 年底，MacOS X 的 CVE 数量下降了 49%。严重和高严重性心血管事件的数量减少了 59%。●访问复杂度降低了 66%。MacOS X 实现了我们漏洞改进框架的目标。又干得好，苹果！

图 2.32:MAC OS 中严重和高严重性等级的 CVE 和低复杂性 CVE 占所有 CVE 总数的百分比(1999-2018)

操作系统漏洞趋势摘要

我们在本章中研究的操作系统是历史上最流行的操作系统之一。当我将我们的漏洞改进框架应用于这些操作系统的漏洞披露数据时，结果喜忧参半。

我检查的微软操作系统没有一个符合我们漏洞改进框架中设定的标准。Windows Server 2012 非常接近，但在我检查的这段时间里，它的 CVEs 确实增加了 4%。调整时间框架可能会导致不同的结论，但我研究的所有操作系统的 CVE 趋势都是在同一时期。微软发布的利用数据显示，由于他们在 Windows 中实现的所有内存安全功能和其他缓解措施，他们产品中漏洞的可利用性非常低(Matt Miller，2019)。这对于漏洞管理团队来说是苦乐参半，因为尽管绝大多数漏洞不能被成功利用，但它们仍然需要修补。然而，在减少利用未打补丁的漏洞方面，很高兴知道微软已经为他们的客户提供了这么多有效的缓解措施。

谷歌 Android 在 2016 年至 2018 年期间没有达到漏洞改善框架中的目标。在此期间，心血管事件略有增加，低复杂性心血管事件增加了 285%。(CVE 详情，未注明日期)

macOS 和 Linux 内核确实符合漏洞改进框架的标准，这些供应商在为客户降低风险方面取得的成就应该得到祝贺和奖励。

表 2.4:漏洞改进框架的应用结果(2016–2018)

在表 2.5 中，我为您提供了我所研究的操作系统的 CVE 数据的有趣摘要。Linux 内核和苹果 macOS 从列表中脱颖而出，因为每年严重和高严重性 CVE 的平均数量相对较低。

表 2.5:操作系统的生命统计数据(1999 年至 2018 年)

在我研究 web 浏览器之前，我想指出我在本节中介绍的数据的一个局限性。虽然我能够为每个 Windows 版本分离出 CVE 数据，但我没有为 macOS 版本这么做。类似地，我没有深入研究不同 Linux 发行版的粒度细节来检查定制内核和第三方应用程序的数据。如果你能原谅这个双关语的话，将一个单独的 Windows 版本，比如 Windows 7，与所有的 macOS 版本进行比较，并不像是将苹果与苹果进行比较。需要更多的研究来揭示特定非 Windows 操作系统版本的趋势。

单个操作系统版本的趋势数据可能与作为一个整体的所有版本的结果大相径庭。然而，我提供的数据仍然说明了比特定操作系统版本的趋势更基本的东西，其中许多版本都不再受支持。它展示了这些操作系统供应商多年来的开发和测试过程。换句话说，它说明了供应商的安全标准是什么样的，以及它们是否能够随着时间的推移不断改进。由此，我们可以得出这样的结论:这些供应商中的哪一个擅长于潜在地降低企业的漏洞管理成本，同时也降低企业的风险。

接下来让我们看看网络浏览器中的漏洞趋势，这也受到了世界各地安全研究人员的密切关注。

Web 浏览器漏洞趋势

网络浏览器吸引了安全研究人员和攻击者的大量注意力。这是因为没有他们很难生活。每个人在台式机、移动设备和服务器上都至少使用一个浏览器。操作系统的开发团队可以在他们的产品中嵌入多层安全特性，但是 web 浏览器往往会通过所有这些基于主机的防火墙和其他安全层带来威胁。众所周知，Web 浏览器很难保护，正如您将从本节的数据中看到的，多年来，所有流行的浏览器都存在大量的漏洞。

关于我在本节中与你分享的网络浏览器数据，只是一个额外的警告。在我为本章分析的所有 NVD、CVE 和 CVSS 的数据中，我对这些数据的准确性最没有信心。这是因为，随着时间的推移，NVD 的 CVE 使用了不同的产品名称，这使得我很难确保拥有完整的数据集。例如，一些用于 Internet Explorer 的 CVE 被标记为“IE”。我尽我所能使用昵称找到了所有的变化，但我不能保证数据是完整和准确的。

1999 年至 2019 年 4 月间的 CVE 数量见图 2.33 (CVE 详情，未注明)。

图 2.33:流行网络浏览器中的简历总数(1999 年至 2019 年)

我将深入研究这些数据，并将我们的漏洞改进框架应用于其中一些产品，让您了解这些供应商如何管理世界上一些最流行的 web 浏览器中的漏洞。

Internet Explorer 漏洞趋势

我们先来考察一下微软IE 浏览器 ( IE )。IE 已经存在很多年了，不同的操作系统发布了不同的版本。我找到了 1999 年至 2018 年间的 1597 份 ie 简历(CVE 详情，未注明日期)。平均每年有 80 个漏洞和 57 个严重和高严重性 CVE。

图 2.34 显示了 1999 年至 2018 年期间每年的 CVE 数量、关键和高评级 CVE 数量以及低复杂性 CVE 数量。你可以看到，在 2012 年至 2017 年期间，简历的数量以及关键和高分简历的数量都有大幅增长。

图 2:34:工业工程(1999-2018 年)中 CVE、关键和高严重性 CVE 以及低复杂性 CVE 的数量

如图 2.37 所示，一个值得注意的数据点是这些年来在 IE 中发现了多少临界额定 CVE。请记住，许多组织会针对披露的每个严重漏洞启动并执行紧急更新流程，因为风险非常高。在 IE 的 1，597 份简历中，有 768 份，也就是 48%，被评为关键(CVE 细节，未注明)。这些简历数量最多的年份是 2013 年、2014 年和 2015 年。微软转向了季度安全更新发布模式，在这种模式下，他们发布累积安全更新，而不是单个更新，以最大限度地减少所有这些 CVE 可能导致的中断。

图 2.35:工业工程中个人简历的 CVSS 分数分布(1999-2018)

尽管有大量的 CVE 和大量的关键和高评级 CVE，但当我们将这些数据放入我们的漏洞改善框架(重点关注 2016 年至 2018 年底之间的 3 年)时，IE 表现良好。从 2014 年和 2015 年的高点压低 CVE 的努力表现为 2016 年至 2018 年 CVE 下降 44%，关键和高评级 CVE 下降 41%。此外，2018 年的低复杂度 CVE 为零。微软已经达到了我们的漏洞改进框架中的标准，更重要的是，达到了 SDL 的目标。干得好，微软！

接下来，我们来考察一下 Edge 浏览器。

Microsoft Edge 漏洞趋势

Edge 是微软在 2015 年随 Windows 10 发布的网页浏览器。微软基于从 IE(微软公司，n.d .)吸取的经验教训，对这款浏览器进行了大量的安全增强。

根据 CVE 细节，2015 年至 2018 年底，Edge 有 525 个简历(CVE 细节，未注明)。平均而言，每年有 131 个漏洞和 95 个严重和高严重性 CVE。图 2.36 显示了每年这些 CVE 的数量，以及严重和高严重性漏洞的数量，以及低复杂性 CVE 的数量。随着 Edge 发布前未修复的漏洞被发现和披露，CVE 的数量在最初几年迅速攀升。这意味着 Edge 不符合我们漏洞改进框架的标准。然而，2018 年的 CVEs 下降持续到 2019 年，进一步减少了 57%。如果我将 2019 年纳入我的分析，Edge 可能符合标准。

图 2.36:微软 Edge(2015–2018)中 CVE、关键和高严重性 CVE 以及低复杂性 CVE 的数量

这个分析可能没有实际意义，因为在 2018 年 12 月，微软宣布他们将采用 Chromium 开源项目进行 Edge 开发(微软公司，n.d .)。我们必须等待几年，看看这种变化如何反映在 CVE 的数据中。

接下来我们来考察一下谷歌 Chrome。

谷歌浏览器漏洞趋势

谷歌 Chrome 浏览器于 2008 年发布，首先在 Windows 上，然后在其他操作系统上发布。从 2008 年到 2018 年底，Chrome 共有 1680 个 CVE，平均每年 153 个漏洞。平均每年有 68 个漏洞被评为严重或高严重性(CVE 详情，未注明)。如图 2.37 所示，2010 年至 2012 年间，Chrome 的 CVE 大幅增加。在 2016 年至 2018 年底的三年间，心血管事件减少了 44%，低复杂性心血管事件以及严重和高严重性心血管事件减少了 100%。

图 2.37:Google Chrome 中 CVE 的数量，关键和高严重性 CVE 以及低复杂性 CVE(2008-2018)

图 2.38:关键和高严重性等级 CVE 和低复杂性 CVE 占所有 Google Chrome CVEs 的百分比(2008-2018)

Chrome 满足我们漏洞改进框架中的标准。干得好谷歌！

Mozilla Firefox 漏洞趋势

Mozilla Firefox 是一款流行的网络浏览器，最初发布于 2002 年。CVEs 于 2003 年开始在 NVD 出现。从 2003 年到 2018 年底，Firefox 有 1767 个 CVE，超过了谷歌 Chrome，成为 CVE 最多的浏览器。在此期间，Firefox 平均每年有 110 个 CVE，其中 51 个被评为严重或高度严重(CVE 细节，未注明)。

如图 2.39 所示，Firefox 在 2017 年几乎实现了零 CVEs 的理想目标，当时只有一个 CVE 在 NVD 备案。不幸的是，这并没有成为一种趋势，因为 2018 年在 NVD 提交了 333 份简历，这是 Firefox 单年的历史新高。从 2016 年到 2018 年底的 3 年间，CVEs 增长了 150%，关键和高严重性漏洞增长了 326%，而低复杂度 CVEs 增长了 841%。2019 年，简历数量从 333 个减少到更典型的 105 个(CVE 细节，未注明)。

图 2.39:Firefox 中 CVE、关键和高严重性 CVE 以及低复杂性 CVE 的数量(2003-2018)

如果 Mozilla 能够延续始于 2015 年的漏洞披露趋势，Firefox 将符合我们漏洞改进框架的标准。2017 年图 2.40 中的峰值是当年单一 CVE 被评为高严重性和低访问复杂性的结果(CVE 细节，未注明)。

图 2.40:关键和高严重性等级 CVE 和低复杂性 CVE 占所有 Firefox CVEs 的百分比(2003-2018)

苹果 Safari 漏洞趋势

我要考察的最后一个网络浏览器是苹果 Safari 浏览器。苹果最初于 2003 年 1 月发布了 Safari。平均而言，Safari 每年有 60 个漏洞，平均每年有 17 个 CVE 被评为严重或高。从 2003 年到 2018 年底，Safari 中总共披露了 961 份简历。

图 2.41:Apple Safari 中的 CVE 数量、关键和高严重性 CVE 以及低复杂性 CVE(2003 年至 2018 年)

如图 2.41 所示，2015 年和 2017 年 Safari 中的 CVE 都有比较大的增长。从 2016 年到 2018 年底，CVE 下降了 11%，关键和高评级 CVE 下降了 100%，低复杂性漏洞下降了 80%(CVE 细节，未注明)。苹果再一次满足了我们漏洞改进框架的标准。

图 2.42:严重和高严重性等级的 CVE，以及低复杂性 CVE 占所有 Apple Safari CVEs 总数的百分比(2003–2018)

Web 浏览器漏洞趋势摘要

我检查的三个网络浏览器符合我们的漏洞改进框架的目标。微软的网络浏览器、谷歌的 Chrome 浏览器和苹果的 Safari 浏览器都榜上有名。

表 2.6:在此期间(2014–2018 年)应用漏洞改进框架的结果

表 2.7:网络浏览器生命统计(1999 年至 2018 年)

表 2.7 总结了我们研究的网络浏览器的一些有趣的 CVE 数据(CVE 详情，未注明日期)。Apple Safari 的突出之处在于其每年平均 CVE 的数量较低，并且严重和高严重性 CVE 的平均数量远低于其他产品。

在将这种类型的数据和分析在 web 浏览器上呈现给真正热爱他们最喜爱的浏览器的人之后，他们通常不相信，有时甚至愤怒，他们最喜爱的浏览器可能有如此多的漏洞。关于数据和分析的有效性的问题通常会很快出现。我与之分享过这类数据的一些人也认为，他们最不喜欢的浏览器中的漏洞数量在某种程度上被低估了。这就像在争论我们最喜欢的汽车品牌！但是记住这个数据在几个方面是不完美的。当然，我们有机会更深入地研究数据，分析特定版本、服务包和发行版的 CVE 趋势，从而更细致地了解浏览器之间的差异。你可以使用我在本章提供的漏洞改进框架来做到这一点。但也许更重要的是，请记住这些数据说明了这些供应商多年来的开发和测试流程表现如何，以及他们是否一直在持续改进。

毕竟 IE 的每个版本都是微软开发的，Safari 的每个版本都是苹果开发的，等等。他们的客户不仅仅使用他们浏览器的一个版本；他们使用其供应商的开发、测试和事件响应流程的输出。要回答的关键问题是，这些供应商中的哪一个在降低风险的同时降低了组织的成本，从而管理了他们的漏洞。让我通过提供一些关于漏洞管理的一般指导来结束本章。

漏洞管理指南

运行良好的漏洞管理计划对所有组织都至关重要。正如您在本章的数据和分析中所看到的，整个行业已经披露了许多漏洞，而且数量一直在增加，而不是减少。截至 2019 年底，NVD 共有超过 122，000 家个人简历。攻击者知道这一点，也明白组织要跟上修补其环境中各种硬件和软件产品的工作量和复杂性是多么具有挑战性。防守者必须是完美的，而进攻者只需要好或者运气好一次。让我为您提供一些关于漏洞管理程序的建议。

首先，漏洞管理计划的一个目标是了解漏洞在您的 IT 环境中存在的风险。这不是静止的或缓慢移动的。所有硬件和软件中的漏洞不断被发现。因此，您环境中的漏洞数据很快就会过时。我所遇到的那些决定每季度或每六个月部署一次安全更新的组织对风险有着异乎寻常的偏好；尽管矛盾的是，这些组织中的一些告诉我他们没有风险偏好。遇到这样的人总是很有趣，他们认为他们最优先考虑的风险是他们的供应商，而不是积极寻找利用他们的方法的攻击者骨干。如果有机会，攻击者会很乐意加密他们所有的数据，并索要解密密钥的赎金。

当我遇到有这种政策的组织时，我想知道他们是否真的有数据驱动的风险观，以及最高层的管理人员是否真的了解他们代表整个组织接受的风险。

他们知道 2019 年平均每天有 33.4 个新漏洞被披露，2018 年每天有 45.4 个被披露吗？如果他们每季度修补一次，这相当于 2018 年有 4082 个漏洞可能长达 90 天没有修补，2019 年有 3006 个漏洞。对于每半年修补一次的组织，这一数字将翻倍。平均而言，超过三分之一的漏洞被评为严重或高度。攻击者只需在正确的系统中找到一个可利用的漏洞，就可以成功地破坏环境。这些组织大多需要专注于构建非常高效的漏洞管理计划，以在更合理的时间内降低风险，而不是避免修补和重启系统来最大限度地减少业务中断。攻击者在脆弱且长期未打补丁的环境中拥有巨大优势。

对于大多数组织，我的建议是漏洞管理团队每天扫描一切。如果有必要，再读一遍那句台词。还记得我在本书序言部分用的潜艇类比吗？你的弱点管理程序是你寻找潜艇船体缺陷的方法之一。每天扫描您环境中的每一项资产的漏洞，将有助于识别船体中的裂缝和缺陷，如果被利用，将会使船沉没。每天扫描所有内容以发现漏洞和错误配置，这为组织提供了重要的数据，有助于他们做出风险决策。没有最新的数据，他们是在不知情的情况下管理风险。

然而，值得注意的是，移动设备，尤其是各种自带设备，对漏洞管理团队构成了巨大的挑战。大多数组织根本无法像扫描其他资产一样扫描这些设备。这就是为什么许多网络安全专业人士将 BYOD 称为“带来自己的灾难”的一个原因。相反，限制移动设备访问敏感信息和 HVAs 更为常见。要求更新的操作系统版本和最低补丁级别才能连接到公司网络也很常见。为此，在过去的年中，我见过的大多数企业都采用了移动设备管理 ( MDM )或移动应用管理 ( MAM )解决方案。

对于一些组织来说，每天扫描所有内容将需要比目前更多的资源。例如，他们可能需要比目前更多的漏洞扫描引擎，以便每天扫描 100%的 IT 资产。他们可能还希望在非工作时间进行扫描，以减少在正常工作时间进行扫描所产生的网络流量。这可能意味着他们必须每晚在规定的时间内扫描所有内容。为此，他们需要足够数量的漏洞扫描引擎和人员来管理它们。一旦他们掌握了环境状态的最新数据，就可以利用这些数据做出基于风险的决策；例如，何时应该解决新发现的漏洞和错误配置。如果没有关于环境状况的最新数据，hope 将在其脆弱性管理策略中继续发挥核心作用。

所有这些漏洞扫描产生的数据对 CISOs 来说都是金粉，尤其是对于相对不成熟的安全程序。向首席执行官和董事会提供该计划的数据可以帮助首席信息官获得他们需要的资源，并传达他们在安全计划方面取得的进展。提供清单中资产数量的细目分类、他们实际上可以管理多少个漏洞、存在的严重和高严重性漏洞的数量，以及解决所有这些漏洞所需时间的估计，可以帮助构建有效的业务案例，从而增加对漏洞管理计划的投资。向高级管理层提供这样的定量数据有助于他们理解现实与观点。如果没有这些数据，就很难做出令人信服的业务案例，也很难根据安全计划的目标交流进展情况。

云可以以非常积极的方式改变与漏洞管理相关的成本和工作。我将在第八章、云——安全和合规性的现代方法中讨论这一点。

章节总结

希望我没有在这一章用太多的科学蒙蔽你——有很多数字需要消化！请允许我回顾一下本章的一些要点。

风险是概率和影响的结合。通用脆弱性评分系统(CVSS)用于评估国家脆弱性数据库(NVD)中每个脆弱性(CVE)的风险。这些数据应该用于通知您的漏洞管理程序。使用已经成功减少其产品中漏洞数量的供应商可能会减少与您的漏洞管理计划相关的时间、精力和成本。如果您选择的供应商也投资于降低攻击者的投资回报，使其产品中的漏洞难以或不可能被利用，那么您也将降低您的风险和成本。

在本章研究的供应商中，只有苹果公司在过去 5 年中通过减少其产品中的漏洞数量、降低其产品中漏洞的严重性以及减少低访问复杂性漏洞(风险最高的漏洞)的数量，达到了我们的漏洞改善框架的标准。我检查的操作系统在 3 年内实现了我们的漏洞改进框架的目标，它们是 Linux 内核和苹果 macOS。我检查的 2016 年至 2018 年期间漏洞管理记录最佳的网络浏览器包括苹果 Safari、谷歌 Chrome 和微软 Internet Explorer。在这三年中，这些浏览器的漏洞管理方式降低了用户面临的风险。

请记住，用于这些比较的数据有许多偏差，并且不完整或不完全准确。但是你可以做你自己的 CVE 研究，使用我提供的非正式的“漏洞改进框架”。

每天扫描一切的漏洞管理团队为其组织提供了管理风险的最佳可见性。来自漏洞管理计划的数据为 CISOs 提供了一些他们需要的数据，以管理其安全计划的性能并引导未来对这些计划的投资。

在下一章中，我们将深入研究来自全球数亿个系统的恶意软件感染数据，以了解威胁形势在这些年是如何演变的。您知道 GDP 等社会经济因素与地区恶意软件感染率有关吗？我们也要看看这个。此外，我将为您提供一些使用威胁情报的提示和最佳实践。

参考

1. 南卡罗来纳州布莱恩·马丁(2013 年 12 月 3 日)。 Black Hat USA 2013 -接受偏见:为什么漏洞统计如此糟糕。从 YouTube 上检索到:T3】https://www.youtube.com/watch?time_continue=20&v = 3s 0x 0 ujgrq 4sT5】
2. 常见漏洞和暴露。(未注明日期)。 CVE 编号机关。从常见漏洞和暴露中检索到:【https://cve.mitre.org/cve/cna.html】T3T5】
3. CVE 细节。(2020 年 1 月 1 日)。按“独特”漏洞总数排名前 50 的供应商。从 https://www.cvedetails.com/top-50-vendors.php 检索到的详细信息:T3T5】
4. CVE 细节。(未注明日期)。苹果产品清单。检索自 CVE 详情:www . CVE Details . com/product-list/vendor _ id-49/apple . html
5. CVE 细节。(未注明日期)。苹果 Mac OS X 漏洞详情。从 https://www.cvedetails.com/product/156/Apple-Mac-Os-X.html?取回细节:vendor _ id = 49
6. CVE 细节。(未注明日期)。苹果 Safari 漏洞统计。从 https://www.cvedetails.com/product/2935/Apple-Safari.html?取回细节:vendor _ id = 49
7. CVE 细节。(未注明日期)。苹果漏洞统计。从 https://www.cvedetails.com/vendor/49/Apple.html 检索到的详细信息:T3T5】
8. CVE 细节。(未注明日期)。谷歌 Android 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/19997/Google-Android . html？vendor _ id = 1224T5】
9. CVE 细节。(未注明日期)。谷歌 Chrome 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/15031/Google-chrome . html？vendor _ id = 1224T5】
10. CVE 细节。(未注明)。谷歌产品列表。检索自 CVE 详情:www . CVE Details . com/product-list/vendor _ id-1224/Google . html
11. CVE 细节。(未注明日期)。谷歌漏洞统计。从 https://www.cvedetails.com/vendor/1224/Google.html 检索到的详细信息:T3T5】
12. CVE 细节。(未注明日期)。它是如何工作的？从 CVE 取回详情:T3【https://www.cvedetails.com/how-does-it-work.php】T5】
13. CVE 细节。(未注明日期)。 IBM 产品清单。检索自 CVE 详情:T3】https://www . CVE Details . com/product-list/product _ type-/first char-/vendor _ id-14/page-1/products-by-name . html？sha = 6d 92323 b7a 6590 a46e 9131 E6 E1 f 4a 17 a 96434 ea 7&order = 3&TRC = 1056T5】
14. CVE 细节。(未注明日期)。 IBM 漏洞统计。从 https://www.cvedetails.com/vendor/14/IBM.html 检索到的详细信息:T3T5】
15. CVE 细节。(未注明日期)。 Linux 内核漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/47/Linux-Linux-kernel . html？vendor _ id = 33
16. CVE 细节。(未注明日期)。微软 Edge 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/32367/Microsoft-edge . html？vendor _ id = 26
17. CVE 细节。(未注明日期)。微软 Internet Explorer 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/9900/Microsoft-Internet-explorer . html？vendor _ id = 26
18. CVE 细节。(未注明日期)。微软产品清单。检索自 CVE 详情:T3】https://www . CVE Details . com/product-list/product _ type-/first char-/vendor _ id-26/page-1/products-by-name . html？sha = 4b 975 BDF 63b 781745 f 458928790 E4 c8 FD 6a 77 f 94&order = 3&TRC = 525T5】
19. CVE 细节。(未注明日期)。微软漏洞统计。从 https://www.cvedetails.com/vendor/26/Microsoft.html 检索到的详细信息:T3T5】
20. CVE 细节。(未注明)。 Mozilla Firefox 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/3264/Mozilla-Firefox . html？vendor _ id = 452T5】
21. CVE 细节。(未注明日期)。 Mozilla Firefox 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/3264/Mozilla-Firefox . html？vendor _ id = 452T5】
22. CVE 细节。(未注明日期)。甲骨文产品清单。检索自 CVE 详情:T3】https://www . CVE Details . com/product-list/product _ type-/first char-/vendor _ id-93/page-1/products-by-name . html？sha = b4dc 68699904240 f1 eab 0 f 9453 FB 5a 2 f 9213 a78 f&order = 3&TRC = 644T5】
23. CVE 细节。(未注明日期)。 Oracle 漏洞统计。从 https://www.cvedetails.com/vendor/93/Oracle.html 检索到的详细信息:T3T5】
24. CVE 细节。(未注明日期)。按“独特”漏洞总数排名前 50 的产品。从 https://www.cvedetails.com/top-50-products.php 检索到的详细信息:T3T5】
25. CVE 细节。(未注明日期)。按“独特”漏洞总数排名前 50 的产品。从 https://www.cvedetails.com/top-50-products.php 检索到的详细信息:T3T5】
26. CVE 细节。(未注明日期)。 Windows 10 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/32238/Microsoft-Windows-10 . html？vendor _ id = 26
27. CVE 细节。(未注明日期)。 Windows 7 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/17153/Microsoft-Windows-7 . html？vendor _ id = 26
28. CVE 细节。(未注明日期)。 Windows Server 2012 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/23546/Microsoft-Windows-Server-2012 . html？vendor _ id = 26
29. CVE 细节。(未注明日期)。 Windows Server 2016 漏洞详情。检索自 CVE 详情:T3】https://www . CVE Details . com/product/34965/Microsoft-Windows-Server-2016 . html？vendor _ id = 26
30. CVE 细节。(未注明日期)。 Windows XP 漏洞统计。检索自 CVE 详情:T3】https://www . CVE Details . com/product/739/Microsoft-Windows-XP . html？vendor _ id = 26
31. 马特·米勒，男(2019 年 2 月 14 日)。 BlueHat IL 2019 -马特米勒。从 YouTube 上检索到:T3【https://www.youtube.com/watch?v=PjbGojjnBZQ】T5】
32. 微软公司。(2020 年 1 月)。对 Windows 7 的支持已经结束。从微软公司检索:www . Microsoft . com/en-us/windows/windows-7-end-of-life-support-information
33. 微软公司。(未注明日期)。微软 Edge:打造更安全的浏览器。检索自微软:blogs . windows . com/msedgedev/2015/05/11/Microsoft-edge-building-a-safer-browser/# tfljzdzg 1 lorhcy 3.97
34. 微软公司。(未注明日期)。微软 Edge:通过更多开源合作让网络变得更好。检索自微软:blogs . windows . com/windows experience/2018/12/06/Microsoft-edge-making-the-web-better-through-more-open-source-collaboration/# 53 ueshz 9 btu HB 1g . 97
35. 微软。(未注明日期)。安防工程。从微软检索到:【https://www.microsoft.com/en-us/securityengineering/sdl】T3T5】
36. NIST。(未注明日期)。从国家漏洞数据库中检索:nvd.nist.gov/vuln
37. NIST。(未注明日期)。常见漏洞评分系统计算器。从国家漏洞数据库中检索到:【https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator】
38. NIST。(未注明日期)。 CVE-2018-8653 详情。从国家漏洞数据库中检索到:【https://nvd.nist.gov/vuln/detail/CVE-2018-8653】
39. NIST。(未注明日期)。漏洞度量。从国家漏洞数据库中检索到:【https://nvd.nist.gov/vuln-metrics/cvss】
40. 里贝罗河(未标明)。了解 Windows 10 的安全优势。检索自 BizTech:BizTech magazine . com/article/2016/04/understanding-security-benefits-windows-10
41. 维基百科。(未注明日期)。常见漏洞评分系统。从维基百科检索:en . Wikipedia . org/wiki/Common _ Vulnerability _ Scoring _ System
42. 维基百科。(未注明日期)。零项目。从维基百科检索:【https://en.wikipedia.org/wiki/Project_Zero】T3T5】

三、威胁格局的演变——恶意软件

我一直认为恶意软件是“攻击者自动化”的同义词。“恶意软件的提供者出于各种动机寻求破坏系统，正如我在第一章第一章第一节和 T2 中所描述的，这是一个成功的网络安全策略的要素。任何发送和接收电子邮件、网上冲浪或接受其他形式输入的系统都可能受到攻击，不管它是在雷蒙德、罗利、库比蒂诺、赫尔辛基还是其他任何地方制造的。AV-TEST Institute 是世界上首屈一指的独立反病毒测试实验室之一，位于德国，拥有世界上最大的恶意软件集合之一。(AV-Test Institute，2020)他们已经积累了超过 15 年的收藏。”每天，AV-TEST Institute 登记超过 350，000 个新的恶意程序(恶意软件)和潜在不需要的应用程序(PUA)" (AV-Test Institute，2020 年)。他们发布的统计数据表明，在 2011 年至 2019 年期间，恶意软件的总量每年都在增加，开始时检测到 6526 万个恶意软件样本，结束时检测到 10.4032 亿个恶意软件样本(增加了 16 倍)(AV-Test Institute，2020)。根据 AV-Test 在其年度安全报告中公布的数据，2016 年为 Windows 操作系统开发的恶意软件的份额为 69.96%(AV-Test Institute，2017)，2017 年为 67.07%(AV-Test Institute，2018)，2018 年为 51.08%(AV-Test Institute，2019)。

这些年恶意软件样本份额第二高的操作系统是谷歌 Android，每年报告的份额不到 7%(AV-Test Institute，2020)。2019 年 3 月，针对 Linux 操作系统检测到的新恶意软件样本数量为 41，161 个(现有最新数据)，而同期针对 Windows 的恶意软件样本数量为 6，767，397 个(相差 198%)(AV-Test Institute，2019)。本月 macOS 的恶意软件样本从上个月的 8，057 个激增至 11，461 个(AV-Test Institute，2019)。

这些数据清楚地表明恶意软件作者选择的平台是 Windows 操作系统。也就是说，与任何其他平台相比，开发了更多独特的恶意软件来攻击基于 Windows 的系统。一旦 Windows 系统遭到破坏，攻击者通常会获取软件和游戏密钥、财务信息(如信用卡号)以及其他机密信息，他们可以用这些信息来窃取身份，有时还会控制系统及其数据以获取赎金。许多攻击者会将受损系统用作平台，利用受损系统提供给他们的匿名性来实现攻击。

鉴于攻击者更多地瞄准和利用基于 Windows 的系统，而不是任何其他平台，并且鉴于 Windows 无处不在，安全专家需要了解攻击者如何以及在何处使用这些系统。ciso、有抱负的 ciso、安全团队和网络安全专家可以从了解基于 Windows 的系统如何受到攻击中受益，至少在以下几个方面:

• 负责其环境中 Windows 系统的 CISOs 和安全团队应该了解攻击者是如何用恶意软件攻击基于 Windows 的系统的，以及这种攻击是如何随着时间的推移而演变的:
  • 了解恶意软件将有助于安全团队更好地开展工作。
  • 这些知识有助于识别一些安全供应商用来销售其产品和服务的恐惧、不确定性和怀疑；了解攻击者如何使用恶意软件将有助于 CISOs 做出更好的安全相关投资和决策。
• 负责基于 Linux 的系统和其他非微软操作系统的 CISOs 和安全团队应该对他们的对手如何危害和利用 Windows 系统攻击他们有所了解。攻击者不在乎他们所攻击的技术是在雷蒙德、罗利、库比蒂诺还是东亚某大国开发的；我们可以从 Windows 生态系统中吸取经验教训，这也适用于基于 Linux 的系统和其他平台，并向它们学习。通常，恶意软件作者在 Windows 平台上使用的方法会被用来攻击其他平台，尽管通常规模较小。了解恶意软件作者的方法对于安全团队来说非常重要，不管他们保护的是什么类型的系统。不幸的是，CISOs 无法排除基于 Windows 的威胁，即使他们的环境中不使用 Windows。
• 最后，在我看来，网络安全主题专家很难使用这个绰号，如果他们幸福地不知道在线生态系统中的恶意软件趋势，这个生态系统由超过 10 亿个系统组成，支持世界上超过一半的恶意软件。无论有更多的移动设备、更多的物联网设备，还是更安全的操作系统，都无关紧要。不可否认，Windows 无处不在。随后，所有网络安全专家都应该对全球威胁格局中的最大参与者有所了解。

本章将提供一个独特的、详细的、数据驱动的视角，展示恶意软件在过去十年中是如何在全球范围内发展的，在某些情况下，我将提供更长时间的数据。在区域恶意软件遭遇率和感染率方面有一些非常有趣的差异，我也将在本章中深入探讨。这种对威胁形势的看法将有助于 CISOs 和安全团队了解他们所面临的恶意软件威胁是如何随着时间的推移而变化的。这些数据不仅非常有趣，而且有助于消除人们对恶意软件以及如何管理其带来的风险的担忧、不确定性和疑虑。

我还会给你一些指点，告诉你如何识别好的威胁情报，而不是我今天在行业经常看到的废话；在我在微软工作期间发表了数千页的威胁情报后，我有一些提示和技巧与您分享，我想您会喜欢的。

在本章中，我们将讨论以下主题:

• Windows 威胁情报的一些数据来源
• 定义恶意软件类别以及如何衡量它们的流行程度
• 全球恶意软件演变和趋势
• 中东、欧盟、东欧和俄罗斯、亚洲以及北美和南美的区域性恶意软件趋势
• 如何识别好的威胁情报

在我向你介绍我在本章中使用的数据来源之前，让我们从一个有趣的、希望有点娱乐性的故事开始。

介绍

2003 年，当我在微软面向客户的事件响应团队工作时，我们开始有规律地在受损系统上发现用户模式 rootkit，以至于我们最好的工程师之一开发了一个工具，可以发现隐藏在 Windows 中的用户模式 rootkit。用户模式 rootkit 运行起来就像普通用户运行的任何其他应用程序一样，但它隐藏自己。后来，有一天，我们接到一位微软支持工程师的电话，他正在帮助解决一位客户在 Exchange 电子邮件服务器上遇到的一个问题。问题的症状是每隔几天，服务器就会蓝屏一次。支持工程师无法找出原因，正在进行远程调试会话，试图找到导致服务器蓝屏的代码。这花了几个星期，但一旦他找到了导致蓝屏的代码，他就无法解释这是什么代码，也无法解释它是如何安装在服务器上的。这是他打电话给我们求助的时候。

当服务器蓝屏并重启时，这使我们能够从系统中查看部分内存转储。经过几天的分析，我们确定服务器受到了前所未有的威胁。系统上的设备驱动程序隐藏了自身和其他组件。我们发现了我们在野外见过的第一个内核模式 rootkit。

这是一件大事。与用户模式 rootkit 不同，开发和安装内核模式 rootkit 需要惊人的专业知识。这是因为这种类型的 rootkit 运行在操作系统最有特权的部分，很少有人真正理解。当时，尽管安全专家讨论了内核模式 rootkitss 的概念，但发现在企业生产环境中运行的服务器上安装了内核模式 rootkit，表明攻击者变得比过去更加老练。从用户模式 rootkit 升级到内核模式 rootkit 是恶意软件进化过程中的一次重大飞跃。

对我们的事件响应团队来说，这是一个行动号召。我们必须让微软的 Windows 内核开发人员知道，让 Windows 成为可信计算基础的东西——它的内核——正受到老练的恶意软件作者的直接攻击。在那之前，在野外运行的内核模式 rootkit 是虚构的。但是现在，我们有证据表明这些 rootkits 是真实的，正被用来攻击企业客户。我们安排了一次与 Windows 内核开发团队的首席开发人员、测试人员和项目经理的会议。我们聚集在一个用于培训的房间里，有一个高射投影仪，这样我们可以引导开发人员通过我们从受损服务器获得的内存转储，向他们展示 rootkit 是如何工作的。我们向他们提供了一些关于服务器的上下文，比如它在哪里运行、操作系统版本、服务包级别、服务器上运行的所有应用程序的列表等等。我们回答了许多关于我们如何调试蓝屏的来源，找到隐藏的驱动程序，并发现它如何工作的问题。

起初，Windows 内核团队完全怀疑我们发现了一个运行在 Windows 服务器上的内核模式 rootkit。但是在我们展示了所有证据并向他们展示了调试细节之后，他们逐渐接受了这是一个内核模式 rootkit 的事实。我们的团队期待着对我们所做的所有非常技术性的工作的奉承和尊重，以及我们对 Windows 内核内部的专业知识，这使我们能够做出这一发现。相反，内核开发者告诉我们，我们的工具和方法和恶意软件作者一样糟糕。他们警告我们停止使用我们的工具来寻找 rootkits，因为这些工具可能会使他们运行的 Windows 系统不稳定，除非重新启动。最后，他们提出不做任何事情来加固内核，以防止将来发生这样的攻击。对我们来说，这是一次令人失望的会议，但你不可能赢得所有人！

在 2003 年和 2004 年大规模蠕虫攻击成功后，这种论调发生了变化。整个 Windows 团队停止了他们在后来成为 Windows Vista 的开发工作。相反，他们致力于提高 Windows XP 和 Server 2003 的安全性，发布了 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1。甚至有人谈到了代号为 Palladium 的新版本 Windows，它有一个安全内核来帮助减少像我们发现的这种 rootkits，但它从未实现过(维基百科，未注明日期)。最终，我们在检测内核模式 rootkits 方面的工作确实有助于推动积极的变化，因为未来的 64 位版本 Windows 不允许安装内核模式驱动程序，就像我们发现的那样，除非它们有有效的数字签名。

在我在微软职业生涯的后期，我有机会与微软反恶意软件研究和响应实验室的世界级恶意软件研究人员和分析师一起工作，他们保护了 10 亿个系统免受数百万个新恶意软件的威胁。像我们 4、5 年前发现的内核模式 rootkit 这样的恶意软件现在已经成了商品。攻击者利用大规模自动化和服务器端多态性，每周创建数百万个独特的恶意软件。为了赢得这场战争，反病毒行业将不得不拥有比大型商用恶意软件供应商更大、更好的自动化，这已被证明是难以完成的。

为什么与其他平台相比，Windows 上的恶意软件如此之多？

如今，连接互联网的移动设备肯定比基于 Windows 的系统多。随着苹果、谷歌、三星和其他公司将非常受欢迎的产品推向全球市场，移动设备的采用呈爆炸式增长。但是如果有更多的移动设备，难道不应该有更多的为这些平台开发的恶意软件吗？

这个问题的答案在于应用程序如何在这些生态系统中分布。苹果的应用商店改变了行业的游戏规则。它不仅让 iPhone 用户轻松找到并安装应用程序，而且几乎完全消除了基于 iOS 设备的恶意软件。

苹果之所以能够做到这一点，是因为它让 App Store 成为消费者唯一可以安装应用程序的地方(越狱除外)。独立软件供应商(ISV)想要把他们的应用程序下载到消费者基于 iOS 的设备上，比如 iPhones 和 iPads，需要把他们的应用程序下载到苹果的应用程序商店。要做到这一点，这些应用程序需要满足苹果的安全要求，他们在幕后验证这些要求。这使得 App Store 成为阻止恶意软件进入苹果设备的完美瓶颈。

相比之下，微软的 Windows 是在更幼稚的时代开发的，当时没有人能够预测到，有一天，Windows 生态系统中的恶意文件会比合法文件更多。对开发者来说，Windows 的一大优势是他们可以为 Windows 开发软件，并直接销售给消费者和企业。几十年来，这种模式一直是个人电脑的主要软件分发模式。由于软件可以被安装而不考虑其出处，并且确定其可信度的能力有限，恶意软件在这个生态系统中盛行并继续如此。几十年来，微软采取了许多措施来对抗这种软件分发模式的“副作用”,但收效甚微。

一些人会认为 Android 生态系统已经在这两个极端之间结束了。谷歌也有一个应用商店，叫做 Google Play。谷歌也已经采取措施，尽量减少这个应用商店中的恶意软件。然而，基于 Android 设备的第三方应用商店并没有都保持谷歌的高安全标准，从而允许这些设备的恶意软件进入生态系统。但是，正如我前面提到的，在基于 Android 的设备上检测到的恶意软件样本数量比基于 Windows 的设备少很多倍。

软件分发模式的这些差异，至少部分地，有助于解释为什么为 Windows 开发的恶意软件比其他平台多得多。网络安全专业人员可以从他们自己的 IT 环境中吸取一些经验教训。控制软件引入企业 it 环境的方式也有助于最大限度地减少 IT 中的恶意软件数量。这是利用持续集成 ( CI )/ 持续部署 ( CD )管道的一个优势。CI/CD 管道可以帮助企业构建自己的应用商店，并限制软件引入其环境的方式。

既然我们已经简要讨论了软件分发模型如何影响恶意软件的分发，那么让我们深入探讨恶意软件。安全团队可以从研究为 Windows 操作系统开发的恶意软件中学到很多东西，即使他们自己不使用 Windows。恶意软件作者在 Windows 上采用的方法可以并且已经被用于针对包括 Linux 在内的许多不同平台开发的恶意软件。研究恶意软件在最大的恶意软件生态系统中是如何工作的，可以帮助我们在几乎所有其他地方防范它。但是，在我深入研究恶意软件趋势数据之前，了解我将向您展示的数据的来源是很重要的。威胁情报的好坏取决于它的来源，所以让我们从这里开始。

数据来源

本章数据的主要来源是微软安全情报报告(微软公司，未注明)。在我与 微软恶意软件保护中心(MMPC)的研究人员和分析师一起工作期间，我是微软安全情报报告 的执行编辑和撰稿人，我们称之为在我帮助制作《先生》的 8、9 年间，我们出版了超过 20 册和特别版的这份报告，篇幅长达数千页。我为世界各地的客户提供了数千次威胁情报简报，以及媒体和分析师采访。这些报告的每一页我都读了一遍又一遍，我非常了解这些数据的来龙去脉。

*这些报告中的数据来自微软的反恶意软件产品，包括恶意软件删除工具、微软安全扫描程序、微软安全基础软件、微软系统中心端点保护、Windows Defender、Windows Defender 高级威胁保护、Windows Defender 脱机版、Azure 安全中心和微软网络浏览器内置的 SmartScreen 过滤器。为本报告提供有价值数据的其他非安全产品和服务包括 Exchange Online、Office 365 和 Bing。让我更详细地解释一下这组折衷的数据源如何帮助描绘一幅全面的威胁图景。

恶意软件清除工具

恶意软件移除工具 ( MSRT )是一个有趣的工具，提供有价值的数据(微软公司，未标明)。在 Blaster 蠕虫攻击之后(有变种)(微软公司，未注明)，2003 年夏天，微软开发了一个免费的“Blaster 删除工具”，旨在帮助客户检测和删除 Blaster 蠕虫及其变种(莱登)。请记住，在这个时候，很少有系统运行最新的，实时防病毒软件。爆破工移除工具是免费的。随着数千万个系统运行这个工具，它产生了巨大的影响。由于该工具的成功以及历史上随之而来的持续不断的恶意软件攻击，如 Sasser、MyDoom 等，以及很少有系统运行防病毒软件的事实，微软决定每月发布一款“恶意软件删除工具”。MSRT 诞生了。

它旨在检测受感染的系统，并从整个 Windows 生态系统中清除最流行或最严重的恶意软件威胁。微软的反恶意软件实验室决定每月向 MSRT 添加什么新的检测。它检测到的所有恶意软件的列表公布在微软的网站上(微软公司)。在 2005 年 1 月至 2019 年 10 月期间，MSRT 的检测中增加了 337 个恶意软件家族。请记住，已知的恶意软件家族即使没有几百万，也至少有几十万，所以这只是实时反恶意软件软件包检测到的全部恶意软件中很小的一部分。MSRT 每月(或多或少)都会在每月的第二个星期二“补丁星期二”发布安全更新。它会自动从 Windows Update 或 Microsoft Update 下载到世界上所有选择运行它的 Windows 系统上。当我在 SIR 中发布 MSRT 的数据时，MSRT 平均每月在数亿个系统上运行。

一旦 EULA 被认可，MSRT 将在没有用户界面的情况下静默运行，因为它是一个命令行工具。如果它没有发现任何恶意软件感染，它会停止执行，并从内存中卸载。在这种情况下，不会向 Microsoft 发回任何数据。但是，如果 MSRT 检测到恶意软件，它会尝试从系统中删除恶意软件，并向用户和微软报告感染情况。在这种情况下，数据被发送回 Microsoft。

微软发布了 MSRT 发回进行分析的数据字段的特定列表，包括检测到恶意软件的 Windows 版本、操作系统区域设置以及从系统中删除的恶意文件的 MD5 哈希等(微软公司，未注明日期)。管理员可以下载 MSRT 并手动运行它；MSRT 也可以配置为不将数据发送回 Microsoft。我接触过的大多数运行 MSRT 的企业通常会用防火墙拦截发送给微软的数据。随后，我有根据的猜测是，向微软返回 MSRT 数据的数亿个系统中，95%或更多可能是消费者的系统。

MSRT 提供了一个很好的恶意软件暴露后快照，它列出了感染全球消费者系统的已知、流行的恶意软件。当微软的反恶意软件实验室在 MSRT 中增加了对一种非常普遍的威胁的检测时，我们应该会看到数据中该恶意软件家族的检测数量激增。正如你将在数据中看到的，这种情况时有发生。请记住，在将检测添加到 MSRT 之前，受感染的系统可能已经感染了数周、数月或数年。由于 MSRT 在世界各地的系统上运行，它返回受感染系统的 Windows 区域设置和国家位置，这为我们提供了一种查看恶意软件感染的区域差异的方法。我将在本章后面详细讨论这一点。

实时反恶意软件工具

与 MSRT 不同，它会清理已经成功感染流行恶意软件的基于 Windows 的系统，实时反恶意软件的主要目的是阻止恶意软件的安装。它通过扫描传入的文件、监控系统是否有明显的感染迹象、在文件被访问时扫描文件以及定期扫描存储来做到这一点。当最初安装实时反恶意软件包时，实时反恶意软件还可以发现系统上预先存在的感染。实时反恶意软件通常会定期(每天、每周、每月等等)获取签名和引擎更新。这有助于 it 部门阻止新出现的威胁，以及以前不知道存在的威胁。

例如，如果添加了对恶意软件威胁的检测，但是该恶意软件威胁已经成功感染了运行实时反恶意软件软件的系统，则该更新使得反恶意软件软件能够检测并有希望移除现有的感染。

我的观点是，与 MSRT 相比，来自实时反恶意软件的数据为我们提供了一个不同的威胁前景视图。Microsoft Security Essentials、Microsoft System Center Endpoint Protection、Windows Defender 和 Windows Defender Advanced Threat Protection 都是作为数据源的实时反恶意软件的示例。Windows Defender 是基于 Windows 10 的系统的默认反恶意软件包，现在在世界上一半以上的个人电脑上运行(Keizer，Windows by the numbers:Windows 10 resumes March to endless dominance)。这意味着 Windows Defender 可能在全球数以亿计的系统上运行，使其成为威胁情报数据的重要来源。

在我所做的一些威胁情报简报中，一些与会者断言这种方法只能提供微软所知的恶意软件的视图。但这并不完全正确。主要的反恶意软件供应商相互共享信息，包括恶意软件样本。因此，虽然第一个发现威胁的反恶意软件实验室将在其他任何人之前检测到该威胁，但随着时间的推移，所有反恶意软件供应商都将检测到该威胁。微软管理着几个安全信息共享计划，目标是帮助所有厂商更好地保护他们共享的客户(微软公司，2019)。

虽然 Internet Explorer 和微软的 Edge web 浏览器没有其他一些可用的 web 浏览器那样大的市场份额，但这些浏览器内置的 SmartScreen 过滤器让我们可以查看 web 上托管的恶意软件(微软公司)。SmartScreen 就像是浏览器的反恶意软件。当用户浏览网页时，SmartScreen 会警告他们试图访问的已知恶意网站，并扫描下载到浏览器中的文件以查找恶意软件。托管恶意软件的站点上的数据以及恶意文件本身可以让我们了解网络上托管的最常见威胁，以及世界上托管威胁最多的地方和受害者所在的地区。

非安全数据源

数据来源，如电子邮件服务和互联网搜索服务，可以为威胁情报提供额外的维度。例如，来自 Office 365 和 Outlook.com 的数据提供了通过电子邮件流动的威胁的可见性，包括这些威胁的来源和目的地及其数量。微软从 Office 365 获得的数据量令人难以置信，每个月都有来自世界各地客户的数千亿封电子邮件流经它(微软公司，2018)。

微软的互联网搜索引擎服务 Bing 也是威胁情报数据的丰富来源。Bing 为数十亿个网页建立了索引，以便其用户能够快速获得相关的搜索结果，同时它也在寻找路过式下载网站、恶意软件托管网站和钓鱼网站。这些数据可以帮助我们更好地了解恶意软件被托管在世界上的什么地方，它随着时间的推移移动到什么地方，以及受害者在哪里。

当来自一些选定的非安全数据源的数据与来自我之前讨论过的一些安全数据源的数据相结合时，我们可以对威胁形势有一个更全面的了解。Office 365 和 Outlook.com 接收来自各种非微软客户端和电子邮件服务器的电子邮件，Bing 对所有类型平台上的内容进行索引。当然，这些数据的组合并不能给我们提供完美的可视性，但是这些数据源的规模给了我们很好的洞察力的潜力。

既然您已经知道我是从哪里获取恶意软件相关数据的，那么让我们快速了解一下数据和分析中包含的不同类别的恶意软件。

关于恶意软件

在我们深入研究威胁数据之前，我需要为您提供一些我将在本章剩余部分使用的术语的定义。

恶意软件，也称为恶意软件，是作者意图恶意的软件。恶意软件的开发者试图阻碍数据和/或处理、传输和存储数据的系统的机密性、完整性和/或可访问性。

正如我在第一章、成功网络安全策略的要素中所讨论的，恶意软件作者可能受到许多不同因素的驱使，包括傲慢、恶名、军事间谍、经济间谍和黑客行动主义。

如今，大多数恶意软件家族都是混合型威胁。我这么说的意思是，许多年前，威胁是分散的，它们要么是蠕虫，要么是后门，但不会同时是两者。如今，大多数恶意软件都具有多种恶意软件类别的特征。反恶意软件实验室中对恶意软件样本进行逆向工程的分析师通常按照每个样本的主要或最显著的行为方式对恶意软件进行分类。

例如，一个恶意软件可能表现出蠕虫、木马和勒索软件的特征。分析师可能会将其归类为勒索软件，因为这是其主要行为或特征。这些年来，威胁的数量急剧增加。主要反恶意软件实验室的恶意软件研究人员通常没有时间花数周或数月来研究一个恶意软件威胁，而 20 年前他们可能会这样做。但是，我见过 CERTs 或小型研究实验室的分析师针对客户环境中发现的特定复杂威胁这样做。保护大量系统免受日益增长的严重威胁意味着一些主要的反病毒实验室花费更少的时间来研究和发布他们发现的每个威胁的详细结果。此外，大多数企业客户更感兴趣的是阻止感染或尽快从感染中恢复并继续开展业务，而不是深入了解当前恶意软件的内部工作原理。

一般来说，恶意软件的研究和应对现在更多的是自动化和科学，而不是曾经的艺术。不要误会我；如果您能够了解一个恶意软件是如何传播的，以及它的有效载荷是什么，那么您就可以更有效地减轻它。但是，今天看到的威胁的数量和复杂性将挑战任何组织以任何规模做到这一点。相反，安全团队通常必须花费时间和资源来缓解尽可能多的恶意软件威胁，而不仅仅是一个流行的类别或家族。正如您将从我在本章提供的数据中看到的，一些攻击者甚至使用老式的文件感染程序(病毒)。

恶意软件感染如何传播

恶意软件不是魔法。它必须以某种方式进入 It 环境。希望你能记住网络安全的常见疑点，也就是组织最初被攻破的五种方式，我在第一章、成功的网络安全策略的要素中详细讨论过。提醒您一下，网络安全通常有以下嫌疑:

• 未修补的漏洞
• 安全错误配置
• 脆弱、泄露和被盗的凭据
• 社会工程
• 内部威胁

恶意软件威胁可以使用所有网络安全常见的可疑手段来危害系统。一些恶意软件最初用于危害系统，以便威胁参与者实现他们的目标。一些恶意软件在 IT 环境中使用，在环境已经被破坏之后。例如，在攻击者使用一个或多个网络安全常见嫌疑人最初危及网络安全后，他们可以使用恶意软件来加密敏感数据和/或找到缓存的管理员凭据，并将它们上传到远程服务器。一些恶意软件非常复杂，可用于最初的危害和危害后的目标。正如我前面提到的，我一直认为恶意软件是“攻击者自动化”的同义词。“恶意软件不是攻击者手动键入命令或运行脚本，而是一种为攻击者自动或半自动执行非法活动的程序。恶意软件帮助攻击者实现他们的目标，无论他们的目标是破坏和无政府状态，还是经济间谍活动。

我将在本章讨论的恶意软件类别包括木马、后门木马、木马下载程序和下载程序、浏览器修改器、漏洞利用、漏洞利用工具包、潜在有害软件、勒索软件、病毒和蠕虫。微软为这些类别的恶意软件和其他软件提供了定义。您最喜欢的反恶意软件提供商或威胁情报提供商可能有不同的定义。这完全没问题，但是请记住，定义之间可能会有一些细微的差别。我将为您提供我自己的、不太正式的定义，以使本章更容易阅读和理解。

特洛伊人

我将从木马开始，因为在过去的十年里，在世界范围内，它们是最流行的恶意软件种类。木马依靠社会工程获得成功。它是一个程序或文件，当它实际上是另一个东西时，它将自己表示为一个东西，就像它所基于的木马隐喻一样。用户被诱骗下载并打开或运行它。木马不像蠕虫那样利用未打补丁的漏洞或弱密码传播自己；他们必须依靠社会工程。

后门木马就是这种病毒的变种。一旦用户被诱骗运行恶意程序(脚本和宏也可能是恶意的)，后门木马就会让攻击者远程访问受感染的系统。一旦他们拥有远程访问权限，他们就有可能窃取身份和数据，窃取软件和游戏密钥，安装软件和他们选择的更多恶意软件，将受感染的系统加入僵尸网络，以便他们可以为攻击者做“项目工作”，等等。项目工作可能包括敲诈、分布式拒绝服务 ( DDoS )攻击、存储和分发非法和有问题的内容，或者攻击者愿意交易或出售其受威胁系统网络的任何东西。

木马下载者和下载者是这个主题的另一个变种。一旦用户被诱骗运行恶意程序，木马就会从自身解包更多恶意软件，或者从远程服务器下载更多恶意软件。结果通常是一样的——恶意奴役和收获系统的一切价值。木马下载程序和下载程序在 2006 年和 2007 年风靡一时，但自那以后在有限的时间内戏剧性地出现了。木马下载器和下载器的一个很好的例子是臭名昭著的被称为 Zlob 的威胁。当用户访问含有他们想要观看的视频内容的恶意网站时，他们被诱骗在自己的系统上安装了该软件。当他们点击视频文件观看时，网站告诉他们没有安装正确的视频编解码器来观看视频。有益的是，该网站提供了视频编解码器供下载，以便用户可以观看视频。用户实际上是在下载和安装 Zlob(微软公司，2009)。一旦安装完毕，它就会让用户看到免费“安全软件”的弹出广告，帮助他们保护自己的系统。点击广告下载并安装安全软件的用户让攻击者越来越多地控制他们的系统。

可能不需要的软件

当我在讨论使用社会工程的威胁时，另一种几乎无处不在的威胁类别被称为潜在有害软件，也被称为潜在有害应用、潜在有害程序以及其他一些。为什么这个品类有那么多看似不起眼的名字？这是律师发明的一类威胁。这不一定是坏事，这确实是一个有趣的威胁类别。恶意软件研究中有一些灰色阴影，这个类别暴露了这一点。

让我给你一个潜在不需要的软件的假想例子，它不是基于任何真实世界的公司或组织。如果一家合法公司向消费者提供免费游戏，以换取对他们互联网浏览习惯的监控，从而使他们能够更准确地成为在线广告的目标，会发生什么？我想我认识的大多数人会认为这很恐怖，不会放弃自己的隐私来换取免费游戏。但是，如果这种隐私交换只是列在免费游戏的最终用户许可协议(【EULA】)中，在那里很少有人会阅读它，有多少人会简单地下载免费游戏并玩它呢？在这种情况下，假设免费游戏最终成为反恶意软件公司威胁收集中的恶意软件样本。反恶意软件实验室的分析师可能会认为游戏公司对游戏用户不够透明，并将游戏归类为木马。反恶意软件公司随后将更新其反恶意软件产品的签名以检测这一新威胁。反恶意软件公司的反恶意软件解决方案将检测并从运行该游戏的每个系统中删除该游戏。反恶意软件公司是否通过移除游戏及其追踪互联网浏览习惯的能力来帮助其客户？或者，它是否通过将合法公司的产品视为恶意软件并在未经许可的情况下将其从客户的系统中删除而损害了该公司的业务？

反恶意软件行业得出的答案是将其称为“潜在不需要的软件”(或类似的名称)，在检测到它时为用户标记它，并要求用户明确同意或不同意删除它。这样，游戏公司的客户决定他们是否要删除游戏公司的产品，而不是反恶意软件公司。这有助于减轻反恶意软件行业因潜在不需要的软件而面临的可预测的损害索赔和诉讼。

今天，我在这里描述的例子的许多变体在互联网上提供，并且安装在世界各地的系统上。其中一些是拥有合法业务的合法公司，而另一些是伪装成拥有合法产品的合法公司的威胁行为者。这种威胁类别的一些家族开始时是合法的程序，但后来当他们的供应链受到损害或者他们的运营商变得恶意时，他们就变得恶意。这一类别的其他示例包括假冒的防病毒软件、假冒的浏览器保护软件、包含一堆不同软件产品和组件的软件包等等。多年来，我的建议和口头禅一直是，如果你不信任写软件的人，就不要相信软件。在本章的威胁数据中，您会看到可能不需要的软件突出显示。

漏洞和漏洞工具包

接下来，让我们看看漏洞利用和漏洞利用工具包。第二章，利用漏洞趋势降低风险和成本，致力于漏洞的主题。记住漏洞可能允许攻击者损害硬件或软件的机密性、完整性或可用性。漏洞是利用漏洞的恶意软件。你可能还记得我在第二章中对漏洞的讨论，不是所有的漏洞都是一样的。有些漏洞如果被利用，对系统的潜在影响会比其他漏洞更大。攻击者非常热衷于利用关键级别的漏洞。这是因为它们给了攻击者最好的机会来完全控制易受攻击的系统并运行他们选择的任意代码。任意代码可以做它在其中运行的用户上下文可以做的任何事情。例如，它可以从互联网上的服务器下载更多的恶意软件，使攻击者能够远程控制系统，窃取身份和数据，将系统加入僵尸网络，等等。

web 浏览器、操作系统和文件解析器中的漏洞的工作利用(针对文件格式，如。pdf，。医生。xlsx 等等)可以值很多钱，因为这些产品无处不在。随后，一个复杂的市场在过去二十年中围绕着开采的供给和需求发展起来。根据微软的研究，攻击中使用的一些漏洞的例子包括 CVE-2017-0149 和 CVE-2017-0005(微软公司，2017 年)。

利用必须交付给他们的目标。它们可以通过几种不同的方式来实现，其中一些依赖于社会工程来获得成功。例如，攻击者可能通过开发畸形的。pdf 文件，旨在利用 Adobe Reader 或 Microsoft Word 等解析器中的特定未修补漏洞。

当受害者打开。pdf 文件，其解析器没有针对攻击者正在使用的漏洞进行修补，如果没有其他缓解措施，则该漏洞会在系统上被利用，可能会运行攻击者选择的任意代码。但是攻击者如何让受害者运行这个漏洞呢？一种方法是社会工程。畸形的。pdf 文件可以通过电子邮件发送给受害者，发送者伪装成受害者的同事或朋友。由于受害者信任他们的同事或朋友，他们打开电子邮件附件，漏洞就被执行了。漏洞可以在网页上作为受害者的下载，通过社交网络发送，并在 USB 驱动器和其他移动介质上分发。

漏洞工具包是一个漏洞库，带有一些管理软件，使攻击者更容易管理利用漏洞的攻击。套件的漏洞库可以包含任意数量产品的任意数量的漏洞。漏洞利用工具包还可能为攻击者提供网页，使其能够轻松地将漏洞库中的漏洞传递给受害者。该工具包中内置的某种级别的管理软件有助于攻击者了解哪些攻击成功利用了受害者系统上的漏洞，哪些没有。这有助于攻击者更好地决定利用哪些漏洞以及在哪里最大化他们的投资回报。这种管理软件还可以帮助攻击者识别和替换他们网页上不再有效的漏洞。漏洞利用工具包的例子包括 Angler(也称为 Axpergle)、Neutrino 和臭名昭著的黑洞漏洞利用工具包。这种方法支撑了一种新的商业模式，并且催生了一个新词，恶意软件即服务 ( MaaS )。

沃尔姆斯

另一种已知利用未打补丁的漏洞的威胁类别是蠕虫。蠕虫提供了自己的传送机制，因此可以自动在系统间传播。蠕虫可以利用未打补丁的漏洞、安全错误配置、弱密码和社会工程在系统间传播。Conficker 是蠕虫的一个很好的例子。这种蠕虫至少有几个变种。它利用未打补丁的漏洞，如 MS08-067，弱密码的硬编码列表，以及自动运行功能滥用(Windows 中的一个功能)，从 Windows 系统传播到 Windows 系统(Rains，Defending Against Autorun Attacks，2011)。它可以通过 USB 驱动器等可移动驱动器传播，也可以通过网络传播。成功的蠕虫一旦进入环境，就很难从 IT 环境中逃脱。这是因为它们可以“隐藏”在在线和离线存储介质和操作系统映像中。

其他成功蠕虫的例子包括 SQL Slammer 和 Microsoft Blaster，它们都利用未打补丁的漏洞像野火一样在世界各地传播。也有像 MyDoom 这样的蠕虫通过电子邮件传播。有趣的是，当一封名为 MyDoom 的电子邮件附件到达收件箱时，数百万人愿意双击它。打开这个附件，蠕虫就会向用户联系人列表中的所有电子邮件地址发送自己的副本。蠕虫不是来自遥远过去的威胁。自从 Conficker 时代(2007 年时间框架)以来，Windows 中就有一些蠕虫漏洞，可以通过 Windows 防火墙中的默认例外来访问。在所有这些情况下，微软能够足够快地修补互联网上的数亿个系统，从而避免了大规模的蠕虫攻击。但对于一个如此依赖科技的世界来说，这是最危险的情景。

让我根据以往成功的全球蠕虫攻击，为您描绘一幅最坏的蠕虫场景图。攻击者在 Windows 服务中发现了一个新的零日漏洞。这项服务默认运行在世界上绝大多数的 Windows 系统上。

易受攻击的服务使用众所周知的 TCP 端口来侦听网络上的连接尝试。每个系统上的 Windows 防火墙中都有一个默认规则，允许网络直接连接到易受攻击的服务。攻击者设计了一种能够利用这种零日漏洞的蠕虫，并将其发布到互联网上。

在 Microsoft 意识到该漏洞之前，在有安全更新修补该漏洞之前，该蠕虫利用该漏洞进行传播。由于 Windows 防火墙中的默认规则允许蠕虫直接与易受攻击的服务正在侦听的 TCP 端口对话，因此几乎没有任何东西可以阻止蠕虫在每个运行 Windows 的用户系统上利用漏洞，这些用户系统直接连接到互联网并且没有额外的防火墙保护它。受专业管理的企业防火墙保护的易受攻击的 Windows 系统并不安全，因为受感染的笔记本电脑通过 DirectAccess、VPN 或无线网络连接时会将蠕虫病毒引入企业 IT 环境(微软公司，未注明日期)。这种蠕虫在几分钟内就能在全球范围内从一个系统传播到另一个系统。

公共互联网和大多数私有网络将会中断，变得无法使用。首先，当蠕虫试图一次又一次地从一个系统传播到另一个系统时，它所产生的网络流量会极大地破坏互联网上的合法网络流量，以及它所进入的私有网络。在一个系统被感染后，蠕虫会试图感染所有与它有网络连接的系统。在受感染系统可以到达的每个系统上，它只是试图通过它正在侦听的 TCP 端口连接到易受攻击的服务。数以亿计的系统同时这样做会扰乱全球互联网和私人网络。当蠕虫利用未修补的漏洞时，它会导致目标系统不稳定，导致“蓝屏死亡”、内存转储和系统重启。这加剧了问题的严重性，因为对不断重启的系统进行消毒和修补变得更加困难。

所有系统重新启动会产生更多的网络流量。当每个系统重新启动时，它们生成地址解析协议 ( ARP )流量，并向它们的 DHCP 服务器请求 IP 地址。当带有 DHCP 服务器的网段被对 IP 地址的请求弄得饱和时，DHCP 服务器就不能给重启系统提供 IP 地址。随后，重新引导系统开始使用通常不可路由的自动私有 IP 地址(169.254.x.x)。随后，在某些情况下，用于修补这些系统、更新反恶意软件签名或为其部署可能的缓解措施或解决方法的管理软件将无法再访问这些系统。

这种攻击可能造成的破坏不应该被低估。美国政府确定了 16 个关键基础设施部门。这些部门被认为是至关重要的，因为如果它们的网络或系统被破坏，将对国家的安全、经济、公共健康和安全产生可怕的后果。这些部门包括化学部门、商业设施部门、通信部门、关键制造部门、水坝部门、国防工业基地部门、应急服务部门、能源部门、金融服务部门、食品和农业部门、政府设施部门、医疗保健和公共卫生部门、信息技术部门、核反应堆、材料和废物部门、运输系统部门以及水和废水系统部门(美国国土安全部，n.d .)。

当蠕虫利用这些部门中易受攻击系统的零日漏洞时，经济、能源、水、通信、交通、医院和社会的许多其他关键功能都会被中断，并可能离线。如果攻击者在蠕虫中包含恶意负载，如加密数据或破坏存储介质，在大多数情况下，恢复将会非常缓慢。从这种攻击中恢复需要大量的手动干预，因为管理软件工具和自动化系统会被中断，它们所连接的网络也会被中断。如果受感染系统上的底层存储介质也不得不被替换，这种攻击造成的损害将持续数年。

当然，我已经描绘了最坏的情况。这种蠕虫攻击实际发生的可能性有多大？仅在 2019 年，Windows 操作系统就出现了三个可蠕虫攻击的漏洞。2019 年 5 月 14 日，微软宣布 Windows 远程桌面服务中存在一个严重评级的漏洞(CVE-2019-0708)，该漏洞可被蠕虫攻击(NIST，北达科他州)。在他们的公告中，微软安全响应中心(MSRC)写道:

“此漏洞是预认证的，不需要用户交互。换句话说，该漏洞是“可蠕虫化的”，这意味着任何未来利用该漏洞的恶意软件都可能以类似于 2017 年 WannaCry 恶意软件在全球传播的方式在易受攻击的计算机之间传播。虽然我们没有观察到利用此漏洞的行为，但恶意行为者很有可能会针对此漏洞编写一个利用程序，并将其整合到他们的恶意软件中。”

—(微软公司，未注明日期)

CVE-2019-0708，所谓的 BlueKeep 漏洞，应用于 Windows 7、Windows Server 2008、Windows Server 2008 R2；2019 年，三分之一的 Windows 系统仍在运行 Windows 7(Keizer，Windows by the numbers:Windows 10 resumes March to endless dominance，2020)。这一漏洞非常严重，以至于微软发布了针对旧的、不受支持的操作系统(如 Windows XP 和 Windows Server 2003)的安全更新。他们这样做是为了保护大量从未从现已停止支持的旧操作系统升级的系统。保护这些不再定期获得安全更新的旧系统免受极有可能的蠕虫攻击，会在互联网上留下更少的“燃料”供蠕虫用来攻击受支持的系统。大量缺乏针对严重漏洞的安全更新的系统会导致灾难，因为它们在受到攻击后会被用于各种攻击，包括 DDoS 攻击。

随后在 2019 年 8 月 13 日，微软宣布又存在两个可蠕虫化的漏洞(CVE-2019-1181 和 CVE-2019-1182)。更多的 Windows 版本包含这些漏洞，包括 Windows 7、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows 8.1 和 Windows 10 的所有版本(包括服务器版本)。在公告中，MSRC 写道:

“尽快修补受影响的系统非常重要，因为像这样的蠕虫漏洞会带来更高的风险……”

—(微软公司，2019 年)

在 2019 年的这三个案例中，微软都能够在潜在攻击者发现它们并实现蠕虫攻击之前找到并修复这些关键的、可被蠕虫攻击的漏洞，这些攻击可能会产生像我在这里描述的严重影响。

勒索软件

另一类具有潜在破坏性后果的恶意软件是勒索软件。一旦勒索软件使用一个或多个网络安全常见嫌疑人进入系统，它就会加密数据和/或将用户锁定在系统桌面之外。锁定的桌面可以显示要求支付赎金的消息以及如何支付赎金的说明。成功的勒索软件攻击已经成为世界各地的头条新闻。勒索软件家族的例子包括 Reveton(微软公司，n.d .)和 Petya(微软公司，n.d .)。使用勒索软件的攻击者厚颜无耻地试图勒索各种组织，包括医院和各级政府。

尽管勒索软件成为头条新闻，但正如您将从本章的数据中看到的，从全球角度来看，它实际上是最不普遍的威胁类别之一。即使是老式的病毒通常也比勒索软件更普遍。但是要记住，风险是由概率和影响组成的。勒索软件成为高风险威胁的原因不是遇到它的概率；是遇到的时候的冲击力。如果没有解密密钥，被利用适当实现的强加密的勒索软件加密的数据将永远消失。随后，许多组织决定支付赎金，但不保证他们能够恢复所有数据。花费时间和资源来实现勒索软件缓解策略是一项不错的投资。对所有高价值资产的数据集进行离线备份是一个很好的起点。备份是使用勒索软件的攻击者的目标。因此，保持备份离线是一种有效且必要的做法。

此外，请记住没有什么是一成不变的，勒索软件也在不断发展。没有什么可以阻止更普遍和更成功的威胁的作者将勒索软件策略作为其恶意软件的有效载荷。多年来，勒索软件一直被用于有针对性的攻击。控制勒索软件策略使用的一个因素是攻击者的犯罪程度；在互联网上开发和匿名发布扰乱个人和组织的恶意软件是一回事，但持有资产以换取赎金并收取赎金是另一回事，通常是由不同类型的犯罪分子实现的。无论如何，组织都需要针对这种威胁制定缓解策略。

病毒

前面我提到了病毒。病毒已经存在了几十年。他们通常是自我复制的文件感染源。病毒在系统间不经意复制时会传播。因为它们会感染系统上的文件和/或主引导记录(MBR ),有时会不分青红皂白地感染，所以它们可能是非常“嘈杂”的威胁，很容易检测到，但很难消除。在过去的十年中，病毒似乎又随着一些攻击者重新流行起来。开发病毒的现代攻击者通常不会像他们几十年前的前辈那样只感染文件；他们可能更有想象力和恶意。请记住，大多数威胁都是混合的。众所周知，现代病毒会在感染系统后下载其他恶意软件，禁用反恶意软件软件，窃取缓存凭据，打开计算机上的麦克风和/或摄像机，收集音频和视频数据，为攻击者打开后门，并将窃取的数据发送到远程服务器供攻击者获取。病毒远没有木马或潜在的不需要的软件普遍，但似乎总是有一些检测量。已经存在多年的病毒家族的一个很好的例子是 Sality(微软公司)。

浏览器修饰符

我将在这里讨论的最后一个威胁类别是浏览器修饰符。这些威胁旨在未经用户许可修改浏览器设置。一些浏览器修改者还会在未经许可的情况下安装浏览器插件，更改默认搜索提供商，修改搜索结果，注入广告，更改主页和弹出窗口拦截器设置。

浏览器修改器通常依靠社会工程来安装。浏览器修改器的动机通常是利润；攻击者利用它们来实现点击欺诈。但像所有威胁一样，它们可以与其他类别混合，并为攻击者提供后门访问和下载命令和控制功能。

衡量恶意软件流行程度

在下一节中，我将讨论恶意软件感染在过去十年中是如何演变的。在此之前，我将解释测量恶意软件流行程度的两种方法。第一个叫做千分之三 ( CCM )(微软公司，未注明)。术语“每千分之一”在拉丁语中是“千分之一”的意思我们在微软使用这种方法来衡量 MSRT 扫描的每 1，000 个系统中有多少 Windows 系统感染了恶意软件。你会记得，当 MSRT 在每个月的第二个星期二发布微软产品安全更新时，它运行在数以亿计的系统上。

CCM 的计算方法是将一个国家中发现被 MSRT 病毒感染的系统数量除以该国执行的 MSRT 死刑总数。然后，乘以 1000。例如，假设 MSRT 在扫描 10 万个系统后发现 600 个系统感染了恶意软件；CCM 将是(600/100，000)*1，000 = 6(微软公司，2016)。

CCM 很有帮助，因为它允许我们通过消除 Windows 安装基础偏差来比较不同国家的恶意软件感染率。例如，公平地说，在美国运行的 Windows 系统比西班牙多。西班牙是一个比美国人口少的小国。如果我们将美国发现的受感染系统的原始数量与西班牙受感染系统的原始数量进行比较，美国受感染的数量可能会比西班牙多很多倍。事实上，CCM 揭示，在许多时期，西班牙每 1000 次扫描中被感染的系统数量远高于美国。

在系统感染恶意软件之前，它必须首先遇到它。一旦系统遇到恶意软件，恶意软件将使用一个或多个网络安全常见的嫌疑人来试图感染系统。如果恶意软件成功感染了系统，则 MSRT 会在系统上运行，检测感染并清理系统。这将反映在 CCM 中。

恶意软件遭遇率 ( 呃)是你需要了解的第二个定义，以便理解我将要与你分享的数据。微软将 ER 定义为:

在一段时间内，运行 Microsoft 实时安全软件并报告检测到恶意软件或可能不需要的软件，或者报告检测到特定威胁或家族的计算机的百分比

—(微软公司，2016 年)

换句话说，在我在本章前面描述的运行微软实时反恶意软件的系统中，er 是阻止安装恶意软件或清除恶意软件感染的系统的百分比。

我将使用这两种方法向您展示威胁形势如何随着时间的推移而变化。使用这些数据的唯一缺点是，微软没有公布每个时间段的这两个指标。例如，他们公布了 2008 年至 2016 年的 CCM 数据，然后停止公布 CCM 数据。他们在 2013 年开始发布 ER 数据，并在 2019 年继续发布一些 ER 数据。但正如你将看到的，他们没有公布 2016 年下半年的 ER 数据，在可用数据中留下了一个漏洞。此外，有时数据以半年为周期发布，其他时间则以季度为周期发布。我已经尽了最大努力来弥补我接下来将与你分享的分析中的这些不一致之处。

全球 Windows 恶意软件感染分析

我汇总了 SIR 的 20 多卷和特别版的数据，以提供威胁格局如何随着时间的推移而演变的视图。我们要看的第一个指标是全球平均 CCM。这是 MSRT 在全球扫描的每 1000 个系统中发现感染恶意软件的系统数量。图 3.1 包括了微软在 SIR 中发布 CCM 数据的所有时间段，从 2008 年第三季度到 2016 年第二季度的每个季度:

图 3.1:2008–2016 年全球平均恶意软件感染率(CCM)(微软公司，未注明日期)

横轴表示由季度和年度表示的时间段。例如，3Q08 是 2008 年第三季度的简写，而 4Q13 是 2013 年第四季度。纵轴代表每个时间段的全球 CCM。例如，在 2009 年第一季度，全球平均 CCM 为 12.70。

在图 3.1 中显示的所有 32 个季度的全球平均 CCM 为 8.82。为了让这个数字更清晰，我们把它换算成百分比:8.82/1000*100 = 0.882%。从 2008 年第三季度到 2016 年第二季度末的 8 年间，根据 MSRT 的测量，全球平均感染率仅为 0.1%。这可能会让你们中的一些人感到惊讶，他们长期以来一直认为 Windows 安装群的恶意软件感染率非常高。这就是为什么比较不同国家和地区的感染率是有趣的。一些国家的感染率比世界平均水平高得多，一些国家的 CCMs 低得多。我将在本章后面详细讨论这一点。导致恶意软件感染率低于预期的另一个因素是，这些数据的来源是 MSRT。请记住，MSRT 是一个免费的生态系统清洁器，旨在清除大部分未受保护的系统中最普遍和最严重的威胁。如果您查看检测添加到 MSRT 的日期，您会发现它确实清除了一小部分已知的恶意软件家族。例如，根据该列表，在 2005 年底，MSRT 已经检测到 62 个恶意软件家族(微软公司)。但是可以肯定的是，在 2005 年，恶意软件的数量要多得多。

虽然 MSRT 只能检测所有恶意软件家族的一小部分，但它每个月都会在全球数亿个系统上运行。这为我们提供了一个有限的，但很有价值的，关于全世界计算机数量相对状况的快照。当我们将 MSRT 的数据与来自实时反恶意软件解决方案的数据以及我概述的一些其他数据源进行交叉引用时，我们会对威胁形势有一个更完整的了解。

MSRT 的另一个重要方面是，它测量哪些恶意软件家族已经成功大规模感染了系统。微软研究人员在 MSRT 中增加了对他们认为非常普遍的恶意软件家族的检测。然后，当 MSRT 发布新的检测结果时，恶意软件研究人员可以看看他们是否猜对了。如果他们确实增加了对一个真正广泛传播的恶意软件家族的检测，这将表现为恶意软件感染率的激增。在 MSRT 增加一个新的发现就能导致全球感染率的大幅上升。例如，在 2015 年第三季度和第四季度之间(图 3.1 中的 3Q15 和 4Q15)，CCM 从 6.1 增加到 16.9。这是一个季度内恶意软件感染率 177%的变化。然后，在下一个季度，CCM 下降到 8.4。是什么导致了这种急剧的增长和下降？微软恶意软件研究人员于 2015 年 10 月在 MSRT 中添加了对一种名为 Win32/Diplugem 的威胁的检测(微软公司)。这个威胁是一个浏览器修改器，后来被安装在很多系统上。当微软在 10 月份在 MSRT 中添加检测功能时，它在 10 月、11 月和 12 月从许多系统中清除了 Diplugem。通常，当新的检测添加到 MSRT 时，它会在第一个月清除大量受感染的系统，第二个月会减少，第三个月会减少。在 2015 年第四季度的三个月中，有许多系统清除了 Diplugem。一旦沼泽在 2015 年 4 季度大部分被排干，感染率在 2016 年第一季度下降了 50%。

当 CCM 从 5.6 增加到 17.8 时，在 2013 年第三季度和第四季度之间也可以看到这种类型的检测峰值(图 3.1 中的 3Q13 和 4Q13)。这是一个季度内恶意软件感染率 218%的变化。2013 年第四季度，MSRT 增加了五个新的检测点。

2013 年 4 季度的检测率峰值是由于在 MSRT 中增加了对名为 Win32/Rotbrow(微软公司)的威胁的检测，这是一个木马家族，可以安装其他恶意软件，如 Win32/Sefnit(微软公司)。在这一检测产生的 CCM 大幅上升后，CCM 在接下来的两个季度回落到较低水平。

为了看看最近一段时间发生了什么，我们将不得不使用恶意软件 er 而不是 CCM，因为微软在 2016 年停止发布 CCM 数据。图 3.2 显示了从 2013 年第一季度(1Q13)开始到 2018 年第四季度(4Q18)的 ER。微软没有公布 2016 年下半年的全球平均 ER，所以我们没有这一时期的数据:

图 3.2:2008-2016 年全球平均遭遇率(er)

2013 年至 2016 年上半年末期间的平均 ER 为 18.81%。这意味着大约 19%运行微软实时反恶意软件的 Windows 系统遇到了恶意软件。几乎所有这些遭遇都可能导致反恶意软件阻止恶意软件的安装。一些较小比例的接触可能导致消毒。

从 2016 年第二季度(2016 年第二季度)到 2017 年第一季度(2017 年第一季度)，ER 下降了 62%，并且没有恢复到正常水平。2017 年和 2018 年，世界范围内的平均 ER 仅为 6%。我还没有看到对这种减少的令人满意的解释，所以它的原因对我来说仍然是个谜。

这让你从全球角度对 Windows 操作系统上的恶意软件趋势有了一个长期的看法。我介绍过的许多 CISOs 和安全团队使用了类似的数据，他们对全球 ER 和 CCM 数字如此之低表示惊讶，因为 Windows 上的恶意软件这些年来产生了很多负面报道。事实上，在我的一些会议演讲活动中，我会问与会者，他们认为在任何给定的时间，世界上感染了恶意软件的 Windows 系统的百分比是多少。与会者的猜测通常会从 80%开始，然后一路向上。如果 CISOs、安全团队和安全专家想要带领他们的组织和行业朝着真正有意义的方向前进，他们需要牢牢地立足于现实。这就是这些数据有用且有趣的原因。

也就是说，我发现地区视角比全球视角更有趣、更有见地。接下来，让我们看看在世界各地不同的地理位置，遭遇和感染恶意软件的情况有何不同。

区域性 Windows 恶意软件感染分析

早在 2007 年，我就开始研究地区性的恶意软件感染率。起初，我研究了相对较小的一组国家，可能有六七个。但随着时间的推移，我们在 SIR 中的工作扩展到提供所有国家(超过 100 个)的恶意软件 CCM 和 er 数据，这些国家有足够的数据来报告具有统计意义的发现。多年来，数据中出现了三组松散耦合的地点:

1. 恶意软件感染率(CCM)始终低于全球平均水平的地点。
2. 恶意软件感染率通常与全球平均水平一致的地点。
3. 恶意软件感染率一直远高于全球平均水平的地点。

图 3.3 举例说明了 2015 年至 2018 年间世界上 ERs 最高和最低的一些地点。虚线代表全球平均 ER，以便您可以看到列出的其他位置与平均值的偏差程度。自从我 10 多年前开始研究这些数据以来，像日本和芬兰这样的国家拥有世界上最低的恶意软件遭遇率和最低的恶意软件感染率。挪威也是 CCM 和 ER 较低的地区之一。爱尔兰是受影响最小地区名单中的新成员。爱尔兰的 CCM 和 ER 通常低于世界平均水平，但不是最低的五六个国家之一。例如，2008 年，全球平均 CCM 为 8.6，而日本为 1.7，爱尔兰为 4.2(微软公司，2009)。人们可能会忍不住想，咄，更低的遭遇率意味着更低的感染率，对吗？有些地方既有低 CCM 又有低 ER。但事实并非总是如此。

随着时间的推移，我已经看到了许多这样的例子:一些地方的 er 很高，但 CCM 却很低，反之亦然。其中一个原因是，并非所有地方都有相同的反恶意软件采用率。这是微软开始免费提供实时反恶意软件的原因之一，现在它作为操作系统的一部分提供。世界上有些地方的反恶意软件采用率低得惊人。如果这些地方被严重感染，它们可能被用作攻击世界其他地方的平台。反恶意软件保护采用率较高的国家/地区可能具有较高的 er，但通常具有较低的 CCM。这是因为实时反恶意软件软件阻止恶意软件安装，从而增加了 ER，并将不太流行的威胁留给 MSRT 来清除，从而降低了 CCM。

图 3.3:最高和最低区域恶意软件遭遇率(er)(微软公司，未标明)

10 年前，巴基斯坦、巴勒斯坦地区、孟加拉国和印度尼西亚等地的 CCM 都远低于全球平均水平(微软公司，2009 年)。但随着时间的推移，这种情况发生了变化，这些地方近年来出现了一些世界上最高的 er。不幸的是，我们无法看到这些国家的 CCM 是否也有所增加，因为微软在 2016 年停止发布 CCM 数据。这些地区 2006 年发布的最新 CCM 见表 3.1 。(微软，2016)。这些地区的 CCM 比全球平均水平高出许多倍，而日本、芬兰和挪威则低得多:

表 3.1:2016 年第一和第二季度最高和最低地区恶意软件感染率(CCM)(微软公司，未注明日期)

此时，您可能想知道为什么恶意软件遭遇率和感染率会有地区差异。为什么日本和芬兰这样的地方感染率总是超低，而巴基斯坦和巴勒斯坦领土这样的地方感染率却非常高？感染率较低的地区正在做的事情是否能让其他地区受益？当我第一次开始研究这些差异时，我假设语言可能是低感染和高感染地区之间的关键差异。例如，日本有一种很难学的语言，因为它与英语、俄语和其他语言有很大不同，所以它可能是潜在攻击者的一个障碍。毕竟，如果受害者不理解您在攻击中使用的语言，那么他们很难使用社会工程成功地攻击受害者。但韩国也是如此，但它在 2012 年拥有世界上最高的 CCM 之一，CCM 在 70 到 93 之间(SIR 中有史以来最高的 CCM 之一)(Rains，检查韩国过山车威胁景观，2013)。

最终，我们试图开发一个模型，用于预测地区恶意软件感染率。如果我们能够预测哪些地方的感染率会很高，那么我们乐观地认为，我们可以帮助这些地方制定公共政策，建立公私合作伙伴关系，从而带来积极的变化。我在微软可信计算部门的一些同事发表了一份专注于这项工作的微软安全情报报告特刊:网络安全风险悖论，社会、经济和技术因素对恶意软件比率的影响 (David Burt，2014)。他们开发了一个模型，使用 3 类 11 个社会经济因素来预测地区恶意软件感染率。类别和因素包括(David Burt，2014 年):

1. 数字接入:
   1. 人均互联网用户
   2. 每百万人的安全网络服务器
   3. 脸书渗透
2. 机构稳定性:
   1. 政府腐败
   2. 法治
   3. 识字率
   4. 政权稳定
3. 经济发展:
   1. 监管质量
   2. 生产力
   3. 人均总收入
   4. 人均国内生产总值

该研究发现，随着发展东亚某大国家增加其公民获得技术的机会，他们的 CCM 也在增加。但是更多的成熟国家增加了他们的公民获得技术的机会，他们的 CCM 减少了。这表明，对于发展东亚某大国家来说，当它们在上述类别中从发展东亚某大国家过渡到更成熟的国家时，存在一个转折点，在这个转折点上，增加技术获取不再增加 CCM 相反，它减少了它。

巴西就是一个在 2011-2012 年间完成这一转变的国家。随着数字接入和机构稳定性类别中一些社会经济因素的一些积极变化，巴西的 CCM 在 2011 年和 2012 年之间从 17.3 下降到 9.9(下降 42%)(David Burt，2014)。

这项研究的另一个细微差别是，CCM 最高和社会经济因素表现最差的地方往往是饱受战争蹂躏的国家，如伊拉克。另一个有趣的见解是，在没有很好的互联网连接的地方，无论是因为它们位于非洲中心的内陆还是长期的军事冲突影响了互联网的可用性和质量，恶意软件都通过 USB 驱动器和其他类型的移动存储介质感染系统；也就是说，当互联网无法帮助攻击者传播他们的恶意软件时，不依赖于网络连接的恶意软件就会盛行。当互联网连接和接入改善时，这些地方的 CCM 往往会增加，直到社会经济条件改善到政府和公私部门伙伴关系开始对该区域的网络安全产生积极影响的程度。冲突和随之而来的贫困会降低技术更新速度，使攻击者更容易利用人类。这是一个非常有趣的研究领域。如果你有兴趣了解更多信息，我在 2015 年微软虚拟 CIO 峰会上的一个名为“网络空间 2025:网络安全 10 年后会是什么样子”的视频会议中谈到了这一点(微软公司，2015 年)。从我录制这段视频到 2025 年，我们已经走过了一半的时间，我认为我们利用这项研究对未来的预测仍然是相关和有趣的。

观察单个国家既有趣又有帮助，因为它揭示了受影响最大和最小的地方发生了什么。我们可以从这些地方的成功和失败中吸取教训。但是，CISOs 通常会询问他们的组织开展业务所在的国家或他们认为攻击来自何处的威胁形势。检查位置组的恶意软件趋势可以轻松识别这些组中的异常。这也有助于确定哪些国家保持较低的恶意软件 ER 和 CCM，尽管其邻国正在与恶意软件作斗争。我们能从这些国家学到什么，并应用到其他地方来改善他们的生态系统？在下一部分，我将向您展示以下几组国家的趋势:

• 中东和北非:人们总是对该地区发生的事情非常感兴趣，尤其是在伊朗、伊拉克和叙利亚。这个数据超级有意思。
• 欧盟 ( 欧盟):欧盟以保持较低的恶意软件感染率而自豪。然而，情况并非总是如此，也并非所有欧盟成员国都是如此。
• 东欧，包括俄罗斯:我接触过的许多首席信息安全官都认为这个地区是世界上大部分恶意软件的源头。但是这些国家自己的恶意软件感染率是什么样的呢？
• 亚洲:人们对东亚某大国、巴基斯坦和印度等地的恶意软件趋势一直很感兴趣。观察东亚、南亚、东南亚和大洋洲的趋势更加有趣。
• 北美和南美:美国和巴西是巨大的市场，总是吸引着人们的兴趣，但是他们的邻居的情况如何呢？

你可能对这些地区不感兴趣。请随意跳到您最感兴趣的地区部分。让我们从威胁的角度来看一下世界上最有趣的地区，中东和北非。

对中东和北非威胁前景的长期看法

作为一个地区，中东和北非多年来遭遇恶意软件的几率和恶意软件感染率都很高。这些年来，我有机会拜访了其中一些地方的 CISOs 和安全团队。我在分析中包括的 14 个地点在 2010 年至 2016 年的 26 个季度中的平均季度恶意软件感染率(CCM)为 23.9，而同期的全球平均水平为 8.7(微软公司，n.d .)。作为一个群体，这些地区的平均 CCM 几乎是世界其他地区的三倍。在 2013 年下半年至 2019 年的 23 个季度中，这些地点的平均季度恶意软件遭遇率为 21.9，而全球平均水平为 12.5。图 3.4 显示了从 2010 年第一季度开始到 2016 年第二季度微软停止发布 CCM 数据(微软公司，未注明日期)为止的这段时间内，该地区几个地方的 CCM。

中东和北非 10 年区域成绩单

• 地区:中东和北非
• 分析中包含的地点:阿尔及利亚、巴林、伊朗、伊拉克、以色列、约旦、科威特、黎巴嫩、阿曼、巴勒斯坦权力机构、卡塔尔、沙特阿拉伯、叙利亚和阿拉伯联合酋长国
• 平均 CCM(2010–2016):23.9(比全球平均水平高 93%)
• 平均 ER(2013–2019):21.9%(比世界平均水平高 55%)

图 3.4:2010 年至 2016 年中东和非洲部分地区的恶意软件感染率(微软公司，未注明日期)

也许随着社会经济因素变得非常不利，恶意软件感染率失控的最极端例子是伊拉克。2013 年第四季度，伊拉克的 CCM 为 31.3，而全球平均水平为 17.8(顺便说一下，这是这五年期间记录的最高全球平均水平)。在 2014 年第一季度，伊拉克的 CCM 增长了 254%，达到 110.7(有史以来最高的 CCM 之一)。在伊拉克的这段时间里，伊拉克政府失去了对费卢杰的控制，落入伊斯兰武装分子手中(半岛电视台，2014 年)。2014 年第一季度，伊拉克暴力事件频发，发生多起自杀和汽车爆炸事件；在议会选举即将到来之际，警察遭到袭击，暴力升级(维基百科)。随着该国经济遭受重创，政府和社会基础逐渐消失在这些极端条件下的黑暗中，恶意软件蓬勃发展。

至少在接下来的两年内，恶意软件感染率仍然是全球平均水平的许多倍，之后我们不再有 CCM 数据。恶意软件遭遇率数据确实表明，伊拉克的 er 在 2017 年下降到低于全球平均水平，然后在 2018 年第四季度和 2019 年正常化，大约是全球平均水平的三倍。er 数据还显示，伊拉克不是该地区 ER 最高的国家，阿尔及利亚、巴勒斯坦权力机构和埃及在 2013 年至 2019 年期间都有较高的 ER:

图 3.5:2011 年中东和北非地区恶意软件感染率峰值特写(微软公司，未标明日期)

在 2010 年第四季度(2010 年第四季度)和 2011 年第一季度(2011 年第一季度)之间，可以看到另一个更微妙的与社会经济变化相关的 CCMs 区域变化的例子。阿拉伯之春于 2010 年 12 月在该地区开始，这导致了几个地方的动荡时期(维基百科)。一周前，我刚从埃及出差回到美国，在 CNN 上看到我刚刚参观过的一座政府大楼着火，令人不安。内乱和大规模抗议导致该地区几个关键地点的政府领导层发生变化。与此同时，在我收集数据的所有地区，恶意软件感染率都有所上升。通常 CCM 低于全球平均水平的地区，如黎巴嫩、巴勒斯坦权力机构和卡塔尔，CCM 突然高于全球平均水平。这些地区的 CCMs 不会再低于世界平均水平。

随着大规模抗议影响了该地区一些关键地区的经济，犯罪报告急剧增加，政府服务中断，恶意软件猖獗。您可能还想知道 2011 年第一季度卡塔尔恶意软件感染率的大幅上升。在此期间，卡塔尔的蠕虫感染率远高于世界平均水平。像 Rimecud、Autorun 和 Conficker 这样的蠕虫正在成功地感染系统。这三种蠕虫都滥用自动运行功能来传播自己。一旦卡塔尔受感染的系统被消毒，感染率恢复到更正常的范围:

图 3.6:2013 年至 2019 年中东和北非地区特定地点的恶意软件遭遇率(er)(微软公司，未标明日期)

中东和北非是一个非常有趣的地区。我可以在这本书里用整整一章来讲述我在这个地区这些年的数据中观察到的事情。从网络安全威胁的角度来看，它仍然是世界上最活跃的地区之一，如果不是最有趣的话。

我们现在将目光转向欧洲的威胁形势。

对欧盟和东欧威胁前景的长期看法

在英国退出欧盟之前，有 28 个主权国家在欧盟 ( 欧盟)。英国退出欧盟事件发生期间，我住在英国，几乎每周都去欧洲大陆拜访那里的西索斯。处于英国退出欧盟、GDPR 的出现、云法案的出台、云计算的日益普及以及对网络安全的高度关注的交汇点是一次非常有趣的经历。我了解了很多欧洲人对很多话题的看法，包括数据隐私和数据主权。我强烈推荐国际经验对个人和职业发展都有好处。

从恶意软件的角度来看，与中东和北非相比，欧盟的感染率通常要低得多。在 2010 年至 2016 年的 26 个季度中，欧盟 28 个地区的平均季度 CCM 为 7.9。同期全球平均 CCM 为 8.7。在 2013 年下半年至 2019 年的 23 个季度中，欧盟的平均季度恶意软件遭遇率为 11.7，而全球平均水平为 12.5。作为一个群体，欧盟的 CCM 和 er 低于全球平均水平。图 3.7 显示了从 2010 年第一季度开始到 2016 年第二季度微软停止发布 CCM 数据时欧盟 28 个地区的 CCM。

欧洲联盟 10 年区域报告卡

• 地区:欧盟
• 分析中包含的地点:奥地利、比利时、保加利亚、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典和英国
• 平均 CCM(2010–2016):7.9(比全球平均水平低 10%)
• 平均 ER(2013–2019):11.7%(比世界平均水平低 7%)；

图 3.7:2010-2016 年欧盟成员国的恶意软件感染率(CCM)(微软公司，未注明日期)

关于这一数据，你可能注意到的第一件事是，在 2010 年、2011 年、2013 年和 2015 年的几个季度中，西班牙是欧盟感染率最高的国家之一。在 2013 年至 2019 年的 23 个季度中，西班牙的 ER 有 16 个季度高于全球平均水平。西班牙面临着非常活跃的威胁；多年来，我看到恶意软件首先出现在西班牙的地方层面，然后成为日益增长的全球威胁。

2010 年，Conficker、Autorun 和 Taterf(微软公司)等蠕虫病毒导致感染率上升。罗马尼亚也是欧盟最活跃的地区之一，有时拥有该地区最高的 CCM 和 ER。

2013 年第四季度(2013 年第四季度)恶意软件感染率的飙升是由于三种依赖于社交工程的威胁，即木马下载程序 Rotbrow 和 Brantall，以及一种名为 Sefnit(微软公司，n.d .)的木马。2015 年第四季度(2015 年第四季度)的 CCM 峰值是由于一种名为 Diplugem(微软公司，n.d .)的浏览器修改器在全球的流行程度上升:

图 3.8:2013-2019 年欧盟部分地区的恶意软件遭遇率(er)(微软公司，未注明日期)

德国 ER 在 2014 年第三季度和第四季度出现的激增是由于当时欧洲出现了一些威胁家族，包括 EyeStye(也称为 SpyEye)、Zbot(也称为 Zeus 僵尸网络)、Keygen 和臭名昭著的 BlackHole exploit kit (Rains，微软恶意软件保护中心发布的新威胁报告:EyeStye)。

欧盟中 CCM 和 ERs 一直最低的地方是芬兰和瑞典。芬兰的 CCM 和瑞典的 CCM 都没有超过世界平均水平。瑞典的入学率没有超过世界平均水平，而芬兰的最高入学率仅比世界平均水平高出零点几个百分点。与世界其他地区相比，北欧(包括挪威、丹麦和冰岛)积极的社会经济因素似乎让它们免受恶意软件的侵害:

表 3.2:左:平均 CCM 最高的欧盟地区，2010 年第一季度–2016 年第二季度；右图:平均 CCM 最低的欧盟地区，2010 年第一季度–2016 年第二季度(微软公司，未标明日期)

表 3.3:左图:平均 ER 最高的欧盟地区，3q 13–3q 19；右图:平均 ER 最低的欧盟地区，2019 年第 3 季度–2019 年第 3 季度(微软公司，未注明日期)

当然，当讨论恶意软件时，俄罗斯和他们的东欧邻居总是有很高的兴趣。在我的职业生涯中，我有机会拜访俄罗斯、波兰和土耳其的 CISOs 和网络安全专家。我总是从这个地区的网络安全专家那里学到一些东西，因为这里总是有很多活动。我的经验也告诉我，伊斯坦布尔没有一家不好吃的餐馆！

随着时间的推移，俄罗斯的 CCM 一直徘徊在世界平均水平附近或以下。尽管俄罗斯的 ER 通常高于世界平均水平。俄罗斯在 2013 年和 2015 年遭受了与欧洲其他国家相同的恶意软件感染高峰。

这个地区最活跃的地方是土耳其。土耳其的 CCM 和 ER 一直明显高于世界平均水平。在 2010 年至 2016 年期间，除了一个季度之外，它在所有这些地点的 CCM 最高。在 2016 年下半年乌克兰的 ER 开始超过土耳其之前，土耳其在这些地区的 ER 最高。土耳其面临的威胁与其地处欧亚交汇处一样独特，是由木马、蠕虫和病毒混合驱动的。2014 年，土耳其的 CCM 和 ER 都有大幅增长。有趣的是，2014 年是土耳其的总统选举年(土耳其总理被宣布为 2014 年总统选举的获胜者)，并出现了与拟议的互联网新法规有关的大规模反政府抗议活动(Ece Toksabay，2014)。土耳其的 CCM 和 ER 在 2015 年底和 2016 年也出现了显著的峰值。同样有趣的是，2015 年 6 月举行了大选，在此期间土耳其发生了一系列与 ISIS 相关的爆炸和袭击事件。

在我研究的大部分时间里，爱沙尼亚的 CCM 和 ER 都是最低的，通常都低于世界平均水平。但 2017 年第四季度和 2018 年第二季度的 ER 数据有峰值。在撰写本文时，微软尚未就此发表解释，但我们可以从爱沙尼亚信息系统管理局发布的 2018 年报告(爱沙尼亚共和国信息系统管理局，2018 年)和 2019 年报告(Authority，2019 年)中获得一些想法，这些报告似乎将矛头指向 WannaCry 和 NotPetya 勒索软件活动以及利用未打补丁的漏洞。

选定东欧地点的 10 年区域报告卡

• 地区:选择东欧地区
• 分析中包含的地点:保加利亚、爱沙尼亚、拉脱维亚、斯洛伐克、俄罗斯、土耳其和乌克兰
• 平均 CCM(2010–2016):10.5(比全球平均水平高 19%)
• 平均 ER(2013–2019):17.2%(比世界平均水平高 32%)；

图 3.9:2010 年至 2016 年东欧部分地区的恶意软件感染率(微软公司，未注明日期)

图 3.10:2013 年至 2019 年东欧部分地区的恶意软件遭遇率(er)(微软公司，未注明日期)

表 3.4:左侧:选择东欧地区，平均 CCM，2010 年第一季度–2016 年第二季度；右图:选择东欧地区，平均 ER，3q 19–3q 19(微软公司，未注明日期)

看了欧洲和东欧的情况后，让我们换个话题，研究一下亚洲一些地区的趋势。

对亚洲特定地区威胁形势的长期看法

你知道世界上大约 60%的人口生活在亚洲吗？在我的职业生涯中，我有幸去过几次亚洲，拜访了日本、韩国、新加坡、香港、马来西亚、印度、东亚某大国、菲律宾、澳大利亚、新西兰和许多其他地方的 CISOs 和安全团队。亚洲也有一个有趣的威胁景观，作为一个整体，它有一个明显高于世界平均水平的 er 和 CCM。亚洲几个地方的 CCMs 和 ERs 远高于世界平均水平。巴基斯坦、韩国、印度尼西亚、菲律宾、越南、印度、马来西亚和柬埔寨的 CCM 都远远高于世界平均水平。日本、东亚某大国、澳大利亚和新西兰等地的感染率远低于亚洲其他地区，远低于全球平均水平。

表 3.5:左:亚洲平均 CCM 最高的地区，3 q13–3 q19；右图:平均 CCM 最低的亚洲地区，2019 年第 3 季度–2019 年第 3 季度(微软公司，未标明日期)

表 3.6:左:亚洲平均 ER 最高的地区，3q 13–3q 19；右图:亚洲平均 ER 最低的地区，2019 年第 3 季度–2019 年第 3 季度(微软公司，未注明日期)

亚洲 10 年区域成绩单

• 地区:亚洲
• 分析中包含的地点:澳洲、柬埔寨、东亚某大国、香港特别行政区、印度、印尼、日本、韩国、马来西亚、新西兰、巴基斯坦、菲律宾、新加坡、台湾和越南
• 平均 CCM(2010–2016):10.5(比全球平均水平高 19%)
• 平均 ER(2013–2019):17.2%(比世界平均水平高 32%)；

图 3.11:2010-2016 年亚洲部分地区的恶意软件感染率(CCM)(微软公司，未注明日期)

2012 年第二季度和第四季度，韩国的恶意软件感染率大幅上升。在此期间，韩国的恶意软件感染率是亚洲最高的，甚至高于巴基斯坦，巴基斯坦是世界上威胁最活跃的地区之一。这些感染率飙升是由两类依赖社会工程传播的威胁推动的。其中一个威胁是在韩国大量系统上发现的假冒反病毒软件。请注意，这个峰值只发生在韩国。社会工程通常依靠语言来欺骗用户做出不可信的决定。显然，这个假杀毒软件的韩语版本在当时非常成功。但是这种威胁骗不了很多不会说韩语的人。我记得当时我访问了韩国，以提高公共部门和商业部门组织对该国高恶意软件感染率的认识。我在首尔交谈过的许多人都表示惊讶，甚至不相信这个国家的感染率是世界上最高的。

您可能还注意到 2014 年巴基斯坦的恶意软件感染率急剧上升。在此期间，巴基斯坦和印度尼西亚也是亚洲 er 最高的国家之一。值得注意的是，2014 年巴基斯坦发生了多起暴力事件，包括多起爆炸、枪击和军事行动(维基百科，未注明日期)。

图 3.12:2013-2019 年亚洲部分地区的恶意软件遭遇率(er)(微软公司，未注明日期)

亚洲是如此之大和多样化，以至于我们可以通过将数据细分为子区域来更好地了解这些地区的相对 CCM 和 er。我的分析没有包括每个地区的每个国家，但结果仍然很有趣。大洋洲是亚洲感染率和接触率最低的地区；大洋洲的 CCM 和 er 低于世界平均水平，而亚洲其他地区的 CCM 和 ER 高于世界平均水平。如果没有上述韩国的 CCM 峰值，东亚的 CCM 也可能低于世界平均水平。该数据清楚地表明，南亚遭遇和感染恶意软件的程度明显高于亚洲其他任何地方。这些甚至高于中东和北非的平均 CCM 和 er，分别为 23.9%和 21.9%。

图 3.13:亚洲地区恶意软件感染率(2010-2016 年)和遭遇率(2013-2019 年)(微软公司，未注明日期)

接下来，我们来看看美洲的情况。多年来，我有机会在美国和加拿大生活，与无数的 CISOs 和安全团队会面。我也有机会参观了南美洲不同地方的 CISOs。

对美洲部分地区威胁形势的长期看法

当我检查 2007 年和 2008 年的 CCM 数据时，我可以发现美国的恶意软件感染率高于世界平均水平的时期。但在 2010 年至 2016 年的大部分时间里，美国的 CCM 徘徊在世界平均水平附近或以下。美国的 ER 通常也低于世界平均水平。

过去，美国是攻击者的主要目标，因为美国消费者的系统具有相对较好的互联网连接、相对较快的处理器和大量可用存储，所有这些都可以被攻击者用于非法目的。但随着时间的推移，美国的消费者越来越了解攻击者的策略，供应商开始默认开启新系统的安全功能。随着时间的推移，其他国家的互联网质量有所改善，消费者的电脑系统也是如此。当新的人群上线时，攻击者会跟踪他们，而攻击美国消费者系统的重点会有所减弱。最近，巴西、阿根廷、墨西哥、委内瑞拉和洪都拉斯等地的恶意软件感染率在美洲最高。

美洲 10 年区域成绩单

• 地区:美洲
• 分析中包含的地点:阿根廷、玻利维亚、巴西、加拿大、智利、哥伦比亚、哥斯达黎加、厄瓜多尔、危地马拉、洪都拉斯、墨西哥、尼加拉瓜、巴拿马、巴拉圭、秘鲁、美国、乌拉圭和委内瑞拉
• 平均 CCM(2010–2016):13.4(比全球平均水平高 43%)
• 平均 ER(2013–2019):16.5%(比世界平均水平高 26%)

图 3.14:2010-2016 年美洲部分地区的恶意软件感染率(微软公司，未注明日期)

图 3.15:2013-2019 年美国部分地区的恶意软件遭遇率(er)(微软公司，未注明日期)

表 3.7:左:美洲平均 CCM 最高的地区，2013 年 3 季度–2019 年 3 季度；右图:美洲平均 CCM 最低的地区，2019 年第 3 季度–2019 年第 3 季度(微软公司，未注明日期)

表 3.8:左:美洲平均 ER 最高的地区，3q 13–3q 19；右图:2019 年第 3 季度–2019 年第 3 季度，美国平均 ER 最低的地区(微软公司，未注明日期)

总体而言，美洲的 CCM 和 er 高于全球平均水平。但是，北美、中美洲和南美洲遭遇和感染恶意软件的程度略有不同。虽然我的分析没有包括美洲的所有地点，但是按地区划分数据使得比较它们更容易一些。

图 3.16:美国平均区域恶意软件感染率(2010 年至 2016 年)和遭遇率(2013 年至 2019 年)(微软公司，未注明日期)

我希望你喜欢这次环球旅行。我花了几个月的时间来做这项研究和分析，所以很明显，我发现区域性恶意软件趋势真的很有趣。对于生活在这些地区，尤其是美国以外地区的安全团队来说，可信的区域威胁情报可能很难找到，而恐惧、不确定性和怀疑似乎总是近在咫尺。我来和大家分享一下这个分析得出的一些结论。

区域性 Windows 恶意软件感染分析结论

图 3.17 在一张图表上显示了地区的细分数据，这使得更容易看到世界各地的相对 CCM 和 er 水平。在过去十年中，南亚、东南亚、中东和北非的系统遭遇的恶意软件比世界上任何其他地方都多。这可能是这些地区也是世界上恶意软件感染率最高的主要原因。

这与大洋洲、东亚和欧盟低得多的 er 和 CCM 形成对比。

图 3.17:2013–2019 年全球各地区的平均 CCM 和 ER(微软公司，未注明日期)

这里的表 3.9 列出了全球平均 CCM 和 er 最高的前 10 个地点。同期全球平均 CCM 为 8.7，平均 ER 为 12.5。所有这些地方的 ER 和 CCM 至少是全球平均水平的两倍。

表 3.9:2010 年第一季度至 2016 年第二季度全球 CCM 和 er 最高的地区(微软公司，未注明日期)

这对 CISOs 和企业安全团队意味着什么？

这些年来，我遇到过许多团队，他们封锁来自东亚某大国、伊朗和俄罗斯的所有互联网流量，因为他们认为攻击来自这些国家级 IP 地址范围。根据 CISOs 告诉我的情况，包括美国和英国政府发布的归因报告和媒体报道，许多攻击来自这三个地方这一点似乎毫无疑问。但是，当然，攻击者并不局限于使用他们本国或任何特定国家的 IP 地址范围，所以这不是一个银弹缓解措施。请记住，此类攻击的受害者的系统被用来对其他潜在受害者实现攻击，因此他们的 IP 地址将成为许多攻击的来源。

当系统受到恶意软件的攻击时，其中一些会被用于攻击，包括 DDoS 攻击、驱动下载攻击、水坑攻击、恶意软件托管以及攻击者的其他“项目工作”。因此，一些 CISOs 采取预防措施，阻止来自/发往世界上恶意软件感染率最高的位置的互联网流量。如果您的组织没有在这些地方开展业务，或者在这些地方有潜在的合作伙伴或客户，那么最大限度地减少暴露于这些地方的系统可能会成为恶意软件感染的额外缓解措施。正是因为这个原因，许多组织使用受管防火墙和 WAF 规则。但鉴于我的分析是针对整整十年，为了列出感染最多的地点，这些地点基本上必须具有持续的高感染率。限制信息工作者在互联网上可以访问的地方将减少他们暴露于潜在威胁的数量。

对于居住在这些地方或在这些地方支持运营的安全团队，我希望你们能够利用这些数据，从你们的最高管理层、当地行业和各级政府那里获得对你们网络安全策略的适当支持。使用我在本书序言中写的潜艇类比，地球上没有一个地方比这些地方对潜艇船体的压力更大。

这是一把双刃剑，因为它给这些地方的安全团队带来了更大的压力，但也为他们提供了世界其他地方的组织所不具备的背景和清晰度。使用这些数据来提高网络安全利益相关方社区的意识，并获得成功所需的支持。

我所知道的一些 CISOs 已经使用 CCM 和 ER 数据作为他们组织的基线。他们使用反恶意软件为其 IT 环境开发检测、阻止和杀毒数据。他们将自己环境中的 CCM 和 ER 与微软或其他反恶意软件供应商发布的全球数据进行比较。他们还将他们的 CCM 和 ER 数据点与他们有 IT 运营的国家的区域数字进行比较。这使他们能够比较他们的组织比他们所在国家或全球的普通消费者系统受到的影响更大还是更小。他们的目标是使 CCM 和 er 数字始终低于他们国家的数字，并且低于全球平均水平。他们发现全球和地区恶意软件数据是一个有用的基准，可以确定他们在管理其环境中的恶意软件方面是否做得很好。

从公共政策的角度来看，大洋洲、东亚和欧盟的一些政府似乎有东西可以教给世界其他地区如何控制威胁局面。具体而言，澳大利亚、新西兰、北欧和日本政府应该帮助高感染地区走上正轨。但这并非易事，因为高水平的冲突似乎是影响社会经济因素的潜在因素，而这些因素又与高地区恶意软件感染率有关。解决政府腐败、拥护法治、提高识字率、政权稳定性、监管质量、生产率、人均总收入和人均 GDP 是降低许多地方的恶意软件感染率的首要任务。公共部门的企业首席信息安全官和网络安全领袖可以通过教育本国的公共政策影响者，为更美好的未来做出贡献。

现在，我已经为您提供了对区域性恶意软件遭遇和感染的深入了解，让我们看看不同类别的恶意软件的使用是如何随着时间的推移在全球范围内演变的。冒着听起来像网络安全数据极客的风险，这些数据是我最喜欢的恶意软件相关数据！社会工程是攻击者的主要技术，这份关于攻击者如何使用恶意软件的 10 年观点清楚地说明了这一点。

全球恶意软件演变

了解恶意软件的演变将有助于 CISOs 和安全团队将他们在新闻中读到的歇斯底里放入上下文中。阅读本节时，请记住网络安全的常见疑点。

随着 2003 年和 2004 年初大规模蠕虫攻击的成功，微软在 2004 年 8 月推出了 Windows XP Service Pack 2。其中，Windows XP Service Pack 2 首次在 Windows 操作系统中默认打开了 Windows 防火墙。在此之前，这是一个可选设置，留给客户来打开、配置和测试他们的应用程序。该服务包还首次在 Windows 操作系统中提供了地址空间布局随机化 ( ASLR )和数据执行防止(DEP)(大卫·莱德，2011)。这三个特性削弱了未来试图使用与 SQL Slammer 和 MSBlaster 相同策略的大规模蠕虫攻击的成功。如果有基于主机的防火墙阻止数据包到达端口，则无法利用侦听网络端口的服务中的漏洞。每个系统上漏洞的内存位置可能并不相同，这使得查找和利用漏洞变得更加困难。

在 Windows XP Service Pack 2 发布并被广泛采用 18 个月后，数据显示蠕虫和后门不再受攻击者青睐。如图 3.18 所示，在 2006 年、2007 年和 2008 年，这些类别的恶意软件的检测数量大幅减少。

一种不同类型的蠕虫，一种不仅仅使用未打补丁的漏洞的蠕虫，在 2009 年受到攻击者的欢迎，这是在 Windows 防火墙、ASLR 和 DEP 在 Windows 操作系统中启用 5 年后。

图 3.18:2006–2012 年按威胁类别(包括后门、间谍软件、病毒和蠕虫)列出的检测项占所有报告检测项的基于 Windows 的系统的百分比(微软公司，未注明日期)

一旦蠕虫对大规模攻击不再有效，数据显示，在 2006、2007 和 2008 年，各种可能不需要的软件变得流行起来。你可以在图 3.19 中看到这种显著的增加。正如我在本章前面所描述的，这种类型的威胁通常依靠社会工程进入系统。在此期间，假冒的反病毒软件、假冒的间谍软件检测套件和假冒的浏览器保护程序风靡一时:

图 3.19:2006–2012 年按威胁类别(包括后门、间谍软件、病毒、蠕虫和各种可能不需要的软件)列出的检测数占所有基于 Windows 的系统报告检测数的百分比(微软公司，未注明日期)

随着 2006 年潜在有害软件的使用达到高峰，越来越多的人开始了解它们，检测在 2007 年和 2008 年呈下降趋势。在此期间，数据显示，木马下载器和下载器开始流行。这清楚地反映在图 3.20 中。这类威胁也主要依靠社会工程来破坏系统。他们欺骗用户安装它们，然后将更多的恶意软件解压缩或下载到系统中，以进一步控制攻击者。在此期间，木马下载者和下载者将受害者的系统加入僵尸网络以用于其他类型的攻击并不罕见。

图 3.20:2006 年至 2012 年按威胁类别(包括后门、间谍软件、病毒、蠕虫、各种可能不需要的软件以及木马下载程序和下载程序)列出的检测结果，占所有基于 Windows 的系统报告检测结果的百分比(微软公司，未注明)

随着人们开始了解攻击者对木马下载者和下载者使用的肮脏伎俩，以及反病毒公司专注于根除这一流行的恶意软件类别，数据显示下载者和下载者的受欢迎程度正在下降，而各种木马的检测在 2008 年达到顶峰，并在 2009 年再次达到顶峰。这类威胁也主要依赖于社会工程来取得成功。数据还显示，2007 年至 2011 年间，对密码窃取者和监控工具的检测大幅增加。

蠕虫在 2008 年再度流行，Conficker 向攻击者展示了将三种常见的可疑病毒组合成一种蠕虫的可能性。

从那以后，依靠自动运行功能滥用、脆弱、泄露和窃取密码的蠕虫仍然很流行。在图 3.21 中，请注意从 2009 年开始的缓慢但稳定的利用增长。这一趋势在 2012 年达到顶峰，当时漏洞利用工具包在互联网上风靡一时。此外，请注意，在整个这段时间内，没有大量的勒索软件。当我们在 2012 年底离开这一时期时，图表右上角的类别(木马和潜在不需要的软件)依靠社会工程取得成功。

图 3.21:2006–2012 年按威胁类别、所有类别、所有基于 Windows 的系统报告检测百分比列出的检测(微软公司，未注明日期)

进入 2013 年，微软开始使用 ER 来衡量威胁检测。请注意，2013 年至 2017 年期间使用的衡量标准是 ER，而不是前期使用的检测衡量标准。这些是略有不同的数据点。微软没有公布 2016 年第三季度和第四季度的 ER 数据，因此这一时期的数据存在漏洞。ER 数据证实，杂项木马是 2013 年遇到的最常见的威胁类别。不幸的是，我找不到可能不需要的软件的 ER 的公开数据源，所以它从图 3.22 中消失了。2013 年下半年木马下载者和下载者的 ER 峰值是由三种威胁造成的:Rotbrow、Brantall 和 Sefnit (Microsoft，2014)。

期末，2017 年第四季度，勒索病毒 er 为 0.13%，杂项木马 ER 为 10.10%；相差 195%。虽然勒索软件的 ER 较低，但感染勒索软件的影响可能是毁灭性的。

因此，不要忘记查看风险计算的两个部分，即威胁的概率和影响。这是一个持续到 2019 年最后一个季度的趋势。尽管越来越多的 Windows 漏洞被披露，但微软在 Windows 操作系统的内存安全功能和其他缓解措施方面的投资似乎有助于降低全球 er。如果 ER 是一个指标，恶意软件的提供者似乎从社会工程中获得了坚实的投资回报(T2)。

图 3.22:2013–2017 年报告检测的基于 Windows 的系统上按威胁类别划分的遭遇率(微软公司，未注明日期)

我刚才向您展示的绝大多数数据来自世界各地向微软报告数据的消费者系统。安全团队和网络安全专家应该意识到，消费者系统和企业中的威胁流行程度存在一些差异。研究这些差异很多年了，我可以给你总结一下。从企业环境中报告给微软的数据中可以得出三个有用的见解:

1. Worms: This was typically the number one category of threat in enterprise environments that were reported to Microsoft over the years. This category of malware self-propagates, which means worms can spread quickly and be very difficult to get rid of once they are inside of an enterprise environment. Worms can hide in enterprise IT environments and resurface quickly. For example, they can hide in storage area networks where no anti-virus software has been deployed.

   它们可以隐藏在旧的台式机和服务器映像中，当用于构建新系统时，会将蠕虫重新引入环境中。它们也可以在恢复时从备份中恢复。我认识的许多 CISOs 在最初将 Conficker 这样的蠕虫引入环境后，与它们斗争了多年。

   这些蠕虫通常以三种方式传播:未修补的漏洞、弱密码和社会工程。听起来熟悉吗？他们应该这样做，因为这是五个网络安全常见嫌疑人中的三个。专注于网络安全基础知识将帮助您将蠕虫拒之门外，并遏制已经存在于您环境中的蠕虫。在任何地方部署最新的反恶意软件对阻止这些威胁都很重要。

2. USB 驱动器和其他可移动存储介质:许多威胁(如蠕虫和病毒)通过 USB 驱动器进入企业环境。实现阻止台式机和服务器上 USB 端口访问的策略将防止信息工作者将此类威胁引入您的 IT 环境。将反恶意软件配置为在访问时扫描文件，尤其是可移动介质，也将有助于阻止这些威胁，其中许多威胁是反恶意软件实验室所熟知的，并且已存在多年。

3. Malicious or compromised websites: Drive-by download attacks and watering hole attacks expose Information Workers' systems to exploits and, if successful, malware. Carefully think about whether your organization really needs a policy that allows Information Workers to surf the internet unfettered. Does everyone in the organization need to get to every domain on the internet, even IP addresses in the countries with, consistently, the highest malware infection rates in the world? Only permitting workers to get to trusted sites that have a business purpose might not be a popular policy with them, but it will dramatically reduce the number of potential threats they are exposed to.

   由于其业务的性质，这种缓解措施不会对每个组织都有效，但我敢说，与目前使用它的组织相比，它将对更多的组织有效。仔细考虑您的员工是否真的有必要无拘无束地访问互联网和包含外语内容的网站，以及安全团队是否可以做出一些具有较高缓解价值且对工作效率影响较小或为零的更改。受管出站代理规则、IDS/IPS 和浏览器白名单都是有帮助的控件。

当然，补丁，补丁，补丁！当他们所依赖的潜在漏洞被修补时，驱动下载攻击就不起作用了。这就是那些每季度或每半年打一次补丁的组织真正遭受损失的地方；他们允许他们的员工带着他们知道有成百上千公开漏洞的系统去互联网上的任何地方。可能会出什么问题？

全球恶意软件演变结论

该恶意软件类别数据向我们表明，恶意软件的提供者在尝试最初危害系统时，实际上仅限于几种选择。利用未打补丁的漏洞仅在有限的时间内是一种可靠的方法，但这并不能阻止攻击者在安全更新可用后多年内试图利用旧的漏洞。蠕虫随着攻击者的流行而变化，需要技术技能来开发。但是一个主要的策略是社会工程。当其他四个网络安全常见嫌疑人不可行时，许多攻击者会试图使用良好的老式社会工程。

尽管我刚刚与你分享了所有的恶意软件数据，一些网络安全专家仍然断言反恶意软件对企业来说是不值得的。让我们深入探讨一下这个论点，看看它是否站得住脚。

大辩论-反恶意软件解决方案真的值得吗？

请允许我就反恶意软件的功效发表我的看法。多年来，我听到一些网络安全专家在行业会议上嘲笑反恶意软件解决方案的功效，并建议组织不要费心使用这种解决方案。他们倾向于通过指出反恶意软件无法检测和清除所有威胁来证明这一观点。这是真的。他们还指出，反恶意软件解决方案本身可能存在漏洞，这些漏洞可能会增加而不是减少攻击面。这也是事实。由于反恶意软件软件通常可以访问操作系统的敏感部分及其扫描的数据，因此它们可能是攻击者的有效目标。一些反恶意软件供应商甚至被指控利用其产品拥有的系统访问特权，提供对系统的非法访问(Solon，2017)。其他供应商被指控不当分享其产品收集的信息(Krebs on Security，2017)。

但是请记住，恶意软件供应商每周都会制造出百万种独特的恶意软件威胁。随着世界各地的反恶意软件实验室获得这些威胁的样本，他们给他们的客户接种疫苗。因此，虽然反恶意软件解决方案无法保护组织免受所有威胁，尤其是新的和正在出现的威胁，但它可以保护组织免受数亿已知威胁的侵害。另一方面，如果他们不运行反恶意软件解决方案，他们将无法抵御这些威胁。使用最近的数据进行风险计算，我想你会发现运行反恶意软件是一件很容易的事情。对于企业而言，未能从值得信赖的供应商处运行最新的反恶意软件是重大疏忽。

并非所有反恶意软件产品都是平等的。以我的经验来看，反恶意软件供应商的水平取决于他们的研究和响应实验室中的研究人员、分析师和支持人员。供应商最大限度地减少误报，同时为现实世界的威胁提供最佳的响应时间和检测，这对安全团队非常有帮助。要根据这些指标比较产品，请查看 AV-Test 和 AV Comparatives 的第三方测试结果。反恶意软件实验室社区几十年来一直在讨论测试他们产品的最佳方式。

在过去，争论的焦点集中在如何根据产品测试所针对的恶意软件样本的收集来歪曲测试结果。例如，如果某个特定的实验室非常擅长检测 root kit，并且测试包括更多的 root kit 样本，那么该反恶意软件产品的得分可能会高于平均水平，即使它在检测其他类别的威胁方面低于平均水平。反之亦然——如果测试不包括 rootkit 或包括很少的 rootkit，产品的得分可能低于平均水平。由于反恶意软件测试不能包括每一个已知的恶意软件样本，由于现实世界的资源限制，无论他们测试什么样本都会影响被测试产品的得分。一些反恶意软件实验室认为，这迫使他们在其产品中继续检测不再流行的旧威胁，而不是让他们专注于客户更有可能遇到的当前和新兴威胁。相反的观点是，反恶意软件解决方案应该能够检测到所有威胁，不管它们当前的流行程度如何。随着更好的测试、更多的竞争者以及检测、阻止和消除威胁的新方法的出现，测试和行业继续发展。许多供应商通过利用试探法、行为分析、人工智能、ML 和云计算等方法，使他们的产品远远超出了简单的基于签名的检测系统。

我对恶意软件、反恶意软件解决方案和全球 Windows 威胁形势的马拉松式讨论到此结束。我觉得我只是触及了表面，但我们还有很多其他有趣的话题要讨论！在我们结束本章之前，让我分享一些与使用威胁情报相关的最佳实践和提示。

威胁情报最佳实践和提示

我想给你一些关于如何识别好的威胁情报和可疑的威胁情报的指导。在发表了近十年来业界最好的威胁情报报告之一(好吧，我承认我有偏见)之后，我学到了一些东西，我将在这里与您分享。本指南的主题是了解您的威胁情报供应商使用的方法。

如果他们不告诉你他们的方法是什么，那么你不能相信他们的数据。此外，要真正了解特定威胁情报是否或如何帮助您的组织，唯一的方法是了解其数据源以及用于收集和报告数据的方法；如果没有这种背景，威胁情报可能会分散注意力，并且与帮助相反。

技巧 1——数据源

始终了解您正在使用的威胁情报数据的来源，以及相关供应商如何解读这些数据。如果数据的来源是未知的，或者供应商不共享数据的来源，那么你就不能相信它和基于它的解释。例如，一个供应商声称 85%的系统已经被特定的恶意软件家族成功感染。但是，当您深入研究用于做出这一声明的数据来源时，会发现使用该供应商在线恶意软件清理器网站的系统中有 85%感染了所提到的恶意软件。请注意，“所有系统的 85%”是从“使用在线工具的所有系统的 85%”中戏剧性地推断出来的

此外，该在线工具仅以美国英语提供，这意味着不会说英语的消费者不太可能使用它，即使他们知道它的存在。最后，您发现供应商的桌面防病毒检测工具在发现系统感染了威胁时会建议用户使用在线工具进行杀毒。供应商这样做是为了让客户意识到他们的超级棒的在线工具是可用的。这扭曲了数据，因为从桌面防病毒工具转到在线工具的 100%的用户都已经知道感染了该威胁。这些年我都数不清见过多少次这样的特技了。始终深入数据源，了解数据对您的实际意义。

技巧 2——时间段

在使用威胁情报时，了解数据的时间范围和时间段非常重要。数据和见解是在几天、几周、几个月、几个季度还是几年内提供的？这个问题的答案将有助于提供理解情报所需的背景。对你的组织来说，几天的事件可能比几年的长期趋势有更大的不同。

异常通常会保证不同于已建立模式的风险处理。此外，根据供应商在其报告中使用的时间段，从威胁情报数据中得出的结论可能会发生显著变化。

让我为您提供一个示例场景。假设一个供应商正在报告在给定的时间段内他们的产品中有多少漏洞被披露。如果数据是定期连续报告的，比如每季度一次，趋势看起来真的很糟糕，因为大幅度增加是明显的。但是，与使用连续季度报告趋势不同，当将当前季度与去年同期进行比较时，趋势看起来要好得多；与去年同期相比，本季度的漏洞披露实际上可能有所减少。这给供应商带来了积极的影响，尽管漏洞披露逐季增加。

另一个潜在的危险信号是，当您看到供应商报告的数据不是正常时间段的数据时，例如每月、每季度或每年。相反，他们使用几个月的时间，这似乎有点随意。如果时间周期不规则或者使用它的原因不明显，那么应该用威胁情报来记录合理性。如果不是，询问供应商他们为什么选择时间段。有时，你会发现供应商使用特定的时间段，因为这使他们的故事更具戏剧性，获得更多的关注，如果这是他们的议程。或者，所选择的时间段可能有助于通过最小化数据变化来淡化坏消息。了解为什么要在特定的时间范围和时间段内报告数据，将使您对数据的可信度以及向您提供数据的供应商的议程有所了解。

技巧 3——识别炒作

我见过的组织在使用威胁情报时犯的最大错误之一是接受他们的供应商关于其数据的范围、适用性和相关性的声明。例如，一家威胁情报供应商发布数据称，在特定时间段内，100%的攻击都涉及社会工程或利用了特定的漏洞。这种说法的问题是，世界上没有人能看到 100%的攻击，时期。

他们必须无所不知，才能看到世界各地同时发生的所有攻击，包括所有操作系统和云平台、所有浏览器和应用程序。类似地，声称 60%的攻击是由特定的 APT 组织实现的也没有帮助。除非他们对 100%的攻击有所了解，否则他们无法可信地声称其中 60%的攻击有什么特征。声称所有攻击的特征或子集需要所有攻击的知识，即使提到特定的时间段、特定的位置和特定的攻击媒介，也是不可能或不可信的。威胁情报的一个很好的试金石是问自己，供应商必须无所不知才能做出这样的声明吗？在这种情况下，了解数据源和时间段将有助于您消除宣传，并获得情报可能具有的任何价值。

很多时候，发布数据的供应商不会在他们的威胁情报报告中直接做出这样的声明，但是为了引起人们的注意，在标题中报告新情报的方式会被概括或变得更具戏剧性。不要责怪威胁情报供应商报道新闻的方式，因为这通常超出了他们的控制范围。但如果他们直接提出这样的主张，就要认识到这一点，并适当调整你头脑中的语境。许多年来，我经常在世界各地的头条上谈论和写关于威胁的文章，但我们总是非常小心，不要超越数据支持的结论。要做出更大胆的声明，需要全知全能。

技巧 4——对未来的预测

我相信你已经看到一些供应商对未来的威胁形势做出了预测。一些威胁情报供应商喜欢使用的一个技巧与时间段有关。假设我要发布一份关于过去 6 个月的威胁情报报告。当这一时期的数据收集完毕，报告撰写完成并发表时，可能已经过去了一两个月。现在，如果我在这份报告中对未来进行预测，我有一两个月的数据可以告诉我自报告期结束以来发生了什么。

如果我的预测是基于数据告诉我们已经发生的事情，那么报告的读者会认为我实际上准确预测了未来，从而强化了我们比任何人都更了解威胁形势的观点。了解相对于预测所关注的时间段的预测时间将有助于您确定预测和结果的可信度，以及做出预测的供应商的可信度。记住，对未来的预测都是猜测。

技巧 5——供应商的动机

信任是信誉和品格的结合。您可以利用这两个因素来判断您的供应商是否值得信赖。数据源、时间尺度、时间段和对未来的预测的透明度可以帮助供应商证明他们是可信的。他们的动机反映了他们的性格。他们是希望作为可信赖的顾问与您的组织建立关系，还是他们的兴趣仅限于金融交易？在构建网络安全计划时，这两种类型的供应商都有一席之地，但了解哪种供应商属于每一类可能会有所帮助，特别是在与事件响应相关的活动中，当压力增大时。当你需要真正的帮助时，知道你可以依靠谁是很重要的。

这些是我 10 年来发布威胁情报报告的经验，可以提供给你的建议和窍门。同样，这里最重要的一点是理解您所使用的威胁情报的方法和数据源，这一点不是可选的。最后一点建议:不要使用不符合这个标准的威胁情报。IT 行业有太多的恐惧、不确定性和怀疑，以及太多的复杂性。你需要选择听取谁的建议。

我希望你喜欢这一章。信不信由你，这种类型的数据越来越难找到。好消息是，威胁情报正越来越多地被集成到网络安全产品和服务中，这意味着保护、检测和响应威胁比以往任何时候都更容易、更快。

章节总结

这一章需要大量的研究。我试图向您提供对威胁形势的独特的长期观点和一些有用的背景。我将试着总结一下本章的要点。

恶意软件利用网络安全通常的嫌疑人来初步危害系统；这些包括未打补丁的漏洞、安全错误配置、脆弱、泄露和被盗的密码、内部威胁和社会工程。其中，社交工程是攻击者最喜欢的战术，利用社交工程的恶意软件类别的持续高流行率就是证明。恶意软件也可以在最初的危害之后被用于进一步的攻击者目标。

一些成功的恶意软件家族在发布后会很快影响世界各地的系统，而另一些则在发展成全球威胁之前先成为区域性威胁。一些威胁局限于某个地区，因为它们依靠特定的非英语语言来欺骗用户安装它们。不同地区遇到恶意软件的几率和感染率不同。微软进行的研究表明，一些社会经济因素，如国内生产总值，可能会影响这些差异。冲突和随之而来的社会经济条件异常严重的地区，通常会有更高的恶意软件遭遇率和感染率。

关注网络安全基础知识，解决网络安全常见的疑点，将有助于减轻恶意软件的威胁。此外，运行来自可信供应商的最新反恶意软件解决方案将有助于阻止大多数恶意软件的安装，并对受感染的系统进行杀毒。阻止信息工作者访问没有合法商业目的的互联网区域，有助于防止在这些区域暴露于恶意软件和受损系统。

到目前为止，我们已经研究了两种重要威胁的长期趋势，即漏洞和恶意软件。在下一章中，我们将探究攻击者使用互联网的方式以及这些方式是如何随着时间的推移而演变的。

参考

1. 半岛电视台(2014 年 1 月 4 日)。伊拉克政府失去对费卢杰的控制。检索自半岛电视台网站:www . al Jazeera . com/news/middle east/2014/01/Iraq-government-loses-control-fallu Jah-20141414625597514 . html
2. 权威，R. O. (2019)。爱沙尼亚信息系统管理局 2019 年度网络安全评估。爱沙尼亚共和国信息系统管理局。
3. AV-测试研究所(2017 年)。2016/2017 年度 AV-TEST 安全报告。德国马格德堡:AV 测试研究所
4. AV-Test Institute (2018)。2017/2018 年度 AV-TEST 安全报告。德国马格德堡:AV 测试研究所
5. AV-Test Institute(2019 年 4 月)。2018/2019 年度 AV-TEST 安全报告。德国马格德堡:AV 测试研究所。检索自 AV-Test:T3】https://www . AV-Test . org/file admin/pdf/Security _ Report/AV-Test _ Security _ Report _ 2018-2019 . pdfT5】
6. AV-测试研究所(2020 年 4 月)。关于 AV-TEST 研究所。从 AV-Test:中检索
7. AV-测试研究所(2020 年 4 月)。 AV-Test 恶意软件统计。从 AV-Test 中检索:【https://www.av-test.org/en/statistics/malware/】
8. AV-测试研究所(2020 年 4 月)。国际形象和出版物。检索自 AV-Test Institute:www . AV-Test . org/en/about-the-Institute/publications/
9. 戴维·伯特，P. N. (2014 年)。网络安全风险悖论，微软安全情报报告特别版。微软。检索自:T3】https://query . prod . CMS . rt . Microsoft . com/CMS/API/am/binary/REVrozT5】
10. 大卫·莱德，F. S. (2011 年)。SDL 进度报告。微软。检索自:T3【http://download . Microsoft . com/download/c/e/f/cefb 7 BF 3-de0c-4d CB-995 a-C1 c 69659 BF 49/sdlprogressreport . pdfT5】
11. ECE Toksabay(2014 年 2 月 22 日)。警察向伊斯坦布尔反政府抗议活动发射催泪瓦斯。检索自路透社:www . Reuters . com/article/us-turkey-抗议/警察-消防-催泪瓦斯-at-伊斯坦堡-反政府-抗议-idUSBREA1L0UV20140222
12. 凯泽，g .(2020 年 1 月 4 日)。Windows by the numbers:Windows 10 恢复向无止境的统治地位进军。检索自英国计算机世界:www . computer world . com/article/3199373/windows-by-numbers-windows-10-continues-to-食人-windows-7.html
13. 凯泽湾(未标明)。Windows by the numbers:Windows 10 恢复向无止境的统治地位进军。检索自计算机世界英国:www . Computer World . com/article/3199373/windows-by-numbers-windows-10-continues-to-食人-windows-7.html
14. 克雷布斯论安全(2017 年 8 月 17 日)。碳排放:过度共享漏洞让安全供应商重新成为焦点。检索自 Krebs on Security:krebsonsecurity . com/2017/08/carbon-emissions-over sharing-bug-puts-Security-vendor-back-in-spot light/
15. 莱登，j .(未注明)。微软发布 Blaster 清理工具。从注册中检索:www . The Register . co . uk/2004/01/07/Microsoft _ releases _ blaster _ clean up _ tool/
16. 微软(2014 年)。微软安全情报报告第 16 卷。检索自微软安全情报报告第 16 卷:T3&https://go.microsoft.com/fwlink/p/?linkid=2036139【clcid = 0x 409&culture = en-us&country = usT5】
17. 微软(2016 年 12 月 14 日)。微软安全情报报告。微软安全情报报告第 21 卷。检索自微软安全情报报告第 21 卷:T3&https://go.microsoft.com/fwlink/p/?linkid=2036108【clcid = 0x 409&culture = en-us&country = usT5】
18. 微软公司(2019 年 4 月 8 日)。微软安全情报报告卷。检索自微软安全情报报告第六卷:T3】https://go.microsoft.com/fwlink/p/?linkid=2036319&cl cid = 0x 409&culture = en-us&country = usT5】
19. 微软公司(2015 年)。虚拟专属:网络空间 2025:10 年后网络安全会是什么样子？微软。检索自:channel 9 . msdn . com/Events/Virtual-CIO-Summit/Virtual-CIO-Summit-2015/Virtual-EXCLUSIVE-Cyberspace-2025-What-will-Cyberspace-Look-Like-in-10-Years
20. 微软公司(2016 年 7 月 7 日)。微软安全情报报告第二十卷。检索自微软安全情报报告第 20 卷:T3&https://go.microsoft.com/fwlink/p/?linkid=2036113【clcid = 0x 409&culture = en-us&country = usT5】
21. 微软公司(2017 年 8 月 17 日)。微软安全情报报告第 22 卷。检索自微软安全情报报告第 22 卷:T3&https://go.microsoft.com/fwlink/p/?linkid=2045580【clcid = 0x 409&culture = en-us&country = usT5】
22. 微软公司(2018)。微软安全情报报告第 23 卷。检索自微软安全情报报告第 23 卷:T3&https://go.microsoft.com/fwlink/p/?linkid=2073690【clcid = 0x 409&culture = en-us&country = usT5】
23. 微软公司(2019 年 8 月 10 日)。行业协作计划。检索自微软:docs . Microsoft . com/en-us/windows/security/threat-protection/intelligence/cyber security-industry-partners
24. 微软公司(2019 年 8 月 13 日)。修补远程桌面服务中新的蠕虫漏洞(CVE-2019-1181/1182) 。检索自微软安全响应中心博客:msrc-Blog . Microsoft . com/2019/08/13/patch-new-worm able-vulnerabilities-in-remote-desktop-services-CVE-2019-1181-1182/
25. 微软公司。双插描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = Win32/Diplugem&threat id =T5】
26. 微软公司。 DirectAccess 。检索自微软公司:docs . Microsoft . com/en-us/windows-server/remote/remote-access/direct access/direct access
27. 微软公司。微软如何识别恶意软件和可能不需要的应用程序。检索自微软公司:docs . Microsoft . com/en-us/windows/security/threat-protection/intelligence/criteria
28. 微软公司。恶意软件遭遇率。从微软安全情报报告中检索:【https://www.microsoft.com/securityinsights/Malware】T3T5】
29. 微软公司。微软安全情报报告。从 Microsoft Security 检索
30. 微软公司。十多年来对威胁形势的报道。检索自微软公司:www . Microsoft . com/en-us/security/operations/security-intelligence-report
31. 微软公司。彼佳描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？Name=Ransom:DOS/Petya。a&threat id =-2147257025T5】
32. 微软公司。通过更新远程桌面服务来防止蠕虫(CVE-2019-0708) 。检索自微软安全响应中心博客:msrc-blog . Microsoft . com/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-CVE-2019-0708/
33. 微软公司。使用 Windows 恶意软件删除工具删除特定的流行恶意软件。检索自微软公司:support . Microsoft . com/en-us/help/890830/remove-specific-populate-malware-with-windows-malware-remo
34. 微软公司。使用 Windows 恶意软件删除工具删除特定的流行恶意软件。检索自微软公司:support . Microsoft . com/en-us/help/890830/remove-specific-populate-malware-with-windows-malware-remo # covered
35. 微软公司。 Reveton 描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？Name=Ransom:Win32/Reveton。t！lnk&threat id =-2147285370T5】
36. 微软公司。 Rotbrow 描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = win32 % 2 frot browT5】
37. 微软公司。显著性描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = Virus % 3a win32 % 2f salityT5】
38. 微软公司。序列号描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = Win32/sef nitT5】
39. 微软公司。智能屏幕:常见问题解答。检索自微软公司:support . Microsoft . com/en-GB/help/17443/windows-internet-explorer-smart screen-FAQ
40. 微软公司。 Taterf 描述。检索自微软安全情报:www . Microsoft . com/en-us/wdsi/threats/malware-encyclopedia-description？name = Win32/Taterf&threat id =T5】
41. 微软公司。关于冲击波蠕虫及其变种的病毒警报。检索自微软公司:support . Microsoft . com/en-us/help/826955/virus-alert-about-the-blaster-worm-and-its-variants
42. NIST(未标出)。 CVE-2019-0708 详情。从国家漏洞数据库中检索到:【https://nvd.nist.gov/vuln/detail/CVE-2019-0708】
43. t . rains(2011 年 6 月 27 日)。防御自动运行攻击。检索自微软官方安全博客:www . Microsoft . com/Security/Blog/2011/06/27/defending-against-autorun-attacks/
44. t . rains(2013 年 9 月 24 日)。审视韩国过山车般的威胁形势。检索自微软官方安全博客:www . Microsoft . com/Security/Blog/2013/09/24/examining-Koreas-roller coaster-threat-landscape/
45. 雷恩，t .(未注明)。新的微软恶意软件保护中心威胁报告发布:EyeStye 。检索自微软官方安全博客:www . Microsoft . com/Security/Blog/2012/07/20/new-Microsoft-malware-protection-center-threat-report-published-eyes tye/
46. 爱沙尼亚共和国信息系统管理局(2018 年)。爱沙尼亚信息系统管理局:2018 年度网络安全评估。爱沙尼亚共和国信息系统管理局。检索自:T3【https://www . RIA . ee/sites/default/files/content-editors/kuberturve/RIA-CsA-2018 . pdfT5】
47. o .梭伦(2017 年 9 月 13 日)。美国政府因担心间谍活动而禁止机构使用卡巴斯基软件。摘自《卫报》:www . The Guardian . com/technology/2017/sep/13/us-government-bans-Kaspersky-lab-Russian-spuring
48. 土耳其总理被宣布赢得总统选举(2014 年 8 月 10 日)。摘自纽约时报:www . nytimes . com/2014/08/11/world/Europe/Erdogan-Turks-premier-wins-president-election . html？_ r = 0/
49. 美国国土安全部。关键基础设施部门。检索自 https://www.dhs.gov/cisa/critical-infrastructure-sectors
50. 维基百科(未注明)。 2014 年在伊拉克。从 Wikipedia.com 检索:【https://en.wikipedia.org/wiki/2014_in_Iraq】
51. 维基百科(未注明)。 2014 年巴基斯坦。从 Wikipedia.com 检索:【https://en.wikipedia.org/wiki/2014_in_Pakistan】
52. 维基百科(未注明)。下一代安全计算基础。从 Wikipedia.com 检索:en . Wikipedia . org/wiki/Next-Generation _ Secure _ Computing _ Base
53. 维基百科(未注明)。阿拉伯之春的时间线。从 Wikipedia.com 检索:【https://en.wikipedia.org/wiki/Timeline_of_the_Arab_Spring】*

四、基于互联网的威胁

在过去的 25 年里，攻击者学会了利用互联网来破坏受害者的 IT 环境，实现他们的非法目标并满足他们的动机。CISOs 和安全团队可以通过研究攻击者如何使用互联网来制定网络安全策略。在这一章中，我们将看看攻击者使用互联网的一些方法，以及这些方法是如何随着时间的推移而演变的。

在本章中，我们将探讨以下主题:

• 网络钓鱼攻击
• 偷渡式下载攻击
• 恶意软件托管网站

让我们从典型攻击模式的剖析开始。

介绍

在前两章中，我深入分析了漏洞披露和恶意软件的数据和趋势。这两种类型的威胁不断被攻击者利用，试图危害世界各地的组织和消费者。随后，这些威胁所代表的风险由企业主动管理。但是，攻击者提供武器的方式是多种多样的，无论是利用漏洞还是为攻击者提供非法后门的恶意软件。

在这一章中，我们将看看攻击者用来攻击受害者的一些方法；理解这些与理解漏洞和恶意软件是如何演变的一样重要。

到目前为止，我们已经研究过的威胁有可能使攻击者危及应用、客户端、服务器、消费者和物联网设备、路由和交换设备以及企业所依赖的其他系统。无论这些攻击的目的是伤害大量的组织和消费者，还是针对特定的组织，攻击者都将使用网络安全通常的嫌疑人来初步危及 IT 系统。提醒一下，这些包括:

• 未修补的漏洞
• 安全错误配置
• 脆弱、泄露和被盗的凭据
• 社会工程
• 内部威胁

攻击者很少坐在他们试图入侵的系统的键盘前。绝大多数攻击者都是通过网络进行远程攻击，而不是通过互联网。互联网让小企业与大型跨国公司竞争，同样，它也让个人和小团体攻击大量消费者和世界上最大的组织。

现在让我们看一个典型的攻击模式，作为攻击者如何学会利用互联网的例子。

典型的攻击

在这个虚构的例子中，攻击者实际位于澳大利亚，而攻击的目标受害者总部位于美国的。攻击者的动机是利润，他们试图从他们的目标组织那里窃取有价值的信息并出售。

目标受害者有一辆 CISO 和一个安全小组。攻击者对受害者周边的持续漏洞扫描显示，他们精通漏洞管理，因为面向互联网的系统上的漏洞被快速有效地修补。在对受害者组织做了一些研究后，攻击者决定使用多管齐下的方法来初步危害该组织。

攻击者总是以这样或那样的方式成功，利用社会工程欺骗非技术业务人员做出可以利用的糟糕的信任决策。在这种情况下，不良信任决策是指受害者决定打开电子邮件中的附件或单击 URL，降低系统的安全设置，打开防火墙端口，或采取其他使攻击者更容易受害的操作。在这种情况下，攻击者将使用两种不同的策略来尝试破坏一些信息工作者的笔记本电脑，目标是访问他们的电子邮件收件箱。这两种策略都将利用电子邮件作为传递机制，并依靠社会工程和草率的安全缓解措施来取得成功。

第一种策略是使用公司网站向攻击者确定为在公司财务部门工作的特定个人发送钓鱼电子邮件。很快就获得了攻击者想要攻击的人的电子邮件地址列表。网络钓鱼电子邮件的目的是欺骗一个或多个目标信息工作者共享他们的 Office 365 凭据，然后攻击者可以使用这些凭据访问他们的电子邮件收件箱。

第二种策略是向相同的信息工作者发送包含恶意链接的电子邮件，这些链接指向一个恶意下载站点。如果信息工作者上钩并点击该链接，他们的 web 浏览器会将他们带到一个恶意网页，这将使他们面临浏览器和操作系统漏洞的多次利用。如果他们的客户端没有完全安装补丁，攻击者很有可能能够在他们的系统上安装后门，这可能允许他们获得访问受害者笔记本电脑的特权，并最终访问他们的电子邮件。

当然，如果攻击者真的获得了访问受害者笔记本电脑的特权，那么除了电子邮件之外，他们或许还能收获各种其他有价值的信息。示例包括本地存储在笔记本电脑上的文档、联系人列表、社交网络帐户的访问权限、软件许可证密钥、费用和信用卡信息、银行信息和凭据、可用于身份盗窃的个人信息等。如果笔记本电脑被动地由 IT 部门管理，它可能会被用来存储非法资料，加入僵尸网络，并用于攻击其他目标。例如，它可能被用于垃圾邮件和网络钓鱼活动、托管驱动下载攻击、托管恶意软件、广告点击欺诈、DDoS 攻击或攻击者决定进行的任何“项目工作”。

此外，攻击者可以出售或交易他们窃取的任何信息，包括帐户凭证。他们向其提供该信息的罪犯可能位于更靠近受害者的位置，并且更积极地利用该信息来最大化他们的利润和/或对受害者的损害。

这种类型的攻击太典型了。它涉及五个网络安全常见疑点中的三个，包括社会工程、未打补丁的漏洞和被盗凭证。现在让我们仔细看看这些方法，它们是如何工作的，它们到底有多受欢迎。为此，我将利用行业领导者多年来发布的威胁情报和数据。让我们先来看看网络钓鱼。

网络钓鱼攻击

社会工程是世界各地攻击者的主要策略。网络钓鱼是两个网络安全常见嫌疑人的交集；社会工程和弱密码、泄露密码和被盗密码。历史上许多最大的数据泄露都始于网络钓鱼攻击。简而言之，网络钓鱼是一种社会工程策略，攻击者试图诱骗受害者与他们共享机密信息。攻击者使用电子邮件、网站和广告诱使人们披露账户凭证、个人详细信息、信用卡和金融账户信息等。受害者披露的信息可能被用于非法访问在线账户、进行非法金融交易、窃取受害者的身份等目的。

一些攻击者为他们的网络钓鱼攻击撒下一张不加选择的大网，以诱捕尽可能多的人，从而增加成功的几率。一些攻击者将他们的网络钓鱼活动集中在一个行业或一组目标上。鱼叉式网络钓鱼用于将攻击集中在个人身上，可能是因为他们可以获得攻击者想要的信息或财富。

通常，在攻击者成功侵入信息工作者的系统后，受害者自己的联系人列表被用来攻击他们的朋友、家人、同事和业务联系人。例如，一旦受害者的社交网络帐户遭到破坏，攻击者就可以使用受害者的帐户与受害者的社交网络进行通信。由于通信似乎来自可信来源，受害者社交网络中的其他人很容易被通过受害者帐户共享的网络钓鱼电子邮件和网站所欺骗。攻击者并不局限于攻击其目标的公司帐户，他们还会设法破坏信息工作者的个人系统，因为他们知道这些系统通常可以远程访问公司资产。安装键盘记录器或其他类型的恶意软件来自动从受害者的系统中收集数据是很常见的。

网络钓鱼攻击可能涉及多个技术组件，包括受害者的客户端和用于攻击受害者的基础设施。例如，发送网络钓鱼邮件的电子邮件服务器或托管网络钓鱼页面的 web 服务器。通常，这些电子邮件服务器和 web 服务器托管在合法的系统上，这些系统已经被入侵，并随后被用于网络钓鱼活动。僵尸网络是被非法远程控制的潜在大型受损系统网络，通常用于网络钓鱼活动。将受损系统用于网络钓鱼活动基础设施可降低攻击者的成本，保护他们的身份，并帮助他们达到其他方式无法达到的规模。网络钓鱼工具包的存在使得几乎任何人都可以轻松发起网络钓鱼攻击。

让我们仔细看看钓鱼网站托管在哪里，它们的受害者在哪里。首先，认识到这个问题的严重性很重要。就数量而言，网络钓鱼和木马(正如我在第三章、威胁格局的演变-恶意软件中讨论的)是攻击者使用最多的战术。到底有多少钓鱼网站？

网络钓鱼网站的良好数据来源是互联网搜索引擎和网络浏览器。毕竟，谷歌和必应一直在为互联网上的数十亿网页编制索引，这样搜索就能产生快速、准确的结果。此外，数百万人使用谷歌 Chrome 和微软网络浏览器上网。浏览器允许用户报告可疑或完全不安全的网站。谷歌和微软在他们的浏览器和搜索引擎中使用功能来寻找钓鱼网站、恶意软件托管网站和其他类型的恶意网站。然后，他们通过将不断更新的恶意 URL 和 IP 地址列表集成到他们的产品和服务中，帮助他们的产品和服务用户避开他们发现的恶意网站。除其他服务外，浏览器和搜索引擎都可以在用户试图访问已知的恶意网站(如钓鱼网站)时发出警告。这就产生了谷歌和微软定期发布的恶意网站数据。

例如，谷歌寻找恶意网站的技术被称为安全浏览。谷歌是这样描述它的:

“谷歌的安全浏览技术每天检查数十亿个网址，寻找不安全的网站。每天，我们都会发现数以千计的新的不安全网站，其中许多都是已经被入侵的合法网站。当我们检测到不安全的网站时，我们会在谷歌搜索和网络浏览器中显示警告。您可以搜索查看当前访问某个网站是否有危险。

—(谷歌，2020 年)

2019 年，谷歌的安全浏览平均每周检测到 32，677 个新的钓鱼网站。该体积反映在图 4.1 中。可能影响新网络钓鱼网站数量的因素包括采用社会工程策略的人数、网络钓鱼工具和其他有助于攻击的自动化工具(如僵尸网络)的可用性、持续的低运营成本以及可接受的成功率。

图 4.1:2019 年谷歌安全浏览按周检测到的钓鱼网站数量(谷歌，2020)。Google 和 Google 徽标是 Google LLC 的注册商标，经许可使用。

谷歌、微软和许多其他组织都试图让消费者和企业更容易报告钓鱼网站。当报告或检测到网络钓鱼网站时，会采用法律和技术流程来关闭这些恶意网站。

根据谷歌公布的数据(谷歌，2020)，在截至 2015 年第四季度的六年半时间里，这一过程似乎将互联网上的钓鱼网站数量控制在 20 万个以下。然后在 2015 年第四季度，钓鱼网站的数量开始增长，并且一直没有消退。2020 年 4 月，谷歌报告称，安全浏览已经检测到超过 180 万个钓鱼网站(谷歌，2020)。从 2015 年 8 月到 2020 年 4 月，互联网上的钓鱼网站数量增长了近 1000%。这种急剧增长在很大程度上体现在图 4.2 中，该图提供了从 2017 年第一季度(17 年第一季度)到 2020 年第一季度(2010 年第一季度)之间每个季度钓鱼网站的平均数量。

图 4.2:2017-2020 年(Google，2020)各季度 Google 安全浏览识别的钓鱼网站平均数量。Google 和 Google 徽标是 Google LLC 的注册商标，经许可使用。

随着时间的推移，网络钓鱼电子邮件的数量也在增加。钓鱼邮件的一个重要数据来源是大规模电子邮件服务，如微软 Office 365 和谷歌 Gmail 等，它们接收和过滤全球企业客户的钓鱼请求。微软报告称，2018 年发送给使用 Office 365 的收件人的钓鱼电子邮件数量大幅增加:

“微软每月在 Office 365 中分析和扫描超过 4700 亿封电子邮件，以发现网络钓鱼和恶意软件，这为分析师提供了关于攻击者趋势和技术的大量见解。2018 年 1 月至 12 月，网络钓鱼邮件的入站电子邮件份额增加了 250%。”

—(微软公司，2019 年)

微软表示，2018 年钓鱼邮件的高峰期是 11 月，其中 0.55%的入站邮件是钓鱼邮件；这相当于一个月内有 25.85 亿封钓鱼电子邮件(微软公司，2019 年)。

2019 年 7 月似乎是 2018/2019 时间段内水平最高的月份，在微软全球分析的电子邮件总量中，检测到 0.85%的钓鱼电子邮件。假设同样的每月 4700 亿电子邮件消息量，这相当于一个月 39.95 亿个网络钓鱼电子邮件消息。当然，还有许多其他内部和在线电子邮件服务会收到大量网络钓鱼电子邮件，但这些数字中并未包含这些内容。

例如，2019 年 8 月，谷歌透露，它每天阻止 1 亿封钓鱼邮件:

“谷歌每天拦截的大约 1 亿封网络钓鱼邮件分为三大类:针对不同个人的高针对性但低数量的鱼叉式网络钓鱼，“仅针对几十人的精品网络钓鱼”，以及针对成千上万人的自动化批量网络钓鱼。”

—(佩戈罗，2019 年)

平均每月大约有 30 亿封网络钓鱼邮件，与微软大致相当。网络钓鱼电子邮件的数量和活跃的网络钓鱼网站的数量使网络钓鱼攻击者最广泛使用的战术。大多数网络钓鱼电子邮件都包含一个指向网络钓鱼网站的超链接。"超过 75%的网络钓鱼邮件包含指向网络钓鱼网站的恶意网址."(微软公司，2018)。网络钓鱼电子邮件通常试图利用流行的体育和社交活动、危机情况、冲突、销售和机会的提供，以及过期账单、银行账户问题和包裹运输故障的索赔，来利用受害者的情绪并制造一种紧迫感。网络钓鱼者会利用任何话题来吸引潜在受害者的注意力，迫使他们采取行动，最终导致错误的信任决策和信息泄露。

网络钓鱼攻击的常见目标包括在线服务、金融网站、社交网站、电子商务网站等等。反网络钓鱼工作组 2019 年第四季度的网络钓鱼活动趋势报告表明，SaaS/网络邮件(30.80%)、支付(19.80%)和金融机构(19.40%)是本季度最常受到网络钓鱼攻击的目标行业(2019 年第四季度网络钓鱼活动趋势报告，2020 年)。

同样值得注意的是，报告指出:

“针对社交媒体目标的网络钓鱼在今年每个季度都有所增长，在 2019 年期间翻了一番。”

—(网络钓鱼活动趋势报告，2019 年第四季度，2020 年)

钓鱼网站可以托管在世界上的任何地方。一些位置的钓鱼网站比其他位置更集中。表 4.1 显示了微软安全情报报告(SIR)多卷(v19、v21、v22、v23)中公布的钓鱼网站高于平均浓度的位置，可在 www.microsoft.com/sir下载。反映的时间段包括 2015 年第一季度(1Q15)、2015 年上半年(1H15)、2016 年上半年(1H16)、2017 年 3 月、2017 年下半年(2H17)。

表 4.1:2015 -2017 年高于平均浓度的钓鱼网站位置(微软公司，2015-2017 年)

你会注意到有些地方不止一次出现在这个列表上，比如保加利亚、印度尼西亚、南非和乌克兰。2015 年第一季度，与全球平均水平差距最大的是保加利亚，该国的钓鱼网站数量是平均水平的近 20 倍。

回想一下从第三章、到 2017 年下半年，印尼的恶意软件感染率几乎是全球平均水平的三倍。在某些情况下，大量被入侵的系统可以部分解释为什么印度尼西亚有这么多钓鱼网站。保加利亚和乌克兰也有类似的情况，尽管他们在那段时间没有印度尼西亚那么高的恶意软件感染率和遭遇率。

但是，并不总是这样，有更多被入侵系统的位置也有更高水平的恶意网站。事实上，这有太多的例外，不能称之为规则。例如，以表 4.1 中 2016 年上半年(1H16)钓鱼网站数量最多的地点为例。这些地方包括乌克兰、南非和澳洲。在此期间，南非的恶意软件感染率(CCM)是全球平均水平的近两倍；每 1，000 台互联网主机中钓鱼网站的数量也几乎是全球平均水平的两倍。然而，乌克兰和澳大利亚的数字与南非不一致。他们都拥有高于平均水平的钓鱼网站，但恶意软件感染率低于平均水平:

图 4.3:比较每 1，000 台互联网主机中钓鱼网站数量最多的位置的恶意软件感染率(微软公司，2016 年)

反钓鱼工作组发布的 2019 年第四季度的更多数据发现，最多钓鱼网站的国家代码顶级域名(ccTLD)包括巴西、英国、俄罗斯和印度(钓鱼活动趋势报告 2019 年第四季度，2020 年)。有趣的是，根据微软公布的数据，巴西和俄罗斯的恶意软件遭遇率仅比 2019 年第四季度的全球平均水平高 1%或 2%，英国远低于平均水平(微软公司，2020 年)。但是，我们没有这一时期的恶意软件感染率数据，因此很难对这些位置中托管钓鱼网站的受损系统数量得出结论。从历史上看，巴西和印度的恶意软件感染率相对较高，而俄罗斯和英国则没有。

显然，要得出真正的结论，还需要更多的数据。但是看起来网络钓鱼者并不依赖于大量受损系统的可用性来建立相对大量的网络钓鱼站点。

无论攻击者在哪里托管他们的网络钓鱼操作，组织都希望减少这些攻击。接下来，让我们讨论一些企业可以用来管理网络钓鱼攻击的缓解措施。

减少网络钓鱼

钓鱼网站过去比现在更容易被用户识别。如果一个网页要求您提供凭据或机密信息，但没有使用 HTTPS 保护传输中的数据(web 浏览器中缺少合法的锁图标表明了这一点)，那么您为什么要在该页面中键入任何内容呢？但是这不再是识别钓鱼网站的有效方法，正如反钓鱼工作组在他们的研究中发现的:

“但到 2019 年底，74%的钓鱼网站都在使用 TLS/SSL”

—(网络钓鱼活动趋势报告，2019 年第四季度，2020 年)

减轻网络钓鱼攻击既容易又困难。例如，通过强制要求使用多因素认证 ( MFA )可以在很大程度上缓解试图窃取凭证的网络钓鱼攻击。根据微软进行的研究:

“你的密码不重要，但 MFA 重要！根据我们的研究，如果您使用 MFA，您的帐户受到危害的可能性会降低 99.9%以上。”

-(2019 年哭泣)

要求第二个身份验证因素可以大大降低与弱密码、泄露密码和被盗密码相关的风险。如果攻击者在网络钓鱼攻击中成功诱骗用户公开他们的凭据，但访问帐户需要另一个因素，如物理访问令牌、座机或移动电话，则凭据本身不会让攻击者访问帐户。当然，这并不能阻止攻击者试图在数百个在线金融和电子商务网站上使用这些窃取的凭据，押注用户多次使用相同凭据的可能性；他们的脚本在几秒钟内就可以获得泄露和被盗的凭据。跨帐户重复使用相同的密码仍然太常见，但可以通过在任何地方利用 MFA 来大大减轻这种情况。

但是正如我在前面的章节中提到的，MFA 并不是到处都可用，特别是在有几十年遗留应用程序的企业环境中。即使 MFA 可用，接受它的消费者和企业比例也低得惊人。CISOs 和安全团队应该在任何地方大力支持 MFA，因为它非常有效。

还要记住，至少高级管理人员应该在任何地方都使用 MFA，并且应该是最后一个不受 MFA 政策约束的人；毕竟，他们是商业邮件泄露和其他社会工程攻击的主要目标。让高管们过得更轻松的方法是，在减轻对他们的攻击的安全策略和控制上给他们例外，这是不明智的，实际上是给攻击者的礼物。

我见过的一个有效工具是风险接受信，它被用于高管要求安全策略的例外情况。一份风险接受函或风险确认函记录了与安全政策例外相关的风险已向管理层解释，他们理解这些风险，并代表整个组织接受这些风险。

这些风险接受书应定期由 CISO、高级管理人员以及潜在的董事会进行审查，以确保系统性长期风险没有被不当接受。当面对这些信件时，想要安全策略例外的管理人员通常会在最后一刻暂停，一旦他们有时间思考对他们的组织和职业生涯的潜在后果。最终，许多这样的高管谨慎地决定不要求安全策略例外。

当然，网络钓鱼不仅限于凭证盗窃。攻击者使用网络钓鱼来欺骗人们披露他们本来不会共享的信息。MFA 不能缓解这些类型的攻击。在这些情况下，最好的缓解方法就是教育。培训信息工作者识别潜在的网络钓鱼攻击和其他社会工程策略并非万无一失，但可能非常有效。一些组织干脆拒绝批准旨在培训其信息工作者识别网络钓鱼攻击的网络钓鱼练习。这些组织的管理层在这些决策上对他们的员工不利；毕竟，这种决策的唯一受益者是攻击者，他们以从未接受过社会工程培训的信息工作者为猎物。

面对不支持这种类型培训的管理团队，CISOs 拥有的工具之一是风险管理。根据我的经验，为管理团队量化风险的首席信息安全官有更大的成功机会；这有助于把他们的努力放在上下文中，即使没有什么坏事发生。记住风险是概率和影响的结合。事实上，历史上大多数最大、最引人注目的数据泄露都始于网络钓鱼电子邮件，这有助于传达风险。我在本章中提供的钓鱼邮件的数量和钓鱼网站的数量也是如此。数据告诉我们，每天至少有 1 亿封网络钓鱼电子邮件被发送，总数可能是这个数字的倍数。此外，每周(至少)有数万个新的活跃网络钓鱼网站上线。结合您自己组织的网络钓鱼数据，量化信息工作者收到网络钓鱼电子邮件和访问受损网站的概率、数量和频率。

然后制定一些量化的影响评估，从没有影响(因为网络钓鱼电子邮件在发送给信息工作者之前已被过滤),到成功的妥协(涉及数据泄露和随后的声誉损害以及组织的法律责任)。这些数字可以使培训人们识别社会工程攻击的决定不那么抽象，更容易与管理团队已经管理的其他风险进行比较。

还要考虑一下你组织的信息工作者是否真的需要无拘无束地访问互联网。他们真的需要访问位于最多钓鱼网站的地方的网站吗？允许一个组织中的每个人在互联网上到处走动，真的有合法的业务需求吗？的。com 域通常比任何其他通用顶级域有更多的钓鱼网站–如果组织中的每个人都不能访问国家代码顶级域中的任何网站，这还不够吗？国家代码顶级域中的钓鱼网站数量通常是全球平均水平的两到三倍。将这些域中具有合法商业目的的站点列入白名单，并阻止从公司管理的资产到其他站点的连接，这似乎可以减少访问国家代码顶级域中托管的网络钓鱼站点的机会。采用主动管理的网页过滤解决方案可以使这种缓解相对容易。

现在让我们来看看攻击者在我们的典型攻击示例中使用的第二种策略，即驱动下载攻击。

偷渡式下载攻击

虽然网络钓鱼攻击处于社会工程和脆弱、泄露和被盗密码的交叉点,但偷渡式下载攻击处于社会工程和未打补丁的漏洞的交叉点。驾车攻击通常是由攻击者使用社会工程来欺骗用户访问恶意网站。他们可以通过几种方式做到这一点，包括通过电子邮件，在线广告，在网页和社交网络帖子的评论部分放置恶意网站的链接，以及许多其他策略。有时，攻击者危害一个合法的网站，并利用它来主持偷渡式下载攻击；网站越受欢迎，对攻击者越有利，因为这增加了他们成功危害尽可能多的系统的机会。

让恶意网站的潜在受害者处于攻击者的控制之下是攻击的第一步。下一步是利用受害者系统上未打补丁的漏洞。为此，攻击者将试图运行嵌入了 URL 的脚本，或者他们将使用内嵌框架 ( IFrame )来加载另一个用户不知道的 HTML 文档页面。Iframes 有合法的用途，这使得区分好的和恶意的 Iframes 变得很复杂。攻击者会在他们的恶意网页上放置像素大小的 IFrames，这样用户就看不到它们了。当加载这些 HTML 文档时，它们可以运行脚本来检测受害者的操作系统和浏览器版本，选择和下载这些版本的常见漏洞的相应利用，并最终下载和安装其他恶意软件，使攻击者非法控制受损系统。这种恶意的 IFrames 可以被放置在合法网站的网页上。这意味着使用未完全修补的系统访问受信任的网站，可能会导致系统受损，攻击者可以远程控制该系统，使用勒索软件使其瘫痪，等等。

如图 4.4 所示，在 2012 年 7 月至 2020 年 1 月期间，互联网上发现的驾车下载页面数量最多的是在 2013 年，在微软必应搜索引擎索引的每 1000 个网址中发现超过一个驾车下载页面。然而，更最近，2018 年和 2019 年，全球平均每 1000 个网址中分别有 0.09 个和 0.08 个恶意网站。这是 2013 年和 2019 年之间驾车下载网站数量的 173%的差异。图 4.4 中的数据整理自微软的安全情报报告和交互式微软安全情报报告(www.microsoft.com/securityinsights/Driveby)。

图 4.4:2012 年至 2020 年间微软 Bing 搜索引擎索引的每 1，000 个 URL 的浏览下载页面，发布于《微软安全情报报告》第 14 卷至第 21 卷(微软公司，2012 年至 2017 年)(微软公司，2020 年)

驱动下载攻击中使用的组件可以是分布式的，由几个不同的远程系统托管。运行的脚本可以托管在不同的“重定向器”服务器上，用于利用未打补丁的漏洞的攻击可以托管在单独的攻击服务器上，最终下载到受害者系统的恶意软件可以托管在单独的恶意软件托管服务器上。以这种方式分发路过式下载攻击的组件为攻击者提供了几个优势。它使攻击者更加敏捷，能够快速调整他们的攻击。这有助于他们优化攻击，并使其更难找到和拆除攻击者使用的所有组件。

随后，用于托管偷渡式下载攻击组件的基础架构分布在世界各地。表 4.2 和表 4.3 分别提供了 2018 年和 2019 年微软必应搜索引擎索引的每 1000 个网址中驾车下载网址数量最高的地点(微软公司，2020)。

在这些地区，路过式下载页面的集中程度明显高于全球平均水平:

表 4.2:2018 年驾车下载网站数量最多的地点(微软公司，2020 年)

表 4.3:2019 年驾车下载网站数量最多的地点(微软公司，2020 年)

2019 年阿曼每 1000 个网址的下载页面数量不是一个错别字。根据微软公布的数据，在阿曼，每 1000 个网址中有 687.3 个路过下载网址，平均跨越 2019 年的 12 个月(微软公司，2020)。这比世界平均水平高出 8591.25 倍。

2019 年 11 月，微软报告称，必应在阿曼找到的每 1000 个网址中，就有 1251.94 个路过下载网址(微软公司，2020)。这表明当时在这个国家代码顶级域名 ( ccTLD )中有非常高的“路过式”下载 URL 集中度。

尽管这可能是数据中的一个简单错误，但可能有另一个不那么平庸的解释。阿曼的 ccTLD 为. om。攻击者可能会注册并使用该 ccTLD 中的域名来捕捉键入.om而非.com的 web 浏览器用户。考虑到人们经常会犯输入google.om而不是google.com、输入apple.om而不是apple.com这样的小错误，这个假设似乎是合理的。每天有多少人会犯这样的错误？这似乎足以引起利用驾车下载网站的攻击者的注意。这是一些网络安全研究人员在 2016 年报告的内容。近三年后的 2019 年最后一个季度，这种战术还会被广泛使用吗？

据 Endgame 安全研究人员称，中东国家阿曼的顶级域名(。om)正被域名抢注者利用，他们已经在。美国公司和服务的 om 后缀，如花旗银行、戴尔、Macys 和 Gmail。Endgame 上周发现了这一点，并报告称有几个团体在发起域名抢注运动。

—(2016 年春天)

减轻偷渡式下载攻击

这些攻击往往依靠未打补丁的漏洞来获得成功。攻击者利用库进行他们的偷渡式下载攻击。研究表明，攻击者在单个路过式 URL 上利用了 1 到 20 次攻击。如果这些漏洞试图利用的潜在漏洞被修补，这些攻击就不会成功。因此，一个运行良好的漏洞管理程序将减轻驱动下载攻击。

此外，防止暴露于恶意网站(如偷渡式下载网站)也很有帮助。考虑允许信息工作者和系统管理员自由访问互联网是否必要，是否值得冒这个风险。为什么他们需要访问？例如，om ccTLD 或任何其他可能没有合法商业理由访问的 ccTLD 域？利用主动管理的网络过滤服务会有所帮助；阻止没有明确商业目的的公司资产访问部分互联网也会有所帮助。

不要允许系统管理员使用 web 浏览器从处理任何事情的服务器或重要的系统访问互联网。安全访问工作站或特权访问工作站应用于服务器管理，以限制重要系统的风险。在这种系统上浏览公共互联网上的网站应该被严格禁止，并通过技术控制来防止。

运行来自可信反恶意软件供应商的最新反恶意软件也是一种有效的缓解措施。驱动下载攻击通常会导致恶意软件被下载到受害者的系统中。如果反恶意软件软件检测到利用企图并阻止这种恶意软件的下载和安装，就可以避免潜在的灾难。

我提到过，攻击者通常会将驱动下载攻击的组件分布在位于世界各地的不同基础设施中。现在让我们仔细看看恶意软件分发站点，它们可以被用作驱动下载攻击的一部分，或者被用来向受害者发送采用其他策略的恶意软件。

恶意软件托管网站

我们已经看到，恶意网站(如钓鱼网站和驾车下载网站)的主要数据来源是互联网搜索引擎和流行的网络浏览器。这些数据来源还可以让我们一窥互联网上的恶意软件托管网站。我说是一瞥，因为事情可能会变化得非常快，因为许多攻击者已经变得善于掩盖他们的踪迹，并很难找到他们用于攻击的基础设施。记住，没有人是全知的。

随着时间的推移，我们可以将一系列数据快照整合在一起，让我们对威胁形势有一个初步了解。通常，在研究人员能够收集、分析、理解和处理这些数据之前，情况已经发生了变化。

这就是机器学习 ( ML )和人工智能 ( AI )能够并且正在提供帮助的地方——搅动大量复杂的数据集，比人类手动完成这项工作快得多。当然，攻击者在过去几年里一直忙于寻找方法来击败利用 ML 和 AI 的系统(微软 Defender ATP 研究团队，2018 年)。

但让我们先来看看谷歌在恶意软件托管网站上公布的一些数据。他们对恶意软件托管网站有独特的看法，因为他们运营着世界上最受欢迎的互联网搜索引擎。谷歌在他们通过安全浏览服务找到的恶意软件托管网站上发布数据。他们对此的描述如下:

“恶意软件可以隐藏在许多地方，即使是专家也很难判断他们的网站是否被感染。为了找到被入侵的网站，我们扫描网络并使用虚拟机来分析网站，我们发现有信号表明网站已经被入侵。”

—(谷歌，2020 年)

谷歌提供了从 2007 年 1 月至今的“攻击网站”数据。从这些数据来看，他们发现的托管恶意软件最多的攻击网站是在 2012 年 11 月。2012 年 11 月 11 日那一周，谷歌的安全浏览服务在互联网上发现了 6192 个攻击网站(谷歌，2020)。另一个值得注意的高峰是从 2013 年 9 月 15 日开始的一周，当时发现了 5，282 个攻击网站(Google，2020)。这些相对较大的数字在最近有所减少。2018 年至 2019 年期间，安全浏览识别的最高攻击网站数量为 379 个，2020 年 1 月至 4 月期间，30 个攻击网站似乎是任何单周识别的最高数量(谷歌，2020 年)。像驾车下载网站一样，恶意软件托管网站的数量似乎已经随着时间的推移而减少。

谷歌还提供了对这些恶意软件托管网站所在位置的洞察。在截至 2020 年 4 月 8 日的季度中，恶意软件托管网站最多的地区包括东亚某大国、波兰和匈牙利。

所有被扫描的网站中有 2%托管恶意软件(Google，2020)。被扫描网站中有 1%托管恶意软件的地区包括澳大利亚、印度尼西亚、泰国、越南、印度、南非、土耳其、保加利亚、罗马尼亚、乌克兰、捷克共和国、斯洛伐克、奥地利、意大利、法国、葡萄牙、瑞典、巴西和阿根廷(Google，2020)。在此期间，美国、英国、加拿大、俄罗斯和其他国家的这一比例都不到 1%(Google，2020)。

微软在多卷《微软安全情报报告》中发布的恶意软件托管网站数据从不同的角度提供了不同的快照。微软的数据包括他们提供的各种版本的网络浏览器中来自 SmartScreen 过滤器的数据。根据该数据，2016 年上半年发现的恶意软件托管站点数量显著增加，如图 4.5 中的图所示。这些是现有的最新数字:

图 4.5:微软安全情报报告第 13–23 卷(微软公司，2012–2017)中报告的每 1，000 台互联网主机的恶意软件分布站点

恶意软件分发网站的另一个数据来源是乌尔豪斯(【https://urlhaus.abuse.ch/statistics/】)。URLhaus 收集恶意软件托管网站的网址，并与谷歌安全浏览等分享。根据他们的网站，他们的目的如下:

“URLhaus 是由 abuse.ch 运营的一个项目，项目的目的是收集、跟踪和共享恶意软件 URL，帮助网络管理员和安全分析师保护他们的网络和客户免受网络威胁。”

—(乌尔豪斯，2020 年)

根据 URLhaus 公布的数据，在 2020 年 4 月 10 日至 2020 年 5 月 7 日期间，每天都有数百个，有时数千个独特的恶意软件托管 URL 被提交(URLhaus，2020)。美国和东亚某大国的托管网络最常出现在他们的顶级恶意软件托管网络列表中(URLhaus，2020)。

我们可以从数据中得出的一个结论是，恶意软件托管网站比钓鱼网站更常见。例如，根据微软公布的数据，在 2015 年至 2017 年期间，平均每 1000 台互联网主机有 5.0 至 9.1 个钓鱼网站，如表 4.1 所示；如图 4.5 中的数据所示，2015 年至 2017 年间，每 1000 台互联网主机的恶意软件托管站点的平均数量为 20.1 个。

随后，侧重于减轻网络钓鱼攻击，但不包括偷渡式下载攻击和恶意软件分发站点的网络安全策略可能会遗漏对更高可能性威胁的缓解措施。现在，让我们考虑一些可以减轻恶意软件传播的方法。

减轻恶意软件的传播

合法网站受到威胁，然后被用来传播恶意软件，这可能会给消费者和组织带来许多不良后果。因此，运营网站的组织了解并关注网络安全基础知识非常重要。回想一下第一章、成功的网络安全策略的要素，网络安全基础是网络安全策略的一部分，其重点是减少网络安全常见的疑点。网络安全的常见嫌疑包括未打补丁的漏洞、安全错误配置、薄弱、泄露和被盗的凭证、内部威胁和社会工程。管理网络安全基础对于防止网站成为恶意软件分发网站至关重要。每个在互联网上建立网站的人都必须承担这个责任。

搜索因特网寻找恶意软件分发站点的厂商和组织通常会联系他们发现分发恶意软件的站点的网站管理员。根据谷歌公布的关于他们通知活动的数据，他们在 2020 年 1 月 12 日这一周通知的网站管理员的平均响应时间是 20 天；这是自 2014 年 7 月 20 日(谷歌，2020 年)那一周以来的最低平均响应时间。数据显示，典型的平均响应时间为 60 或 90 天(Google，2020)。

鉴于这些数据，行动的呼吁是明确的。如果您的组织在互联网上运营网站，您的组织有责任关注滥用报告。审查公司资产的滥用报告不是 IT 人员应该在业余时间做的事情；它应该是每个企业治理过程的一部分。

在互联网上运营一个网站的利害关系在于积极管理网络安全基础知识，并在一段负责任的时间内对滥用报告进行监控和采取行动。如果一个组织不愿意做这些事情，它应该帮大家一个忙，关闭它的网站。

在联网系统上运行可信供应商提供的当前反恶意软件解决方案也是一种有效的缓解方法。但是请记住，一旦攻击者成功地破坏了系统，他们通常会试图破坏反恶意软件解决方案。反恶意软件供应商知道这一点，并使攻击者更难做到这一点。但是，一旦攻击者获得了系统或系统管理员的访问权限，他们就拥有了该系统，这使得防止系统安全防御受损变得更加困难。出于这个原因，我喜欢定期进行离线反病毒扫描。例如，微软提供 Windows Defender Offline，它将扫描系统，而不使用活动操作系统的内核。Windows Defender Offline 被烘焙到 Windows 10 中，可以通过从 DVD 或 USB 驱动器运行的下载来用于旧版本的 Windows(微软公司，2020 年)。

当然，对于使用云的组织来说，他们可以简单地每隔几个小时关闭系统并自动重建它们。像这样的短命系统给攻击者提供了很少的时间来利用受损的系统。

然而，即使在短暂的环境中，运行良好的漏洞管理程序和反恶意软件解决方案也是有用的。我将在第八章、云——安全和合规性的现代方法中进一步讨论这一点。

但是现在，让我们看看本章开始时典型攻击模式的最后阶段，一些典型的攻击后活动。

妥协后——僵尸网络和 DDoS 攻击

一旦系统最初被网络安全的常见嫌疑人之一(如我们在本章中讨论的未打补丁的漏洞和/或社会工程)攻破，任何有价值的信息都会从受害者的系统中被窃取，以供出售或交易。此时，攻击者完全控制了他们已经入侵的系统。很多时候，受害者的系统被招募到僵尸网络中，并被用来执行他们的运营商想要的任何非法项目，包括 DDoS 攻击。

关于僵尸网络，它们如何运作，以及它们通常参与的项目，有很多可以写的。事实上，整本书都致力于僵尸网络。我不会试图在这里重复这些。但我确实想简单提一下这个话题的几件事。

不言而喻，僵尸网络多年来已经获得了很多关注。当我在微软工作的时候，微软数字犯罪部门(T0)与执法部门和行业专家(T4)合作，瓦解了一些最大的僵尸网络。这项工作有助于大幅减少互联网上的垃圾邮件，并降低这些僵尸网络向其运营商提供的攻击能力。其中一些僵尸网络由数十万或数百万被入侵的系统组成，每天能够发送数百亿封垃圾邮件和网络钓鱼电子邮件。Rustock 和 Waledac 就是这种僵尸网络的两个例子。为了做到这一点，DCU 不得不将这个问题作为一个新的法律挑战来处理，他们寻求并获得了对这些僵尸网络所使用的域和物理基础设施的法律控制(Jones，2011)。

攻击者会从他们完全控制的系统中取走任何有价值的东西，包括缓存的凭据。多年来，在互联网上发现了大量泄露和被盗凭据的列表(Solomon，2017)。如果被入侵的系统或帐户已经过身份验证并授权访问环境中的其他系统，攻击者也将有可能访问和控制这些系统，从而加剧对组织的损害。

加快检测和恢复活动可以减少攻击者控制这些资产的时间，从而可能减少他们对其他受害者造成的损害，并可能减少与恢复和恢复正常运营相关的成本。威胁情报可以帮助组织识别与已知僵尸网络命令和控制基础设施通信的系统。攻击者知道这一点，并一直在公共网站托管和云环境中托管他们的一些基础设施，以努力在合法的网络流量中隐藏他们的操作。

僵尸网络多年来被用于的非法目的之一是分布式拒绝服务 ( DDoS )攻击。现代 DDoS 攻击使用复杂的技术用网络流量压倒他们的目标，从而剥夺了合法使用受害者托管的服务。

DDoS 攻击能有多大？迄今为止最大的有记录的攻击发生在 2018 年 2 月，当时攻击者对 GitHub 发起了攻击。据说这种 DDoS 攻击的峰值为每秒 1.35 太字节(TBps)，相当于每秒超过 1.26 亿个数据包(Kottler，2018)。这种攻击使用了一种新的方法，即滥用不安全的 memcached 实例。这种方法使攻击者能够将他们的攻击放大 51，000 倍；换句话说，攻击者每发送 1 个字节的网络流量，就有多达 51，000 个字节(51 KB)被发送到他们的目标。这使得攻击者能够通过大量的 UDP 流量来破坏 GitHub 的网络容量，从而中断了该网站近 10 分钟的网络连接。

历史书上的 DDoS 攻击也许不那么复杂，但更有趣，那就是 2007 年对爱沙尼亚关键基础设施的攻击。一些人把这次袭击归咎于俄罗斯(Anderson，2007)。这很有趣的原因是，也许它给了我们一个在未来网络战冲突中会发生什么的预览。同时发生的动态和在线攻击压倒了发动物理和逻辑战争的能力。但那是另一本书的主题！

当然，并不是所有的 DDoS 攻击都需要那么大或者创新才能有效。但是组织可以选择帮助他们减轻这种攻击。有许多供应商提供 DDoS 保护服务，其中一些包括 AWS Shield、Amazon CloudFront、Google Cloud Armor、Microsoft Azure DDoS Protection、Cloudflare、Akamai 等。除了保护服务，云还提供了可用于在 DDoS 攻击期间根据需要自动扩展基础设施的技术(亚马逊网络服务，2019 年 12 月)。

总而言之，关键是要关注网络安全基础，这样你的系统才不会成为僵尸网络的一部分，被用来攻击无数其他组织和消费者。正如我们将在第五章、中讨论的，网络安全策略、投资检测和响应能力将帮助组织最大限度地减少与僵尸网络相关的损失和成本，以及它们给互联网带来的灾难。

章节总结

本章主要讨论基于互联网的威胁。我们研究了网络钓鱼攻击、驾车下载攻击和恶意软件分发站点。如此多的攻击利用了社会工程学，CISOs 和安全团队必须花费时间和资源来缓解它。例如，每周都有数万个新的网络钓鱼站点连接到互联网，每个月都有数十亿封网络钓鱼电子邮件发送给潜在的受害者。

历史上托管高于平均水平的网络钓鱼站点的位置包括保加利亚、乌克兰和印度尼西亚。大多数网络钓鱼电子邮件包含一个指向网络钓鱼网站的链接(微软公司，2018 年)，大多数网络钓鱼网站利用 HTTPS (SSL/TLS)(网络钓鱼活动趋势报告，2019 年第四季度，2020 年)。启用 MFA 后，帐户被破坏的可能性几乎降低了 100%(Weinert，2019)。针对信息工作者的反社会工程培训也是一种有效的缓解方法。

偷渡式下载攻击利用未打补丁的漏洞在用户不知情的情况下安装恶意软件。2019-2020 年，驾车 URL 的数量从 2013 年的峰值大幅减少到目前的低水平。根据微软发布的数据，阿曼的 ccTLD 在 2019 年托管了比全球平均水平多 8591 倍的偷渡式下载网站(微软公司，2020 年)。这可能表明攻击者正在使用.om域攻击在.com域中键入错误 URL 的用户。运行良好的漏洞管理程序和运行来自可信供应商的最新反恶意软件可以有效地缓解偷渡式下载。

恶意软件托管网站在互联网上比钓鱼网站更常见。随后，侧重于减轻网络钓鱼攻击，但不包括偷渡式下载攻击和恶意软件分发站点的网络安全策略可能会遗漏对更高可能性威胁的缓解措施。

受到网络钓鱼攻击、偷渡式下载和其他恶意网站危害的系统最终可能会加入僵尸网络，并被用于攻击其他组织和消费者，包括参与 DDoS 攻击。

这就是我们对基于互联网的威胁的看法。接下来，在第五章、网络安全策略中，我们将研究组织可以用来缓解这些威胁的网络安全策略。

参考

1. 亚马逊网络服务(2019 年 12 月)。AWS DDoS 弹性最佳实践。从亚马逊网络服务检索:D1 . AWS static . com/whites/Security/DDoS _ White _ paper . pdf
2. 新泽西州安德森(2007 年 5 月 14 日)。针对爱沙尼亚的大规模 DDoS 攻击；俄罗斯指责。检索自 Ars Technica:Ars Technica . com/information-technology/2007/05/massive-DDOS-attacks-target-爱沙尼亚-俄国-被告/T5】
3. 谷歌(2020 年 5 月)。谷歌安全浏览。检索自谷歌透明报告:T3】https://Transparency Report . Google . com/safe-browsing/overview？不安全=数据集:0；系列:恶意软件、网络钓鱼；开始:1148194800000；end:1587279600000&Lu =不安全
4. 谷歌(2020 年 5 月)。安全浏览网站状态。从谷歌透明报告中检索:【https://transparencyreport.google.com/safe-browsing/search?】T3HL = enT5】
5. 谷歌(2020 年 5 月 9 日)。恶意软件源自何处。检索自谷歌透明报告:Transparency Report . Google . com/archive/safe-browsing/malware？autonomous _ scan _ history = systemId:18779；dataset:0&Lu = global _ malware&global _ malware = time:qT5】
6. 琼斯 j .(2011 年 3 月 17 日)。微软拿下 Rustock 僵尸网络。检索自微软:www . Microsoft . com/security/blog/2011/03/17/Microsoft-take-down-of-rustock-botnet/
7. 科特勒，s .(2018 年 3 月 1 日)。2 月 28 日 DDoS 事件报告。从 GitHub 博客中检索到:【https://github.blog/2018-03-01-ddos-incident-report/】
8. 微软公司(2012-2017 年)。微软安全情报报告。雷蒙德:微软公司。
9. 微软公司(2012-2017 年)。微软安全情报报告第 14–21 卷。雷蒙德:微软公司。
10. 微软公司(2015-2017)。微软安全情报报告第 19–23 卷。雷蒙德:微软公司。检索自:T3【www.microsoft.com/sir】T5
11. 微软公司(2016)。微软安全情报报告第 21 卷。雷蒙德:微软公司。检索自:T3】https://query . prod . CMS . rt . Microsoft . com/CMS/API/am/binary/re 2 gqwiT5】
12. 微软公司(2018)。微软安全情报报告第 23 卷。雷蒙德:微软公司。检索自:T3【https://query . prod . CMS . rt . Microsoft . com/CMS/API/am/binary/rwt 530T5】
13. 微软公司(2019)。微软安全情报报告第 24 卷。雷蒙德:微软公司。检索自:T3】https://info . Microsoft . com/ww-landing-M365-SIR-v 24-Report-ebook . html？lcid = en-usT5】
14. 微软公司(2020 年 5 月 8 日)。路过式下载页面。从微软检索到:【https://www.microsoft.com/securityinsights/Driveby】T3T5】
15. 微软公司(2020 年 5 月 15 日)。使用 Microsoft Defender Offline 帮助保护我的电脑。检索自微软:T3】https://support . Microsoft . com/en-us/help/17466/windows-defender-offline-help-protect-my-PCT5】
16. 微软公司(2020 年 5 月 8 日)。恶意软件遭遇率。从微软检索到:【https://www.microsoft.com/securityinsights/Malware】T3T5】
17. 微软防御者 ATP 研究团队(2018 年 8 月 9 日)。保护保护者:强化机器学习防御敌对攻击。检索自微软:www . Microsoft . com/security/blog/2018/08/09/protecting-the-protector-hardening-machine-learning-defenses-against-adversarial-attacks/
18. Pegoraro 河(2019 年 8 月 9 日)。我们不断受到钓鱼邮件的困扰，谷歌刚刚揭示了原因。检索自 Fast Company:www . Fast Company . com/90387855/we-keep-falling-for-phishing-email-and-Google-just-discovered-why
19. (2020) 网络钓鱼活动趋势报告 2019 年第四季度。反网络钓鱼工作组。检索自docs . apwg . org/reports/apwg _ trends _ report _ Q4 _ 2019 . pdf
20. h .所罗门(2017 年 12 月 11 日)。在黑暗网络上发现的 14 亿份被盗凭证的可搜索数据库。从加拿大 IT 世界检索:www . itworld Canada . com/article/searchable-database-of-1-40 亿-stocked-credentials-found-on-dark-web/399810
21. t .春天(2016 年 3 月 14 日)。域名抢注者瞄准 Mac 用户。‘om’域名骗局。检索自 Threatpost:Threatpost . com/typosquaters-target-apple-MAC-users-with-new-om-domain-scam/116768/T5】
22. 乌尔豪斯(2020 年 5 月 9 日)。关于。从乌尔豪斯检索到:T3【https://urlhaus.abuse.ch/about/】T5】
23. 乌尔豪斯(2020 年 5 月 9 日)。统计。从乌尔豪斯检索到:T3【https://urlhaus.abuse.ch/statistics/】T5】
24. a . weinert(2019 年 7 月 9 日)。你的 Pa $ $字不重要。检索自微软公司:tech community . Microsoft . com/T5/azure-active-directory-identity/your-pa-word-does-t-matter/ba-p/731984 #

五、网络安全策略

每个企业都应该有一个网络安全策略，每个组织的 CISO 都应该能够清楚地表达出来。不管你的组织有没有策略，我希望这一章能引发一些思考，并提供一些有用的工具。

在本章中，我们将讨论以下主题:

• 过去二十年中采用的网络安全策略示例，包括:
  • 保护和恢复策略
  • 终端保护策略
  • 实物控制和安全审查策略
  • 合规性作为一种安全策略
  • 以应用为中心的策略
  • 以身份为中心的策略
  • 以数据为中心的策略
  • 以攻击为中心的策略
• 看看 DevOps
• 零信任简介

让我们从讨论哪种策略适合您的组织开始。

介绍

在第一章、成功网络安全策略的要素中，我讨论了成功网络安全策略的要素。其中包括我认为是理解网络安全常见疑点的一个关键因素，即组织最初受到危害的五种方式。我在最后三章讨论了 CISOs 和安全团队通常关心的最常见威胁，包括漏洞、利用、恶意软件和政府对数据的访问。在这一章中，我将把所有这些概念结合起来，对过去几十年来我在业界看到的一些网络安全策略进行分析。你可能以前见过其中的一些，也可能用过其中的一些。我这一章的目的不是向你展示一堆策略，让你从中选择一个来使用。我的目标是为您提供一个框架，以确定网络安全策略的有效性，包括我在本章中不会讨论的策略，但您可能会在您的职业生涯中遇到。换句话说，我希望教你如何钓鱼，而不是给你一个一刀切的策略，我知道这只会帮助一小部分使用它的组织。

对您的组织来说，正确的策略是有助于减轻您的组织面临的最重要的风险的策略。风险是相对的；因此，没有一种策略能成为所有组织的灵丹妙药。我会忍住诱惑，简单地告诉你使用 NIST 网络安全框架(NIST，北达科他州)，ISO/IEC 27001 (ISO，北达科他州)，或任何其他可用的伟大框架。您的组织可能已经采用了这些框架中的一个或多个，从治理、风险和法规遵从性 ( GRC )的角度来看，这对于企业规模的组织来说是不可避免的；也就是说，你的组织必须证明它正在做其他行业正在做的事情，否则它将被视为局外人。GRC 框架通常旨在帮助组织在事故发生后免除责任，随后许多组织会优先考虑这些框架。然而，尽管有大量优秀的框架可用，数据泄露的速度并没有放缓。举个的例子，欧洲数据保护委员会 ( EDPB )公布了一份关于通用数据保护条例 ( GDPR )在 GDPR 实现的前九个月后的结果报告。在前九个月，EDPB 收到了近 65，000 份数据泄露通知。

这些组织中的绝大多数很可能完全符合自己的安全政策，从而说明了网络安全与合规之间的区别。这可能只是冰山一角，但它给了我们一些提示，无论大小，组织都需要网络安全策略方面的帮助。

“北欧国家从 31 个欧洲经济区国家报告的病例总数是 206.326。可以区分三种不同类型的案件，即基于投诉的案件、基于数据泄露通知的案件和其他类型的案件。大多数案件与投诉有关，特别是 94.622 起，而 64.684 起是根据主计长发出的数据违规通知启动的。”(欧洲数据保护委员会，2019 年)

在这一章中，我会给你一个稍微相反的观点，意在引起思考。如果你的组织已经有了一个网络安全策略，并且使用了行业框架，本章将会给你一些问题来问你自己关于你当前策略的有效性。如果您的组织没有一个可以清晰表达的网络安全策略，本章将向您介绍其他组织已经使用的一些策略、它们的优点、缺点以及衡量它们潜在有效性的方法。

正如你在第一章、成功网络安全策略的要素中看到的，我在那里描述了什么是网络安全策略，我有意简化了这些策略的描述。我和一些 CISOs 谈过，他们的网络安全策略非常密集，很少有人能完全理解或重复。不幸的是，这些组织中的大多数都出现过数据泄露。最终，在所有这些案例中，最初的妥协都是由于缺乏对网络安全基础的关注或管理失误。保持策略的简单性使得涉众社区和从事这项工作的人更容易理解策略，并向他们的团队解释它(重复一遍)。It 部门和网络安全小组中可能只有几个团队负责理解和执行完整的策略。您可以保留超级复杂的策略版本，覆盖治理、风险、合规性、产品开发、招聘、支持当地网络安全教育计划、继任规划和其他组件，供需要并理解所有细节和抱负的利益相关方使用。

不管网络安全策略有多复杂，它的成功依赖于我在第一章中描述的要素，最重要的是，它如何很好地解决网络安全的基本问题。衡量该策略在一段时间内的表现非常重要，这样就可以进行调整来改进它。接下来，让我们看看如何衡量功效。

衡量网络安全策略的效力

让我用我在第一章中介绍的两个概念重新向你们介绍一下，成功的网络安全策略的要素。我们将使用这两个概念来衡量我们研究的策略的潜在功效。

请记住，网络安全通常怀疑组织最初受到危害的五种方式包括:

1. 未修补的漏洞
2. 安全错误配置
3. 脆弱、泄露或被盗的凭据
4. 社会工程
5. 内部威胁

这是组织最初受到损害的五种方式。一旦 IT 环境最初被破坏，攻击者就可以使用许许多多战术、技术和程序 ( TTPs )横向移动、窃取凭证、破坏基础设施、保持持久性、窃取信息、破坏数据和基础设施等等。这些 TTP 中的大多数已经存在多年了。偶尔，行业会看到攻击者采用新的方法。减轻网络安全通常的嫌疑是我所说的网络安全基础。专注于真正擅长网络安全基础知识的组织会让攻击者更难得逞。网络安全通常怀疑，专注于所有攻击者最初危害网络所做的事情，是组织采用的任何策略或策略组合的硬性要求。

换句话说，如果一个组织的网络安全策略不包括在网络安全基础方面的卓越表现，那么它就是在为失败做准备。为什么呢？我们知道，99.9%的成功妥协都始于网络安全的常见疑点。如果这是真的，为什么您的组织要使用一种至少不能缓解这些攻击媒介的策略呢？为什么您会使用一种您知道存在漏洞、攻击者已经使用了几十年的策略来攻击其他组织呢？还记得我在这本书的序言部分使用的潜艇比喻吗？你为什么要乘坐一艘明知船体有缺陷的潜艇出航？你有足够的信心在潜艇中下潜两英里，并允许巨大的压力在船体的每一平方毫米上累积吗？这听起来很鲁莽，对吗？你们中的一些人会愿意承担一些风险，这样你们就可以在快速发展、竞争激烈的行业中竞争。

这就是我遇到的一些高管感觉他们必须在网络安全和快速行动之间做出选择的地方。但是快速移动和动态变化并不相互排斥；这不是他们必须做出的选择，因为如果他们有一个使他们能够这样做的策略，他们就可以同时获得网络安全效率和业务速度、敏捷性和可扩展性。投资于那些故意无法解决组织受到危害的最常见方式的方法是徒劳的。此外，如果网络已经遭到破坏，组织仍然需要关注网络安全基础，以防止更多的攻击者在他们的网络中获得立足点，从而防止已经居住在网络中的攻击者再次进入网络，如果他们曾经被赶出网络的话。无论一个组织采用什么策略，它都需要纳入网络安全的基本原则。

一旦一个组织磨练了其进行网络安全基础工作的能力，并建立了一个可以依靠的基础，那么投资于高级网络安全能力是有意义的——专注于网络安全基础工作以外的事情的能力。您的策略需要一个坚实的基础，即使它拥有先进的网络安全功能，因为这些功能所依赖的信息平台及其自身的安全性可能会受到未打补丁的漏洞、安全错误配置、社会工程、内部威胁以及弱密码、泄露密码和被盗密码的破坏。

在生产和开发/测试环境中出色地解决所有网络安全基础问题是在您的 IT 环境中成功部署和运行高级网络安全功能的必要条件。例如，如果一个组织没有计划来扫描和修补他们作为其高级网络安全能力的一部分而部署的硬件和软件中的安全漏洞和错误配置，他们就不应该费心部署它们，因为随着时间的推移，它们只会增加组织的攻击面。

您可能想知道，如果您的组织确实擅长网络安全基础知识，为什么您必须投资于高级网络安全能力。因为你必须为失败做准备。你必须假设组织会被攻破，这不是是否会被攻破的问题，只是发生的时间和频率的问题。这种“假定违约”的理念很重要，至少有两个原因。首先，历史告诉我们，计划在一段持续的时间内为大型内部 IT 环境实现 100%的完美保护是一种过于乐观的雄心。你的组织和供应链中的人会犯错误，其中一些是与安全相关的。

例如，您的应用程序，无论是内部开发还是通过供应商开发，都会有缺陷。其中一些错误将是安全漏洞。其中一些漏洞将被利用。你需要为这种可能性做好准备。您需要为管理员可能犯的导致安全配置错误的错误做好准备。您需要为您的供应商中受信任的供应商受到威胁或变得恶意的情况做好准备。这是一个红队可以在现实中制定策略的领域，因为他们擅长利用不切实际的假设。

组织需要采用假定违规理念的第二个原因是，它允许他们的安全团队思考一些关键问题，那些认为他们可以永远实现 100%有效保护的安全团队从来不会问自己这些问题。

例如，他们如何知道自己何时受到了威胁？当他们受到威胁时会怎么做？这些是许多安全团队从来没有问过自己的问题，因为他们不会，或者不能，采用一种假设违反哲学。

一些企业文化不会容忍失败，因此他们为失败做计划的想法对他们来说毫无意义；这就像承认他们不够好，不能胜任自己的工作。在其他组织中，高级管理人员不会支持失败的计划。我遇到过许多高管，他们不明白自己身处一艘承受巨大压力、被恶劣环境包围的潜艇中。我交谈过的一些高管认为，他们在一场可以打赢的战斗中。他们相信，如果他们足够聪明，雇用正确的人，并购买正确的保护能力，他们将赢得这场战斗。但网络安全是一个旅程，而不是目的地。它不像战争那样有开始和结束。它是恒定的，就像潜艇船体上的压力。为失败做准备是他们世界观的对立面，因此他们拒绝支持那些知道他们需要采用更现代的网络安全方法的 CISOs。这就是为什么我总是试图花时间与网络安全策略利益相关者，而不是 CISO 和安全团队在一起的原因之一。通常，安全团队理解我在这里写的一切，但一两个高管或董事会成员有不知情的观点。

高级网络安全能力是您的策略的一部分，将帮助您识别、保护、检测、响应和恢复(NIST，未标明)。这是您的策略的一部分，有助于增强和识别网络安全基础中的缺点。你需要这两者来使策略成功。策略的高价值资产 ( HVAs )组成部分承认 HVAs 的重要性。正如我在第一章、成功网络安全策略的要素中提到的，如果 HVA 的保密性、完整性或可用性受到损害，这通常意味着组织本身将会失败。HVA 的持续妥协可能是一个公司的灭绝事件(Ashford，2016 年)，并促使公共部门组织重新使用铅笔、纸张和他们在投资之前使用的流程。

除了网络安全基础知识和高级网络安全能力之外，专门针对 HVAs 的安全规划和投资将有助于组织管理其最重要资产的风险。

图 5.1:网络安全策略示意图

不管组织的 HVAs 和他们决定投资于哪些先进的网络安全能力(这在组织之间有很大的差异)，我在这里概述的整个策略模型都依赖于网络安全基础提供的基础。如果没有专注于网络安全基础的坚实基础，一项策略将会失败。企业追求的任何网络安全策略都需要至少关注网络安全的基本原则。有鉴于此，我将介绍一种简单的方法来帮助确定一项策略的潜在效力，方法是评估它在多大程度上融入了网络安全基础知识，并减少了网络安全常见的疑点。

我将使用一个简单的评分系统来评估我们所研究的网络安全策略的潜在功效。我称这个系统为网络安全基础评分系统 ( CFSS )。这个系统根据策略降低风险的程度，为每个网络安全常见嫌疑人分配一个 0 到 10 分的分数。更高的分数意味着该策略在缓解每一个特定的网络安全常见嫌疑方面更加有效。例如，20 分意味着该策略完全降低了与特定网络安全常见嫌疑相关的风险。较低的分数(例如 1 分)意味着该策略降低风险的能力相对较低。CFSS 包括五个网络安全常见嫌疑人的单独分数，如表 5.1 所示:

表 5.1:粮安委汇总

所有五个分数的总和就是该策略的 CFSS 总分。一项策略的最低 CFSS 总分是零，最高是 100。例如，如表 5.2 所示，假设我们有一个名为“XYZ”的策略，我们估计 CFS 中五个指标的得分。当我们将个人得分相加时，我们得到 CFSS 总分 23 分(满分为 100 分):

表 5.2:食品安全标准示例

我们的目标是找到一个给我们满分的策略，尽管这可能更有抱负而不是可能。但这种类型的评分系统为我们提供了一种方法来评估一种策略缓解组织最初受到攻击的所有五种方式的能力，以及一种在网络安全基础上比较策略的方法。潜在地，这种方法可以帮助我们确定一种策略组合，如果没有单一的策略可以做到这一点，那么这种策略组合可以在网络安全的常见问题中给我们满分或高分。最后，它还可以帮助我们确定组织当前使用的策略中的差距。如果你知道弱点或差距在哪里，那么你可以制定一个计划来解决这些不足之处。

在我们开始使用这个框架来衡量策略之前，我想指出使用这种评级的隐藏风险。与大多数基于风险的方法一样，它基于这样的假设:CISOs 和安全团队将能够准确地估计风险水平并确定有效的缓解措施。根据我的经验，我见过一些首席信息安全官高估了自己的能力和有效降低风险的能力，同时又低估了风险本身和网络安全基础的有效性。

既然我们已经有了网络安全策略的概念和帮助我们确定不同方法的相对效力的评分系统，让我们更详细地检查众多的网络安全策略。

网络安全策略

正如我在第一章、成功网络安全策略的要素中提到的，当“策略”一词在网络安全环境中使用时，我遇到的一些网络安全专业人士有负面反应。这个词至少有几种不同的用法。安全和法规遵从性专业人员在提到框架、模型或标准时，有时会使用术语“策略”。我在第一章中详细解释了我使用这个术语的意思。如果你还没有读过那一章，我建议你读一读，因为它提供了一大堆背景知识，我不会在这里重复。你会看到我在所有章节中交替使用框架、方法、模型等术语。当我使用这些术语时，请随意联想对您最有意义的术语。

下面的列表包含了我在过去二十年中在这个行业中看到的许多策略。我将详细检查这些策略中的每一个，并为每个策略提供一个估计的 CFSS 分数。我提供的 CFSS 分数是我自己的主观意见，受我自己的假设和偏见的影响。我向您提供一些背景信息，说明为什么每个网络安全常见嫌疑人都是这样评分的，这样您就可以理解我的方法，并同意或不同意它。

我邀请您思考一下您自己对这些策略的 CFSS 评分估计:

• 保护和恢复策略
• 端点保护策略
• 作为一项策略的实物控制和安全审查
• 合规性作为一种安全策略
• 以应用为中心的策略
• 以身份为中心的策略
• 以数据为中心的策略
• 以攻击为中心的策略

当我们回顾这些策略时，即使您的组织没有使用它们中的任何一个，请问问您自己是否知道作为您供应链一部分的供应商是否使用它们中的任何一个。如果您不知道他们用于管理其组织和客户风险的策略，那么您可能需要询问他们如何减轻网络安全常见问题。这是他们应该为自己和客户做的最起码的事情。

我认为有两种方法更多的是关于文化、哲学、过程、实现和支持技术的交集，而不是策略本身。这是 DevSecOps 和 Zero Trust。这些不是传统意义上的网络安全策略，我名单上的其他人都是。除了 DevSecOps 和/或零信任之外，组织可能还会使用我列表中的一个或多个策略。因此，我将把这些方法与前面列出的其他方法分开来讨论。

保护和恢复策略

让我们从一个相对古老的策略开始，我称之为保护和恢复策略。它也被称为外围安全策略。正如老话所说，它通常被描述为有一个坚硬的外壳和一个柔软的，有时是胶粘的中心。这种类比是经常使用的，因为一旦组织的外围防御被渗透，很少或没有什么可以阻止攻击者在环境中横向移动并无限期地持续下去。组织不得不尝试恢复原始数据和 IT 环境，但通常成败参半。按照今天的标准，这被认为是一个过时的策略，但是我发现一个惊人数量的组织仍然坚持它。

顾名思义，这种策略的重点是通过投资防火墙、非军事区 ( 非军事区)、代理服务器和微分段等保护技术来防止攻击者得逞。让我们回到 2003 年，看看为什么这种策略如此流行的一个很好的例子。到 2003 年，互联网上已经出现了成功的大规模蠕虫攻击，如 Code Red 和 Nimda。这种攻击的风险不再是理论上的，因为当时许多人认为是理论上的。业界刚刚开始认识到软件有漏洞，其中一些是可利用的。当时，我在微软面向客户的安全事件响应团队工作。我帮助过的许多组织指责微软没有采取更多措施来保护 Windows 免受此类攻击。

企业客户普遍认为，如果他们用另一个操作系统替换他们的微软视窗系统，他们就安全了。他们是世界上最常用的操作系统的制造商，随后获得了合法安全研究人员和攻击者的大量关注。当然，现在，这么多年过去了，我想大家都明白，所有厂商的软件和硬件都有漏洞。如果你对此仍有任何疑问，请返回并重新阅读第二章、利用漏洞趋势降低风险和成本。在 2003 年，未打补丁的漏洞所带来的风险的缓解手段是防火墙。当微软在 Windows XP Service Pack 2 中默认打开 Windows 防火墙时，人们希望这可以防止利用 Windows 服务和监听网络的应用程序中的漏洞。

Windows 防火墙和其他一些安全缓解措施，包括自动更新，成功地抵御了那个时代的大规模蠕虫攻击。2003 年，许多企业规模的组织已经在其网络外围安装了公司防火墙。但是大多数都有例外，允许所有流量进出端口 80 和 443，以便 HTTP 和 HTTPS 流量可以自由流动；这些就是所谓的“通用防火墙旁路端口”在接下来的几年里，还没有 dmz 的企业建立了 dmz，以便更好地控制进出互联网的网络流量。

安全策略的这一演变对行业来说是重要而有效的一步。但是在这个过程中，外围安全的最初好处被扭曲了。最终，外围安全应该为组织提供两件事情。首先，它保护了那些被认为是私有的资源不被公众访问。第二，阻止匿名入站网络流量进入监听网络的易受攻击服务，让组织有更多的时间来测试和部署安全更新。但是，在应用层功能被内置到这些产品中的 5 到 10 年前，防火墙、dmz 和网络分段可以以某种方式为漏洞管理或其他四个网络安全常见问题提供长期解决方案的想法是错误的。

保护和恢复策略的基本假设是，组织将能够部署和运行足够的保护技术和流程。如果这些都失败了，那么复苏就是他们的计划。因为该组织在保护方面非常出色，所以它实际上不需要投资于检测和响应能力。采用这种方法的大多数组织还投资了备份和恢复功能。他们不一定出于安全目的投资备份和恢复功能；相反，这些降低了数据丢失的风险。当他们的保护策略最终失败时，他们的备份和恢复能力是他们的后盾。因此，尽管这两个组件不一定是连贯的网络安全策略的一部分，但它们在企业环境中部署得如此普遍，以至于它们可以很好地相互补充。如果组织可以永远 100%有效地保护自己的假设被证明是不正确的，那么他们可以从备份中恢复。

这种方法的特点是主要投资于外围和网络保护，以及备份和恢复。具有网络专业知识的专业人员可以将其专业知识扩展到安全领域。这很有意义，因为几乎 100%的攻击都是利用网络进行的。对于许多企业来说，他们的网络小组扩展了他们章程的范围，包括网络安全、dmz 和管理防火墙。

保护和恢复策略有一些优势。与应用程序安全、恶意软件反向工程或红蓝团队等其他安全领域相比，TCP/IP、路由和交换、防火墙配置和操作等技术和领域拥有训练有素的员工。因为这是一个相对成熟的策略，所以有一个非常成熟的供应商和咨询生态系统，他们有几十年的经验来支持它。训练有素的员工队伍和这一生态系统使这一策略成为组织的自然选择，这些组织限制自己主要使用已经与他们签订了网络安全合同的 IT 员工和供应商。

当然，这种策略也有一些缺点。历史已经证明这是一个糟糕的网络安全策略。有些人可能不同意我对这种策略的描述，但你不能否认，在过去 15 年或 20 年中，几乎每一次成为头条新闻的重大入侵中，受害组织都以某种方式使用了这种方法。这种方法一次又一次失败的原因是因为它的潜在假设存在严重缺陷。假设该组织永远不会妥协，因为它将 100%成功地保护自己是过于乐观了。如今，除了保护和恢复能力之外，不投资于检测和响应能力的企业可能会被视为疏忽大意。

减少妥协和检测之间的时间被视为一个现代网络安全咒语，而保护和恢复策略并没有被设计为拥抱。随后，使用这种策略的组织可能会有很长的妥协期和检测期，有时长达数百天或数年。这种策略没有认识到攻击者比防御者拥有不成比例的优势；防守者需要 100%的完美，这是一个不切实际的愿望，而进攻者只需要好一次或者运气好一次。

这种策略依赖于开发人员、管理员、供应商、合作伙伴和用户不要犯任何可能导致危害的错误或不可信的决策。但是正如我们几十年来所看到的，用户将会不知不觉地通过外围防御层带来威胁。如果没有检测和响应能力，一旦组织被渗透，攻击者通常会无限期地持续下去，从而使恢复变得令人向往且代价高昂。

好消息是，随着时间的推移，许多过去使用保护和恢复策略的组织已经成熟了他们的方法。他们仍然采用这种策略，但与其他策略结合使用。他们还升级了他们所依赖的技术和产品。今天，下一代防火墙已经远远超出了过滤 TCP 和 UDP 端口的范围，可以执行深度数据包检测。但是，这些组织仍然需要考虑的一个问题是，他们的业务伙伴和供应链伙伴是否仍然采用这种旧策略。多年来，攻击者一直将目标锁定在规模较小、不太成熟的合作伙伴和供应商身上，以获取他们大客户的基础设施和数据。为此，小型法律公司、营销和广告公司，甚至供暖和空调供应商都成了目标。世界各地许多像这样的小公司仍在使用保护和恢复策略。

网络安全基础评分系统分数

保护和恢复策略在多大程度上缓解了网络安全常见问题？表 5.3 包含我的 CFSS 分数估计值:

表 5.3:保护和恢复策略的 CFSS 分数估计值

您可能已经从我对这一策略的描述中发现，尽管它有一些好处，但它并没有很好地解决网络安全的基本问题。对于未打补丁的漏洞，我给这个策略打了 10/20。

这个分数反映了防火墙和分段可以使攻击者和恶意软件更难访问监听网络端口的可利用漏洞。如果网络流量无法到达易受攻击的服务的端口，则该漏洞就无法被利用。但这种缓解并不是可利用漏洞的永久条件。一旦管理员更改了阻止端口的防火墙过滤器的规则，该漏洞就有可能在管理员不知情的情况下被立即利用。通常，过滤器会阻止某个端口的未经请求的入站流量，但允许入站流量，这是同一端口上合法出站流量的结果。在适当的条件下，服务或应用程序可能会被诱使与攻击者控制下的目的地建立出站连接。防火墙只能暂时缓解未打补丁的漏洞，从而给漏洞管理团队更多的时间来查找和修补漏洞。易受攻击的软件需要从系统中卸载(这对于大多数操作系统组件来说不容易做到)或者需要打补丁。保护和恢复策略并不关注漏洞管理。安全错误配置也是如此。这种策略并不能帮助我们完全缓解这两种网络安全常见的嫌疑——它最多只能延迟利用。为此，我在这两个方面给它打了偏分。

这种策略无法解决脆弱、泄露或被盗的凭证或内部威胁。因此，两者都得了零分。最后，我给这个策略减轻社会工程的能力打了部分分。防火墙和 dmz 可以根据 URL 和 IP 地址过滤连接。它们可以防止被诱骗点击恶意链接的用户连接到已知的恶意服务器和未经授权的站点。可以阻止和标记出站流量以及对此类出站流量的入站回复。面临的挑战是跟上攻击者的步伐，这些攻击者在世界各地使用受威胁的系统来发起复杂的多组件攻击，并不断改变攻击的来源和目的地。历史告诉我们，这种方法并不能非常有效地缓解社会工程攻击。这是因为它仍然依赖用户和管理员来做出合理的信任决策，这一直是一个挑战。尽管如此，我还是给了它社会工程的部分分数。

CFSS 总分为 25 分(满分为 100 分),显然，该策略必须与其他策略结合使用，以便真正关注网络安全基础，并为企业提供一个可以依赖的基础。许多组织已经得出了这个结论，并发展了他们的方法。但是他们供应链中的一些较小的组织可能仍然使用这种策略，因为他们缺乏专业知识和资源来发展。有多少小型企业和独立顾问仍然依赖内置于无线接入点的防火墙进行保护？

保护和恢复策略摘要

该策略的 CFSS 总分是 25/100。它必须与其他策略结合使用。

优势:

• 帮助组织实现和运营的大型供应商生态系统
• 具有多年经验的相对较大的训练有素的劳动力

缺点:

• 历史已经证明这是一个糟糕的策略
• 进攻者比防守者有不成比例的优势，因为防守者必须是完美的
• 它依赖于开发人员、管理员和用户不会犯错误或做出导致危害的不可信决策
• 个人通过边界和基于主机的防御带来威胁
• 问自己一个问题:你的合作伙伴或供应链还在使用这种策略吗？
• 一旦被入侵，攻击者可能会无限期地坚持下去，因为缺乏对检测和响应能力的投资

现在，让我们研究一种不以网络边界为重点的策略。

端点保护策略

接下来，我将讨论另一个相对较老的策略，即端点保护策略。这就是我所说的“代理”策略。这里的想法是，端点，如个人电脑、移动设备、某些类型的物联网设备等，用于处理、存储和传输数据。因此，如果我们保护这些端点，我们就是在通过代理保护数据，这就是数据保护的全部意义。换句话说，如果终端/设备受到危害，数据将受到危害，因此终端必须受到保护。从前，许多组织单独使用这种策略来保护他们的资产。基本假设是，保护终端和设备是保护组织数据的有效代理。

终端保护策略的特点是投资主机保护技术，如清单和漏洞管理解决方案、反恶意软件解决方案、文件完整性监控、基于主机的防火墙、应用程序白名单、web 浏览器保护、移动设备管理、企业配置管理和终端强化等。其中许多功能已经内置于 Windows 和 Linux 操作系统中，但这并没有阻止终端保护供应商提供这些功能的更好实现，这些功能通常具有集成的管理和报告功能。

什么是端点？原来有很多可能的定义。首先，重要的是要了解不同的操作系统制造商允许第三方 ISV 访问不同级别的系统，这可能会对他们的解决方案有很大的影响。销售终端保护解决方案的供应商有自己的定义来支持他们特定的价值主张。这曾经是主要防病毒供应商的简短列表，但是最近几年，该列表已经增长，并且供应商已经变得更加多样化。目前，我估计至少有 20 家不同的供应商在积极营销终端保护平台解决方案。其中包括(按字母顺序排列):BitDefender、BlackBerry Cylance、Carbon Black、Check Point Software Technologies、Cisco、Crowdstrike、ESET、FireEye、Fortinet、F-Secure、Kaspersky、Malwarebytes、McAfee、Microsoft、Palo Alto Networks、Panda Security、SentinelOne、Sophos、Symantec 和 Trend Micro。这一领域还有许多其他供应商，包括东亚某大国的地区供应商等等。

其中一些供应商拥有拥有数十年经验的反病毒实验室，而其他供应商则利用安全公司收购和其他领域的创新来试图扰乱终端保护市场。许多供应商现在将分析和云功能作为其解决方案的一部分。

我在反恶意软件实验室和安全事件响应团队工作了多年，对这种方法非常欣赏。端点是数据泄露期间大多数操作发生的地方。无论防火墙和 IDS 供应商的产品有多好，它们都没有端点设备通常拥有的优势。当你在鱼缸里时，你可以比在鱼缸外看鱼看得更清楚。直接安装在终端上的解决方案支持持续监控和一系列触发时的自动操作。端点防护扫描引擎是世界上最令人印象深刻的编程技术之一。这些引擎必须在模拟真实操作系统的虚拟计算环境中解开攻击者可能嵌套的大量文件压缩和混淆格式，以便近乎实时地确定文件是否是恶意的。

威胁可以是跨不同操作系统和文件系统的基于文件的、宏、脚本、多态病毒、引导病毒、根工具包等等。当然，他们有更多的功能，如启发式，行为分析，浏览器保护，恶意 IP 地址过滤，等等。当您深入了解其中一些终端保护解决方案的功能，并考虑开发这些解决方案并使其保持最新的难度时，您会发现它们令人印象深刻。然而，仅有工程是不够的。这些解决方案的好坏取决于关心和支持它们的研究和响应实验室。维持大量优秀的研究人员、分析人员和支持人员是这些供应商提供的重要功能。令人印象深刻的工程设计与世界一流的研究和响应实验室相结合，是选择有效的终端保护供应商的关键。我之前描述的大型供应商生态系统非常积极。这是因为它创造了健康的竞争，这些供应商通过支持第三方测试(【av-test.org】和【av-comparatives.org】等)和行业会议(年度病毒公告国际会议(Virus Bulletin International Conference(Virus Bulletin，n.d .))来保持彼此的诚实，在这些会议上，他们讨论如何管理他们的行业，等等。

但是当然，这种方法也有挑战。历史告诉我们，终端保护策略本身是不够的。在过去 10 年成为头条新闻的大规模数据泄露事件中，是否有受害者没有运行终端保护解决方案？首先，依靠病人来诊断和治愈本身是一种乐观的方法。一旦系统的可信计算基础遭到破坏，终端保护解决方案如何可靠地使用它来检测系统上的威胁并清除它们？几十年来，终端保护解决方案一直是攻击者及其恶意软件的目标。许多恶意软件家族在最初危及系统安全后，首先会禁用或破坏终端保护解决方案。这就是远程证明服务可以提供帮助的地方，但是根据我的经验，很少有组织使用这样的服务，因为它们很复杂。一些供应商使用虚拟化技术来保护他们的解决方案免受攻击者的攻击。但请放心，攻击者将继续研究破坏终端保护解决方案的方法。

在这场游戏中，比赛场地从来都不公平。攻击者可以购买市场上所有可用的终端解决方案，并在攻击之前测试他们的恶意软件和工具，以确保没有解决方案可以检测或清除它们。终端保护供应商没有同样的优势。但更根本的是，病人真的可以被信任治愈自己吗？一些组织将使用端点解决方案清理受损系统，并允许它们在生产中继续运行，而其他组织则制定了策略来消除和重建任何受损系统。虚拟化使这变得更容易，而云，正如我将在后面详细讨论的，使这变得更加容易和有效。但是这种方法的关键仍然是准确的威胁检测。请记住，尽管所有这些解决方案的理想目标是检测、阻止并在必要时清除 100%的威胁，但这是不现实的。研究和响应实验室的内部目标通常更加现实和可实现。例如，对“动物园”(他们的私人恶意软件库)中的威胁进行 100%的检测，或者对“野外”恶意软件(常见威胁)进行 100%的检测，可能是这些供应商的共同目标。但是对新出现的威胁的检测目标可能是 80%。毕竟，研究和响应实验室需要时间来获取威胁样本、处理它们并为客户部署适当的保护措施，特别是当攻击者使用大规模自动化不断生成数百万个威胁时。

你会乘坐一艘目标是将 80%的水保持在船体外部的潜艇出航吗？可能不会。但是正如我在第三章、威胁格局的演变——恶意软件中所写的，如果您不使用终端保护，因为它不能保护终端免受 100%的威胁，那么您就不能保护终端免受终端保护解决方案所能保护的数百万威胁的侵害。

网络安全基础评分系统分数

让我们看看终端保护策略如何帮助组织解决网络安全基础问题。表 5.4 包含了我对 CFSS 分数的估计。请记住，这些只是基于我的经验的估计，并不反映终端保护的最新水平。如果您认为我的估计与您的相去甚远，请随意提出您自己的估计:

表 5.4:终端保护策略的 CFFS 评分估计值

对于减少未打补丁的漏洞和安全错误配置，我给这个策略打了满分。盘点、扫描、更新、加固和监控的结合非常有效。对于脆弱、泄露和被盗的凭据，我估计终端保护缓解率为 15/20。使用安全访问工作站或特权访问工作站(专门针对查找缓存管理员凭据的攻击而强化的端点)作为其端点策略的一部分的组织可以在很大程度上缓解这种类型的威胁，但不能完全缓解。终端保护解决方案还可以帮助部分缓解社会工程和内部威胁，使用户和管理员更难犯一些常见的错误和不良的信任选择，从而导致危害，但它不能完全缓解恶意的内部威胁。

尽管终端保护策略本身是不够的，但如果不将其与其他策略结合使用，很难想象会有成功的企业网络安全策略。随着越来越多与我交谈过的组织计划在不久的将来评估和采用安全协调、自动化和响应 ( SOAR )解决方案，行业似乎同意这一评估。一些供应商将 SOAR 描述为端点保护的一个进化步骤，因为它结合了一堆不同功能的功能，包括端点保护和响应。

终端保护策略摘要

该策略的 CFSS 总分是 75/100。它必须与其他策略结合使用。

优点:

• 终端上运行的卓越可见性和控制
• 大型供应商生态系统有助于积累数十年的经验
• 持续的威胁研究、响应和不断发展的技术，以领先于攻击者

缺点:

• 历史已经证明，这本身就是一个糟糕的策略，因为它无法阻止许多头条新闻中的重大数据泄露事件。
• 用户抵制限制性太强或影响生产力的系统；在许多情况下，个人通过防御自己带来威胁。这种方法只能部分地减轻开发人员、管理员和用户所犯的导致妥协的错误或不良信任决策。
• 速度是一个因素。相对缓慢和复杂的漏洞管理过程给了攻击者优势。拥有良好终端策略但部署安全更新和其他保护措施相对较慢的组织会接受更多风险。
• 端点保护套件具有不一致的性能历史和期望的性能目标。不了解终端保护供应商内部目标的组织可能无法完全了解相关风险。
• 管理终端安全性依赖于准确及时的资产清点和管理功能。众所周知，这在内部环境中非常困难。稍后我将讨论云如何让这变得更容易。
• 许多组织允许员工使用个人未管理或部分管理的移动设备，这被称为自带设备 ( 自带设备)策略。随后，与在这些设备上传输、存储和处理公司数据相关的风险可能没有被完全理解。
• 路由、交换、存储、物联网和其他硬件设备可能不会集成到组织的终端保护策略中，但应该集成。

这就是终端保护策略。现在，让我们继续讨论涉及物理控制和安全审查的安全策略。

作为安全策略的实物控制和安全检查

我认为下一个策略会被广泛使用，尤其是公共部门组织。我称这个策略为物理控制和安全检查策略。正如您可能从名称中看出的那样，它依赖于对用于传输、存储和处理数据的基础设施的物理控制，以及数据分类和相关的安全许可。这种策略背后的想法是，并非所有数据对控制它的组织都具有相同的相对价值。通过将数据分为反映数据相对价值的不同类别，我们可以确保最有价值的数据得到与其价值相称的保护。

公共和私营部门使用许多不同的数据分类方案；许多组织已经开发了自己的数据分类方案。我们不必比美国联邦政府看得更远，就能看到一个已经大规模部署的数据分类方案的伟大例子。第 13926 号行政命令(美国政府出版办公室，2009 年)定义了国家安全信息分类的三级系统。它将这三个等级定义为绝密、秘密和机密。另一个类似的例子是英国政府对第三方供应商的安全分类(英国内阁办公室，2013 年)。它还定义了三个表明信息敏感性的分类。这些类别包括绝密、秘密和官方。还有许多其他数据分类方案的例子。

诸如此类的数据分类策略可以规定处理每个类别中的数据所必须采用的人员、流程和技术。因此，组织采用的数据分类方案中类别的数量和性质会对组织的文化、招聘实践、IT 投资和预算等产生巨大影响。

这就是安全审查成为一个因素的地方。对于一些组织来说，为了允许人员访问被分类到特定类别的信息，这些人员必须具有允许访问该类别信息的当前安全许可。例如，如果某人没有权限访问被归类为机密的数据，那么他们就不应该被授予访问被归类为机密的信息的权限。为了获得安全许可，可能会涉及背景调查，其中一些调查比其他调查更深入、更复杂。

例如，一些安全审查需要犯罪历史调查。其他更深入的背景调查要求进行犯罪历史调查、就业背景调查和金融信用评分调查，此外，申请人还需提供个人证明资料，作为背景调查过程的一部分，他们将接受面试。一些安全许可有特定的公民身份要求。一些许可有申请人必须经历的一次性过程，而其他许可需要定期更新。一些技术供应商让他们的客户了解他们对员工进行的背景调查。微软就是一个例子；他们已经发布了 Office 365 人事控制(微软公司，2019 年)。

你可能想知道为什么雇主不定期进行这些检查。不同的国家和司法管辖区都有保护员工隐私和权利的当地劳动法和法规。例如，在美国，过多的信用检查会降低个人的信用评分。允许雇主制定可能对现有或潜在员工产生负面影响的行政程序并不明智。请注意，一些数据分类方案不需要安全审查，因为它们旨在为处理数据的工作人员提供一种了解应该如何处理数据的方式。

从安全的角度来看，认真对待这种方法的组织实际上是在试图为他们的数据创建一个具有高级安全保证的封闭系统。处理数据(尤其是敏感数据)的人员将接受审查，以最大限度地降低他们怀有恶意或容易被贿赂或勒索以违反组织政策的可能性。这种保证的概念也延伸到他们的过程和技术。例如，一些组织的政策规定，数据只能由通过认证流程的硬件和软件传输、存储和处理。所有其他电子设备都不允许进入他们的内部环境。这包括任何有电源线或电池的东西。这些经过审查的员工用来操作其认证系统的业务流程经过精心设计，以确保可审计性，并确保多人参与，以保持彼此诚实。使这个封闭系统工作的基本假设是，组织对其整个基础架构具有端到端的控制，并且其供应链受其安全许可和认证流程的制约。众多值得信赖的 IT 供应商参与了这些类型的供应链。

这种策略的精髓可以追溯到几十年前，如果不是几个世纪的话，它被世界各地的军队和国家安全组织大量采用。当然，历史上也有国家安全失败的例子，这告诉我们这种方法并不是万无一失的。到了现代，这种模式一直在进化。它在小范围内运行良好，但随着规模的扩大，管理起来会越来越困难。为了扩大运营规模，这些组织在内部管理所有 it 变得更加困难。使用这种模式的组织类型面临着与其他行业相同的 IT 资源和招聘挑战。

随后，他们中的许多人将大部分 IT 外包出去以应对这些挑战。在许多情况下，这意味着他们用来管理 IT 的承包商可以实际访问数据中心和处理数据的服务器。

更具体地说，在工作过程中，这些承包商可以访问在这些服务器上运行的操作系统和虚拟机管理程序、虚拟化工作负载以及这些工作负载中的数据。但是拥有数据的组织必须维护他们的封闭系统来保护数据，这是他们的策略。由于承包商有可能接触机密数据，他们需要与本组织正式人员相同的安全审查。承包商的数据中心和其中的 IT 基础设施也必须通过组织的认证流程。尽管所有的努力都致力于清除，历史告诉我们，他们不能完全减轻内部威胁。由于这一切都很复杂，完成起来非常昂贵，为了使其在经济上可行，这些组织与合格承包商之间的合同往往是非常长期的，有时长达 10 年、20 年，甚至 30 年。这种托管服务提供商模式是过去 20 多年来外包给这些组织的方式。当然，使用托管服务提供商有很多优点和缺点；稍后我会谈到其中的一些。

总而言之，物理控制和安全审查策略的重点是硬件和软件的安全保证，以及对数据中心工作人员和管理员的定期背景调查。它的特点是在人员、流程和技术方面的投资，有助于维护物理安全、保证以及对数据中心员工和管理员的信心。数据分类通常在帮助保护最重要的数据方面起着至关重要的作用。这种方法有很多好处。一些政府使用这种策略已经有数百年的历史了。它可以通过识别潜在的风险职位候选人和可能访问敏感数据的人员，帮助部分缓解内部威胁。第三方对硬件和软件可信度的验证或证明有助于安全保证，并有助于证明尽职调查。有一个大型的供应商生态系统来帮助想要实现这种策略的组织。

当然，这种策略也有一些重要的缺点和局限性。首先，数据分类对大多数组织来说都是一项挑战。对于希望确保其最敏感的数据得到适当保护的组织来说，使用数据分类非常有帮助。将所有数据视为对组织具有相同的相对价值是管理数据最昂贵的方式。但是众所周知，数据分类方案很难在大型组织中成功实现。根据我的经验，在数据分类方面取得最大成功的组织是那些安全性深深植根于文化中的组织。军事和准军事组织、执法机构、国防部门和情报机构是数据分类深深植根于文化、人员、流程和支持技术的组织的一些例子。

许多商业组织已经尝试并失败了，有些是多次尝试，以建立数据分类方案。这些组织面临的典型挑战是找到一种方法来对数据进行分类，而不会使信息工作者难以或不可能完成工作。允许创建数据的同一批人对数据进行分类的组织通常最终会得到大量过度分类或分类不足的数据，这取决于对员工的影响。例如，在军事组织中，数据分类不足可能会导致严重后果，如生命损失或刑事指控。这些组织中的数据往往会被过度分类，因为员工的安全胜于遗憾；他们很少会因为过度分类数据而陷入麻烦，尽管大型组织中的每个人都习惯性地这样做，会产生巨大的额外成本。

在没有生死后果或国家安全问题的组织中，数据可以更容易地分类，使信息工作者更容易完成工作。其中一些组织的高管认为这些规则不适用于他们，并要求临时访问他们需要的任何数据，不管这些数据是如何分类的或为什么分类。这是他们经常成为商业电子邮件妥协方案和其他社会工程攻击的目标的一个原因。他们可以访问任何数据，并且通常可以免于不方便的安全控制，这些安全控制可以减轻此类攻击。一个经常被意识到的灾难的配方。

当然，在这两种数据分类不足或过度的情况下，数据分类都没有实现它的承诺。一些商业和公共部门组织决定不制定数据分类计划，因为它们过去这样做的尝试都失败了，或者没有达到预期的目标。相反，这些组织认为数据分类过于复杂和昂贵，不值得。对他们来说，将所有数据视为相同的价值更容易、更有效。其中一些将采用不太正式的非常简单的数据分类方案，将一些文件和数据标记为机密或内部专用。但是所有数据的数据保护要求都是一样的。

请记住，在许多组织中，通常存储、处理和传输所有分类数据的系统是电子邮件。组织拥有两个独立的电子邮件系统的情况相对较少，一个电子邮件系统用于非机密数据，另一个用于机密数据。随后，所有分类的数据都可能出现在电子邮件中，这可能成为数据泄露的来源。

数据驻留通常是采用这种安全策略的组织的一项要求。也就是说，他们要求所有处理和存储数据的数据中心必须位于特定的国家或管辖区。例如，联邦政府部门的所有数据都必须留在他们国家的国界内。数据驻留要求有几个不同的原因，但最常见的一个原因是数据驻留为数据提供了更好的安全性，并且组织需要数据主权，而在另一个国家的边界内他们可能不会拥有数据主权。为了维护他们的封闭系统，他们不能冒险将数据中心放在另一个政府拥有主权控制权的地方。

数据驻留并没有减轻任何网络安全常见的嫌疑。这是因为 99%的攻击都是通过网络远程发生的，与数据中心的物理位置无关。攻击者并不关心数据中心的物理位置，因为这对于绝大多数攻击来说并不是一种有效的缓解措施。

这就是为什么许多采用物理控制和安全检查策略的组织在他们的网络中设置了“空隙”。换句话说，他们的网络不直接连接到互联网。组织试图用几种方法来实现气隙。有些人干脆不从 ISP 处获得互联网连接。有些使用经认证的数据二极管，只允许网络流量单向流动。当网络位于具有非常具体的防火墙规则的隔离区之后时，一些组织称之为“空气间隙”。随着时间的推移，要实现和维护一个真正的无线网络是非常困难的。移动设备、物联网设备和普通办公设备(如复印机)无处不在，这些设备希望给家里打电话提供库存和服务信息，这使得保持断开网络连接变得非常困难。一些组织维护两个网络，一个用于机密信息，另一个用于非机密信息。这些环境中的信息工作者通常在他们的桌子上有两台计算机，每台计算机连接到一个网络。一些使用无线网络的组织要求将所有移动设备、笔记本电脑和电子设备存放在设施前门的储物柜中。

实现和维护无线网络的组织可以使攻击者更难利用网络安全通常的嫌疑人来最初危害他们的网络。然而，正如多年来 Stuxnet 攻击和许多其他对空中网络的攻击所证明的那样，这不是一个不可克服的挑战。此外，数据驻留远不如其他可用的控制措施有效，这些控制措施有助于减轻这些组织对其数据驻留要求的风险，如加密和有效的密钥管理。正如我稍后将讨论的那样，借助现代加密和密钥管理技术，组织可以在操作数据的同时实现非常强大的数据保护，从而帮助他们更快地做出更好的决策。

或许物理控制和安全审查策略面临的最大挑战是，世界在某些关键方面已经发生了变化，随着时间的推移，所有这些都将使这一策略变得更加难以实现，也更加低效。目前使用这种策略的组织正受到多方面的挑战。

例如，今天的大多数组织都希望利用机器学习和人工智能。他们将面临这样的挑战:在其经认可的内部、空气间隙 IT 环境中，或者通过其传统托管服务提供商的数据中心，以可扩展的方式做到这一点。为了跟上不受相同认证和鉴定流程限制的对手，组织必须改变采购和运营 IT 服务的方式。要做到这一点，他们将不得不放弃一些他们已经拥有了几十年的端到端控制。他们的封闭系统将不得不进化。对于其中一些组织来说，这种改变非常困难，因为它最初与他们过去几十年在治理、风险和法规遵从性方面的做法大相径庭。这并不意味着他们必须满足于不太安全的 IT 环境，但是他们必须重新评估如何在一个他们不拥有端到端基础架构的世界中减轻他们所关心的风险。面对一波又一波的云创新浪潮，维持现状的内部 IT 成本不断上升，这意味着采用这种策略的组织要么会成功发展，要么会变得越来越无关紧要。

网络安全基础评分系统分数

让我们看一下表 5.5–物理控制和安全审查策略在多大程度上有助于解决网络安全基础问题？我将评估这种策略的两种风格的得分，一种有气隙网络，另一种没有气隙网络。正如你将看到的，这个在分数方面有很大的不同。

表 5.5:具有气隙网络的物理控制和安全许可策略的 CFSS 分数估计值

这种策略的所有属性，如数据分类、安全检查或认证硬件的端到端控制，都无法帮助完全缓解未打补丁的漏洞、安全错误配置以及脆弱、泄露或被盗的密码。像保护和恢复策略一样，有空隙的网络可以给安全团队更多的时间来解决这些网络安全的常见问题，但它们仍然必须得到解决。如果没有对目标网络的远程网络访问，则脆弱、泄露和被盗的凭证更难使用。如果准确一致地应用最小特权原则，就更难实现对敏感数据的未授权访问。

正如我在本章前面所讨论的，数据分类和安全检查有助于减轻内部威胁，尤其是恶意的内部威胁。但是，它并不能完全减轻用户和管理员犯错误或做出导致危害的不良信任决策的风险。正因为如此，我给它的内部威胁和社会工程打了部分分。这种方法似乎是为了减少非法的政府数据访问而优化的，比如军事间谍。对于我与之交谈过的使用这种策略的组织类型来说，这无疑是一个真正的风险，也许是他们最优先考虑的风险。但显然，这不是他们需要缓解的唯一高优先级风险。

我见过一些组织使用这种策略，却没有实现一个无线网络。如果没有无线网络，依靠数据分类、安全检查和端到端认证硬件在解决网络安全基础问题上的效率会大大降低:

表 5.6:没有气隙网络的物理控制和安全许可策略的 CFSS 分数估计值

为了真正缓解网络安全常见的疑虑，无论是否使用了空中网络，这种方法都需要与其他网络安全策略结合使用。我见过许多组织，他们已经知道这一点，并且多年来一直在寻求补充策略。但是这些组织的文化使他们很难采用新的方法和技术；套用一句话来说，在全球变暖的时代，他们有一种冷漠的态度。互联网和云使 IT 民主化，给了每个人前所未有的能力。使用这种策略数年或数十年的组织面临的挑战是如何足够快速地调整其当前的方法，以使他们能够应对比过去更多的资源充足的对手。

实物控制和安全审查策略摘要

使用气隙网络时，CFSS 对该策略的总估计分数为 55/100。对于使用这种策略，但没有有效的气隙网络的组织，我估计 CFSS 总分是 20/100。我的结论是，这一策略必须与其他网络安全策略结合起来使用，以便充分解决网络安全的基本问题。

优点:

• 军队和政府有数百年使用类似方法的实践
• 空气间隙网络有助于部分缓解一些常见的网络安全问题
• 通过使恶意内部人员更难得逞，帮助部分缓解内部威胁，包括非法的政府数据访问
• 硬件的第三方验证/证明有助于安全保证，并有助于证明尽职调查
• 拥有一个庞大的供应商生态系统来帮助采用这种方法的组织

缺点:

• 这种方法通常利用的认证基础架构类型通常会带来巨大的成本
• 数据驻留提供更好的安全性这一基本假设是不成立的
• 由于大多数攻击都是远程实现的，没有对硬件的物理访问，也不考虑数据的物理位置，因此这种方法的成功在很大程度上取决于网络空气间隙，以部分缓解网络安全常见问题
• 高度受限的空气间隙环境中的数据可能更难操作
• 不能完全缓解内部威胁，因为它关注的是恶意的内部人员，而不是自动化，这也有助于缓解非恶意的内部威胁
• 让攻击者获得优势，因为他们可以比防御者更快地使用新技术

现在，让我们继续，考虑一些组织如何使用法规遵从性作为安全策略。

合规性作为一种安全策略

合规性和网络安全是两个不同的、略有重叠的学科。法规遵从性通常侧重于证明一个组织满足监管、行业和/或内部标准中定义的要求。合规可以在许多方面有所帮助，其中最主要的是网络安全保险目的和证明尽职调查以限制责任。这与网络安全不同，后者侧重于识别、保护、检测、响应和恢复(NIST，未注明日期)。但是我看到许多组织将这些不同的学科融合在一起，因为它们可以相互重叠，正如我在图 5.2 中所展示的。我见过类似的例子，合规是网络安全的一个子集，反之亦然。我认为所有这些方法都是有道理的。我与之讨论过这个问题的一些组织所采用的方法是将这两个圆圈在彼此之上旋转，并假装它们是同一个东西。

这并不是说组织不能协调他们的努力来追求合规性和网络安全。这是大多数组织需要做的，但许多组织没有做到:

图 5.2:法规遵从性和安全性规程重叠但不同

我发现，组织将合规性和网络安全混为一谈有多种原因。首先，一些受监管的标准有与之相关的违规处罚或罚款。这为组织提供了激励，以证明他们符合这些标准，并投资于法规遵从性计划。但由于大多数组织都有资源限制，许多组织认为他们被迫决定是将资源用于合规性还是网络安全。在某些情况下，组织最终会使用这种策略，因为他们的资源充足、意图良好的法规遵从性组织功能过多。也就是说，他们的努力不仅仅是证明他们符合适用的标准，还包括执行您通常会看到安全团队执行的功能。这没有错，但是我们需要认识到他们的专业领域和他们计划的重心是法规遵从性。我见过的一些使用这种策略的组织这样做，仅仅是因为他们的合规计划比他们的网络安全计划更老、更成熟；他们在行业中已经有几年或几十年的合规义务，而网络安全对他们来说是一项相对较新的投资。

此策略的基本假设是，满足法规遵从性义务足以保护组织的数据。随后，重点是满足组织的法规、行业和内部合规性义务，并在审计中证明这一点。

这些标准可能包括 PCI、HIPAA、GDPR、NIST 标准、ISO 标准或组织自己的内部 IT 安全标准等。这一策略的特点是对人员、流程和技术的投资，帮助组织履行其法规遵从性义务。这通常表现为定义良好的控制集和定期审计的可重复流程。

对于没有网络安全策略或治理实践不成熟的组织来说，这种策略可能非常有利、健康和积极。大多数行业制定的安全相关标准都提供了一组最低要求，组织应该努力达到这些要求。组织通常需要采取一些步骤来使其 IT 治理、基础架构和运营处于良好状态，以便根据行业标准进行首次审核，这些步骤可以极大地改善其安全状况和整体网络安全计划。组织不应低估与遵守监管标准和行业标准相关的努力和潜在变化。这种努力通常会获得比开始时更好的安全性，以及他们可以扩展并继续构建的基础。

许多组织面临的挑战是认识到大多数受监管的安全相关标准都是最低要求，而不是意味着它们不能被破坏的某种认证。尽管许多组织都需要法规遵从性，但这不足以保护他们的系统和数据免受现代威胁。这就是作为安全策略的法规遵从性的不足之处。历史告诉我们，这是一个糟糕的策略。不乏资金雄厚的大型组织达到监管标准，但同样遭到违反的例子。想想所有那些符合行业监管标准，但还是被违反的金融机构、零售商和餐馆。想一想全球医疗保健行业中所有努力遵守严格的行业数据保护标准的组织，他们将患者数据的控制权拱手让给了攻击者。在过去的 15 年里，在所有这些行业的数据泄露事件中，我自己的个人数据已经被多次泄露。这并不意味着受监管的安全相关标准毫无价值。正如我提到的，它们对许多许多组织都非常积极。我宁愿在一家试图遵守 PCI DSS 的餐厅使用我的信用卡，而不是在一家不遵守的餐厅。

受监管的安全相关标准本身是不够的。这至少有几个原因。首先，像这样的标准通常有一个定义的范围，比如信用卡持有人信息或患者信息。支持这些标准的控制集是为定义范围内的基础设施和数据而设计的。但是组织拥有的其他人道主义援助呢？如果组织使用其有限的资源只解决被审计的范围并受到处罚，他们可能不会对其他 hva 及其更广泛的基础设施给予足够的关注。监管标准不足的第二个原因是，它们很少跟上威胁形势或技术进步的步伐。这更多的是与行业采用标准的速度及其经济影响有关，而不是与标准机构本身有关。将更新的安全相关标准要求部署到全球数百万零售商和餐馆需要数年时间。这就是为什么组织需要一个更广泛的网络安全策略，包括合规性，但以物质方式补充其缺点。简单来说，企业需要双管齐下。

网络安全基础评分系统分数

我对作为安全策略的合规性的 CFSS 评分估计显示，这种策略可以部分缓解所有网络安全常见问题。请记住，我们的目标是找到一种策略或策略组合,让我们获得完美的 100/100 CFSS 总分。随后，该策略将需要与其他策略结合使用，以全面解决网络安全常见的问题:

表 5.7:CFSS 对作为安全策略的合规性的评分估计

我给这种策略打了全面的分数，因为它可以帮助组织缓解所有这些威胁，但它通常使用范围有限，并且适应威胁形势变化的速度很慢。这一策略能够并且确实创建了一个基础，尽管不完整，但是许多组织可以在此基础上使用补充方法。

法规遵从性作为一种安全策略摘要

该策略的 CFSS 总估计分数为 50/100。作为更广泛的网络安全策略的起点，这种策略对组织非常有益。将合规性要求整合到更全面的网络安全策略中的组织有可能降低复杂性、成本并实现更好的安全性。

优点:

• 对于没有安全策略或治理实践不成熟的组织来说，这是非常积极的
• 审计师的第三方验证/证明对于证明尽职调查很有价值
• 大型供应商和审计公司生态系统有助于
• 将合规性要求整合到整体网络安全策略中的组织有可能降低复杂性、成本并实现更好的安全性
• 遵守一些监管标准，例如 GDPR，将提高许多组织的标准

缺点:

• 历史表明这是一个糟糕的策略，因为许多遵守标准的组织无论如何都会被违反。
• 通常依靠合规和审计团队以及第三方审计员来仲裁组织的安全状况。
• 侧重于实现监管标准中规定的控制集，具体范围通常不包括所有 hva。
• 仅达到法规上次发布时规定的最低要求；很少反映现代风险和缓解措施。
• 进攻者比防守者有更大的优势。这是因为他们可以完全了解合规所需的控制集，而这些控制集很少能跟上威胁形势的变化。
• 在某些情况下，监管合规性使用了本可用于更有效的网络安全的资源。

现在，让我们看看以应用程序为中心的策略。

以应用为中心的策略

这是另一种代理策略。应用程序处理、存储和传输数据。如果我们保护应用程序，那么通过代理，我们也在保护数据。这种方法通过减少应用程序中的漏洞数量以及这些漏洞的严重性来保护应用程序。它还努力使应用程序中不可避免的漏洞变得非常难以利用，如果不是不可能的话。这些也是我在第二章、中介绍的利用漏洞趋势降低风险和成本的漏洞改进框架的基本原则。这种方法的一个基本假设是，在应用程序发布之前修复错误和减少漏洞的成本要低得多。这包括对人员、流程和技术的投资，其中可能包括威胁建模、安全开发生命周期、静态和动态代码分析工具、渗透测试、移动设备管理、移动应用程序管理、bug 奖金等。

我非常相信这个策略；毕竟，你会在一艘有人从内部在船体上钻孔的潜艇里出航吗？这仍然是一个被低估的风险，因为企业似乎仍然没有根据他们的安全开发实践来选择供应商或解决方案。

我领导微软安全开发生命周期(【SDL】)(微软公司，挪威)的营销传播已经有几年了，亲眼目睹了它是如何帮助开发团队的。

你不必有一个像微软这样的大规模开发组织来从这个策略中获益。俗话说，水涨船高。随着时间的推移，CISOs、安全团队、合规专业人员和开发组织都可以通过实现工具支持的安全开发教育、策略和流程来帮助提升其组织的安全潮头，从而帮助提高内部开发的软件和从第三方采购的软件的质量。例如，在开发人员编写任何代码之前，要求每个内部开发的应用程序都需要一个威胁模型，这有助于改进设计并减少潜在的漏洞。类似地，在开发的特定里程碑要求静态代码分析可以帮助减少进入生产的漏洞的数量和严重性。没有在开发过程的每个阶段都实现安全需求的组织通常会在部署应用程序后为这个决策付出更高的代价。

但是像所有其他策略一样，这个策略也有缺点和限制。相同的操作系统特性、工具、ide、开发库和框架(C++、JRE、.NET 等等)也可能是漏洞的持续来源。Java 运行时环境 ( JRE )是常年的例子。这为开发团队节省了大量的时间和费用，但是机会成本是他们的应用程序可能会继承 JRE 本身需要修补的漏洞。在这些框架中发现漏洞和修复漏洞之间的时间间隔对其应用程序的用户来说是一种风险。

这种策略的另一个缺点是，尽管更少的漏洞和更低严重性的漏洞是可衡量的指标，但它们很难转化为商业价值，我已经多次看到组织在努力解决这个问题。对于 CISOs 和开发组织领导人来说，辩称攻击不是因为应用程序安全投资而发生的，这可能是一个难以理解的论点，其他高管也难以理解。对 CISOs 和漏洞管理团队来说似乎是常识的东西，对其他利益相关者来说可能仍然模糊不清。

正如我在第二章、中所写的那样，利用漏洞趋势降低风险和成本，利用来自漏洞管理程序的关于环境状态的数据，可以帮助您证明应用程序安全性的合理性。尝试将未修补漏洞的数量降至零，并使用数据来帮助其他高管了解实现这一目标的进度和相关成本，可以帮助他们理解为什么防止新的漏洞通过第三方和内部应用程序被引入环境非常重要。

网络安全基础评分系统分数

综上所述，让我们看看以应用为中心的策略在 CFSS 中的表现如何:

表 5.8:以应用为中心的策略的 CFSS 评分估计值

我给这个策略打了满分，因为它能够减少未打补丁的漏洞和安全错误配置。我知道这对于大多数组织来说有点乐观，但是在某些情况下这是可能的。我给这个策略打了部分分，因为它能够减轻内部威胁、社会工程以及脆弱、泄露或被盗的凭证。例如，设计需要 MFA 并提供丰富的日志和审计功能的应用程序可以帮助部分缓解这些威胁。

以应用为中心的策略摘要

所有组织都可以从这种方法中获益。然而，就其本身而言，其 CFSS 总评估分数为 70/100。我建议各组织采纳这一策略，并通过其他有助于全面解决所有网络安全基础问题的方法来支持这一策略。

优点:

• 可以减少组织内部采购和开发的软件中漏洞的数量和严重性。
• 可以降低维护成本，最大限度地减少业务中断，并显著提高应用程序的安全性。
• 利用操作系统、ide、开发库和框架(C++、JRE、.NET 等等)和容器。这降低了开发团队的复杂性、成本和工作量，同时潜在地提高了安全性。
• 大型现有供应商生态系统可以提供帮助。

缺点:

• 依赖开发人员生成无漏洞的源代码或使漏洞无法被利用；历史告诉我们这是乐观的
• 易受操作系统、ide、开发库、框架和容器等漏洞的影响
• 业务投资回报的沟通可能具有挑战性

现在，继续以身份为中心的策略。

以身份为中心的策略

您会记得网络安全的一个常见疑点是薄弱、泄露和被盗的密码。几十年来，凭证及其保护的资产一直是攻击者的货币。许多人在应用程序、系统和服务中重复使用密码。当其中一个遭到破坏并且凭据被盗时，攻击者会立即在互联网上的其他系统和服务上尝试这些凭据，例如主要的在线银行门户、电子商务网站、社交网络等。业界长期以来一直希望弃用密码而采用更好的身份验证方法，并使用来自身份验证和授权系统的数据来做出更好的资源访问决策。这些概念是以身份为中心的策略的核心。

虽然身份和证明你的身份的概念是古老的，但以身份为中心的策略是一种相对较新的策略，它迅速获得了流行。这种策略背后的想法是，在大多数成功的数据泄露过程中，在某些时候，攻击者将使用合法的凭据。我们如何利用这一优势来保护、检测和响应攻击？嗯，认证和授权过程可能会生成一些有用的元数据。例如，如果我们可以确定身份验证或授权请求来自的大致位置，我们就可以计算出其合法性的可信度。类似地，如果我们可以将请求的一些关键属性与来自同一帐户的过去请求的特征进行比较，这也可以帮助我们在一定程度上确信请求是合法的。有很多这样的元数据可以帮助组织保护、检测和响应攻击。以下是此类数据的部分列表:

• 用于请求的凭据强度(旧协议与新协议)
• 位置和时间数据:
  • 请求的来源位置
  • 一天中的请求时间
  • 来自不同地点的请求之间的时间间隔–在请求之间的时间间隔内不可能在这些地点之间旅行吗？
• 发出请求的设备的可信度:
  • 组织是否安装了有效的数字证书？
  • 它是公司管理的设备还是不受管理的个人设备？
  • 硬件或操作系统版本是否有已知的未打补丁的漏洞？
• 用户行为:
  • 用户输入了多少次不正确的凭据？
  • 用户上一次被提升 MFA 是什么时候，结果如何？

这种策略的基本假设是，通过更好地保护用于访问数据的身份，并使用身份元数据来寻找危害迹象，组织可以更好地保护数据、检测危害并更快地做出响应。这种方法的重点是保护用于访问组织数据的凭据，尤其是特权帐户(如管理员)的凭据。事件响应团队、取证专家以及红蓝团队都知道，特权帐户凭据对攻击者来说就像金子一样珍贵。当我在微软面向客户的事件响应团队工作时，攻击者的作案手法非常一致；一旦攻击者最初使用网络安全常见的嫌疑人之一来危害 IT 环境，在几秒钟内，他们的脚本就开始运行，试图在被危害的系统上获取缓存的凭据。如果可能的话，他们会使用这些凭据在环境中横向移动，沿途寻找更多缓存的凭据。找到特权帐户的缓存凭据使得攻击者更容易深入环境，然后访问更多资源和数据。如果攻击者能够泄漏受害者的 Microsoft Active Directory 的副本，他们将执行离线攻击，使用彩虹表和/或其他工具相对快速地获得更多凭据(维基百科，未注明)。一旦攻击者到了这个阶段，恢复是令人向往的。这些年来，我遇到过许多处于这种情况下的组织。他们中的一些人决定与攻击者“共享”他们的 IT 环境，因为恢复成本太高，而且需要大量资源。其他人决定从头开始重建他们的基础设施，或者利用这种妥协作为在云中重新开始的动力。由于攻击者试图理所当然地获取凭据，因此许多组织专注于保护凭据，并使用身份元数据来加速检测。

以身份为中心的策略的特点是投资 MFA、实现最小特权原则、身份管理技术、凭证保险和卫生实践，以及检测被滥用的凭证(例如 Pass-the-Hash 和 Golden Ticket 攻击)。例如，为了对抗对微软活动目录的攻击，微软已经采取了许多措施来使攻击者更难得逞。除了对其产品进行工程改进，他们还发布了关于如何强化 Active Directory 的指南(微软公司，2017)。

他们还发布了许多关于所谓的“红色森林”或增强的安全管理环境的内容。这种类型的体系结构有助于保护特权凭证，并使攻击者更难获得这些凭证。但是这些先进的架构和配置并不适合胆小的人。在隔离的域中使用特权访问工作站 ( PAWs )在理论上听起来不错，但是很少有组织拥有在如此严格控制的环境中管理和操作其 IT 所需的管理自律。然而，在本地分布式环境中保护凭据从来都不容易。

在过去的 20 年里，身份空间爆炸式增长。有专门从事访问管理、特权访问、身份治理和其他几个领域的供应商。一些销售支持以身份为中心的策略的技术的供应商将身份称为“新边界”,以强调保护凭据和凭据安全的重要性。身份空间中有几家供应商可以帮助简化凭据保护，并提供对重要元数据的访问以加速异常检测。我所看到的一些组织利用的供应商包括 CyberArk、Okta、Ping Identity、BeyondTrust、Microsoft 等等。

网络安全基础评分系统分数

以身份为中心的策略在 CFSS 中得分如何？它没有完全解决任何网络安全的基本问题:

表 5.9:以身份为中心的策略的 CFSS 评分估计值

这种策略不能减少未打补丁的漏洞或安全错误配置。但是一些漏洞和安全错误配置需要经过身份验证的访问才能被利用。专注于实现最小特权原则和实践良好凭证卫生的组织可以使可靠利用漏洞和错误配置变得更加困难，并“限制爆炸半径”随后，我给这个策略的这两个网络安全基础打了偏分。我不能给它减轻脆弱的、泄露的和被盗的凭证打满分，因为遗留应用程序倾向于通过这种策略而失败；MFA 通常不能在任何地方部署，元数据也不总是可用的。类似地，这种方法可以通过实现即时 ( JIT )和即时管理 ( JEA )模型、凭证保险库和其他缓解措施来帮助部分缓解内部威胁。社会工程可以通过 MFA 和最小特权等控制来部分缓解，但不能完全缓解。

以身份为中心的策略总结

该策略需要与其他策略结合使用，以充分缓解网络安全常见问题。虽然它没有得到特别高的分数，但它肯定是一种有价值的、现代的、补充性的方法来提高保护、检测和遏制能力。然而，这可能低估了身份在现代网络安全策略中的重要性。身份仍将是有效网络安全策略的核心。在这一领域的投资可以为 CISOs 带来丰厚的回报。

优点:

• 专注于改善历史记录不佳的治理和技术
• 大型供应商生态系统有助于
• 可以帮助管理与弱密码、泄露密码和被盗密码相关的风险
• 多因素身份认证正变得无处不在
• 凭证的强度、登录尝试的位置、设备的可信度和多因素身份认证控制都有助于建立对身份认证请求合法性的信心
• 能够快速识别认证/授权异常
• 会增加身份验证/授权过程中的摩擦，使攻击者更难渗透
• 可以加强遏制力度，使攻击者更难横向移动

缺点:

• 传统上，联合身份系统复杂、昂贵且难以治理和管理；简单地说，认同一直都很难
• 使用现代的以身份为中心的策略来管理和保护遗留应用程序是一项挑战
• MFA 通常不会在所有地方实现，这给攻击者留下了漏洞和机会
• 在企业内部环境中完全实现可能非常复杂、耗时且成本高昂。

接下来，让我们来看一个重新流行起来的策略——以数据为中心的策略。

以数据为中心的策略

以数据为中心的策略越来越受欢迎，原因有几个，包括许多高调的数据泄露，政府数据收集项目的曝光，以及日益增长的知识产权盗窃威胁。也有越来越多的监管要求旨在帮助保护消费者隐私，并有与之相关的重大违规罚款，例如 GDPR。此外，由于我们讨论的保护和恢复策略、终端保护策略、以应用为中心的策略、自带设备 ( 自带设备 ) IT 环境的流行以及物联网的出现，一些组织已经决定停止使用仅依靠代理来保护其数据的策略。他们的策略不是依赖防火墙、终端和应用程序提供的安全性，而是保护数据，无论数据在哪里。

无论他们的数据是在其边界内，从受管设备访问，还是由满足其安全开发要求的应用程序处理，数据仍然需要受到保护。一些 CISOs 假设终端不能被完全信任，并且数据可以在他们不知情的情况下以意想不到的方式移动。他们希望确保即使在他们无法控制数据的情况下，数据仍然受到保护。

这就是以数据为中心的策略可以发挥作用的地方。这种方法有几个基本假设。首先，数据，而不是处理、传输或存储数据的系统，才是 HVA。与其关注处理数据的硬件和软件的安全性，不如关注数据本身。另一个假设是，数据会在未经组织批准或组织不知情的情况下移动，因此无论数据在哪里，都必须受到保护。一些 CISOs 甚至假设处理其数据的一些系统已经被破坏，并且数据必须在被破坏的环境中得到保护。最后，组织仍然要求他们的数据可以在组织内部以及与授权合作伙伴(如外部制造、营销、公关和律师事务所)适当共享。也就是说，尽管数据必须是安全的，但它仍然必须可以在内部和外部访问和使用。此策略的重点是保护数据，无论数据在哪里传输、处理和存储，最好是永久保护，但要保护一段合理的时间。这种方法的特点是投资于数据丢失预防 ( DLP )、加密和密钥管理技术，以及潜在的数据分类。

一个简化的例子是加密的 PDF 文件，授权用户可以阅读，但内容不能复制和粘贴。当然，一个更复杂的例子是区块链平台提供的极端的以数据为中心的解决方案，它们将数据保护机制作为数据本身的一部分来实现。

这个策略的核心是加密和密钥管理；如果数据在任何地方、任何时候都是加密的，那么攻击面就会大大缩小。例如，不要试图保护所有文件，不管它们现在在哪里，将来会在哪里，加密可以帮助使其更易于管理。

通过将重点从保护所有文件转移到保护数量少得多的加密密钥，加密所有文件减少了攻击面。如果采用了强有力的、正确实现的加密，那么主要关注点可以从加密文件的安全性转移到管理用于加密和解密它们的密钥。当然，如果你没有访问加密文件的权限，就无法解密，数据也就丢失了。所以，你不应该仅仅因为你的数据是加密的就对它漫不经心。然而，正确实现的强加密的数学特性有助于降低风险。

除了减少攻击面，加密还为组织赢得了时间。也就是说，正确加密的数据看起来与随机噪声一样，如果没有密钥来解密数据，攻击者可能要花很多年的时间来解密一部分数据。在此期间，数据的机密性和完整性得到保护。但是假设加密数据有一个有限的生命周期仍然是谨慎的。定期轮换密钥和重新加密数据有助于延长寿命，但在某种程度上，面对新技术和密码分析的进步，所用的算法或密钥长度将不再提供足够的保护。需要一种深思熟虑的方法来管理加密、解密和密钥；这不是一个“一劳永逸”的数据保护解决方案。

您可能想知道，鉴于各种类型的加密已经存在了数千年，如果加密和密钥管理如此强大，那么为什么组织不总是在任何地方加密任何东西呢？为什么会有这么多涉及未加密数据的数据泄露事件？传统上，保护信息和操作信息之间存在矛盾。让我给你举一个这种紧张的例子。我将使用一个完全虚构的场景，在这个场景中，未经授权访问信息会产生生死后果——一个证人保护计划。

在这个虚构的场景中，程序保护的证人名单是手写在纸上的。这份名单没有以任何方式被数字化；它只存在于纸面上。没有人见过整个列表，因为列表的各个部分是由不同的项目经理管理的，并且在物理上是分开的。名单被放入一个防火文件柜中，文件柜有密码锁，抽屉上有钢条锁。这些锁的钥匙交给不同的项目官员，要求他们所有人都在场才能打开文件柜。

文件柜在一个保险库里，在警察总部中间的一个安全区域，被值班的警察包围着，大楼的一个设防入口处有武装警卫 24 小时把守。当然，这栋建筑有一个广泛的安全系统，包括视频监控，陷阱，和卡钥匙进入点。在特定条件下，只有遵循特定的协议，需要另外两名高级执法官员的参与，才能打开保险库。

我希望您同意这种情况下的列表已经受到保护，减少了许多潜在的风险，并且对列表的未授权访问将需要非常措施。《碟中谍》中的伊森·亨特也许能够突破所有这些控制，但我相信你会同意这对大多数其他人来说是困难的。然而，这些控制的另一个后果是，对名单的合法授权访问受到阻碍，使之成为一个复杂而缓慢的过程。在这种情况下，由于未经授权的访问可能会带来生死攸关的后果，因此访问被故意设计为缓慢、繁琐和细致的。然而，如果出现紧急情况或其他需要快速访问或重复访问列表的情况，这一过程会阻碍这些需要。

在另一个虚构的场景中，一家专门提供股票交易实时建议的公司面临着不同的挑战。如果这家公司不能接近实时地访问信息、处理信息并向其庞大的客户群提供有价值的建议，他们将会破产。他们拥有的数据通常会在几分钟内失去价值。安全控制对该公司非常重要，因为他们有非常积极的竞争对手和监管机构，他们希望了解他们的成功秘诀是什么。但是，如果安全控制阻碍了信息在公司内部或向客户的近实时分发，公司将无法兑现对客户的承诺，并在高度竞争的市场中破产。这家公司有意将速度和敏捷性置于安全之上。如果他们不这样做，他们的生意就不会持续太久。

这两种情况表明了数据安全性需求和信息可操作性需求之间的矛盾，这一直是组织面临的挑战。将这种紧张关系与加密和密钥管理传统上需要特定的、相对难以找到且昂贵的专业知识这一事实结合起来，这就开始解释为什么组织没有始终简单地加密他们的所有数据。

由于这种紧张关系和与加密相关的传统挑战，许多组织决定只加密他们最敏感的数据。这降低了复杂性和成本，同时仍然确保他们最有价值的数据得到保护。为此，许多组织采用了数据分类，以便识别和更有效地保护高价值数据。但是正如我在本章前面所讨论的，众所周知，组织很难实现和遵守数据分类策略。我接触过的许多组织，尤其是那些试图实现数据分类策略但失败了的组织，都认为将所有数据视为相同的值会更有效。对他们来说，这种方法比试图一致地识别单个数据集的相对值并基于该值应用不同的安全控制集要简单和便宜。但是这些组织仍然面临着管理加密和密钥管理的挑战。

如果 CISOs 不用做这些取舍，岂不是很酷？也就是说，他们可以拥有一切-不折不扣的数据安全性、使组织能够快速移动的运营能力、在需要时共享数据的能力以及更好的可见性和控制力。谁不想这样呢？这就是以数据为中心的策略所要实现的目标。不只是管理处理数据的硬件和软件的安全性，而是使用加密、密钥管理、认证和授权来保护数据本身。在一个数据泄露变得普遍的世界里，当所有其他保护机制失效时，这种策略可以提供一条有效的防线。此外，如果加密和解密功能需要身份验证和授权，那么从这些活动中生成的元数据可以提供关于数据在哪里以及谁在试图访问数据的有用信息。

从高层次来看，用于支持这些功能的技术包括客户端或服务器端加密库或应用程序、公钥基础设施(PKI)、具有授权功能的联合身份系统，以及日志和报告功能。结合所有这些组件的服务的一个很好的例子是Azure Rights Management(Azure RMS)(微软公司，2019)。让我举一个例子，从较高的层面说明这项服务是如何工作的。

一家公司需要保护机密信息不落入他人之手，但需要以仍能保护数据机密性和完整性的方式与外部律师事务所共享这些信息。他们使用 Azure RMS 加密文件，并为其分配一个策略，定义谁有权打开和解密文件。他们通过 Office 365 电子邮件将文件发送给律师事务所。当律师事务所的工作人员试图打开文件时，他们会被提示输入他们的 Azure Active Directory 凭据。因为他们也是 Office 365 企业用户，并且使用该公司的帐户配置了身份联盟，所以当他们输入凭据时，Azure Active Directory 会对他们进行身份验证，并读取策略以确定允许他们对文件执行的操作类型。该政策允许律师事务所打开文件、解密并阅读。如果文件被转发给没有这些权限的人，他们将无法打开或解密它。同时，公司可以跟踪打开文件的身份验证请求来自何处，身份验证请求中使用了哪些凭据，打开文件的尝试成功与否，等等。相当酷。我将在第八章、云——实现安全性和合规性的现代方法中讨论云提供的其他超酷功能。

您可能已经注意到，支持我描述的示例场景的一个关键组件是身份。这种以数据为中心的策略要取得成功，需要一种身份策略，就像我在本章前面描述的以身份为中心的策略。如果没有身份验证和授权功能，以数据为中心的策略是不可扩展的。

数据丢失防护 ( DLP )也可以在以数据为中心的策略中使用。DLP 是一个强大的工具，有助于防止数据以未经授权的方式离开组织，包括恶意和非恶意的数据窃取和泄漏。DLP 可以监控通过网络、电子邮件、USB 驱动器和其他可移动介质传输的数据。但是日益普遍的加密会使 DLP 更难实现完全可见性。此外，违反 DLP 政策很少会给违反政策的员工和高管带来后果；这几乎没有激励人们关注 DLP 相关政策。最后，DLP 只能减缓恶意内部人员窃取信息的速度，而不能完全阻止他们。

他们几乎总能找到从 IT 环境中窃取信息的方法，例如，使用手机上的摄像头在运行 DLP 的安全工作站的屏幕上直接拍摄信息。但是，DLP 与物理控制和安全许可策略相结合，在一个强制执行禁止所有外部电子设备(包括手机)的政策的设施中建立一个空气隙网络，以物理方式移除设施中计算机上的 USB 和外围设备端口，并在员工进出设施时对其进行搜索，可以更好地防止数据失窃。但是除了那些负责国家安全的组织之外，很少有组织实现这种类型的控制。

网络安全基础评分系统分数

也许出乎意料的是，以数据为中心的策略本身并没有获得很高的 CFSS 分数。毕竟，如果用于加密、密钥管理、身份验证、授权、日志记录、DLP 和其他功能的底层基础设施被一个或多个网络安全常见嫌疑人破坏，那么攻击者可能会在加密之前访问数据，或者他们可以访问凭据或解密密钥。保护数据是一种强有力的缓解措施，但它要求使之成为可能的组件也受到保护:

表 5.10:以数据为中心的策略的 CFSS 评分估计值

对于未打补丁的漏洞和安全错误配置，我给这种方法打了部分分，因为它可以保护数据的机密性和完整性，同时漏洞管理团队扫描和更新系统；像保护和恢复策略一样，这种方法可以给漏洞管理团队更多的时间来完成这项工作。

在利用漏洞和错误配置后，它还可以在一段时间内保护数据。但这并不能阻止攻击者使用勒索软件破坏数据或自己加密数据。至关重要的是，它不能防止攻击者利用基础设施中的漏洞，横向移动，收集凭据，持久化，以及在数据在 web 浏览器和电子邮件客户端中被加密之前收集数据，等等。当然，Microsoft Active Directory 和其他现代目录服务中的大多数凭证都是加密的，但这不是以数据为中心的策略的重点。它没有提供新的保护密码的功能，因为它依赖于身份系统和联合身份。随后，我给它的弱密码、泄露密码和被盗密码打了零分(满分 20 分)。

当与最小特权原则和有意义的职责分离一起使用时，这种策略可以减轻某些形式的社会工程。内部威胁也是如此。加密的数据可以保持机密，即使管理员犯了错误，导致不良的安全后果，但也有限制。有意义的职责分离限制了恶意内部人员对关键材料的访问，这可能会使他们的日子更加难过。因此，我给社会工程和内部威胁都打了部分分。

以数据为中心的策略摘要

尽管它的 CFSS 分数相对较低，但我是以数据为中心的策略的粉丝。经过认证、授权的加密和解密操作对于保护数据非常有效。我认为使用我描述的元数据对安全团队也很有帮助。对于那些试图保护所有东西的 CISOs 来说，就好像它们对组织的价值是一样的(这可能导致灾难)，大幅减少他们必须关注的攻击面可能非常有帮助。

对于许多组织来说，数据分类有助于确定他们需要重点保护哪些数据集。但是众所周知，数据分类很难实现和遵守。现代的加密和密钥管理方法使得随时加密一切变得更加容易和便宜，尤其是在云中。

优点:

• 通过关注终端、电子邮件、网络、代理服务器和云中的数据，潜在地减少了需要保护的外围应用。
• 可以帮助保护数据、检测数据泄露，并以比以往更快的速度响应事件。
• 现代的、正确实现的加密可以在相对长的时间内有效地保护数据免受未经授权的访问。这段时间很有帮助，因为安全团队可以更加自信地专注于网络安全基础知识和其他高级功能。
• 加密有助于使数据销毁更容易；销毁密钥实际上也就销毁了数据。
• DLP 是一种强大的工具，有助于防止数据离开组织，并有助于检测数据泄漏。

缺点:

• 随着时间的推移，许多组织发现数据分类策略和技术很难一致地实现和使用。随后，许多组织尝试以有意义的方式进行数据分类，但都失败了。
• 对于一些组织来说，密钥管理可能具有挑战性。内部 PKI 不适合胆小的人，需要专业技术知识。一个失败的 PKI 可能会产生灾难性的影响；云让这变得容易多了。
• 许多组织终止加密通信，以便在数据移动时检查数据并应用 DLP 策略。对传输中的数据和静态数据越来越多地使用加密技术，这使得 DLP 变得更加难以发挥作用。
• 对于某些 CISOs 来说，强制执行违反 DLP 政策的行为具有挑战性；高级管理人员因违反 DLP 政策而受到谴责的频率有多高？许多组织在被 DLP 标记为违反政策时并没有充分执行。
• 依赖于完善的身份策略和联合身份实现，这对于设计、实现、操作和治理来说可能是一个挑战。

接下来，我将讨论的最后一个网络安全策略是以攻击为中心的策略。

以攻击为中心的策略

以攻击为中心的策略背后的理念是，如果 CISOs 从攻击者实际使用的TTP中获知信息，那么 CISOs 就可以保护系统、检测危害并对攻击者做出响应。换句话说，了解攻击者如何操作并围绕其规划防御会使这些防御更加有效。这种方法的基本假设是在入侵尝试期间多次迫使攻击者成功，这使得他们更加难以得逞，并减少了检测和恢复时间。这种方法的重点是了解攻击者如何操作，并使他们使用的每个步骤和每个策略无效。通过增加与攻击相关的时间、精力和成本来降低攻击者的投资回报率，将迫使攻击者重新思考或放弃他们的攻击。这种方法的特点是在许多领域进行投资，以在攻击者攻击的每个阶段阻止或阻碍攻击者。

这种方法的两个完美例子是洛克希德·马丁公司的入侵杀伤链(埃里克·m·哈钦斯、迈克尔·j·克洛普特、罗汉·m·阿明博士)和米特里·ATT & CK 公司(米特里)。这两种互补的方法都受到攻击者攻击受害者的步骤以及他们使用的具体战术、技术和程序的影响。例如，入侵杀伤链方法定义了攻击过程中的七个阶段:侦察、武器化、交付、开发、安装、指挥和控制，以及对目标的行动(Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士)。了解了这一点，组织就可以分层防御，在攻击的每个阶段进行检测、否认、破坏、降级、欺骗和摧毁(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)。这将使攻击者更难成功，因为他们必须潜在地击败多层防御，这些防御是围绕他们的作案手法专门设计的。

同样，米特 ATT&CK 被设计成攻击者 TTP 的知识库。目前有三种口味的 ATT & CK，即前 ATT & CK，企业版 ATT & CK，移动版 ATT&CK(MITRE ATT&CK)。预 ATT & CK 专注于攻击的最初阶段，在受害者妥协之前。

按照入侵杀伤链的说法，前 ATT 和 CK 涵盖了攻击利用之前的所有阶段。ATT 和 CK 然后涵盖了攻击的其余阶段，但在一个较低的水平，比入侵杀伤链方法描述的方式更精细。例如，ATT&CK 帮助防御者设计跨初始访问、执行、持久性、权限提升、防御规避、凭证访问、发现、横向移动、收集、命令和控制、渗透和影响(MITRE)的功能层。这种方法对我来说很有意义，因为它与我在第一章、成功网络安全策略的要素、中介绍的策略非常一致，其中包括网络安全基础知识和高级网络安全能力。基于此，让我们看看以攻击为中心的策略如何使用 CFSS 得分。

网络安全基础评分系统分数

以攻击为中心的策略是我在本章中研究的所有策略中 CFSS 得分最高的。事实上，我对它解决所有网络安全基础问题的能力的评估给了它一个近乎完美的分数，如表 5.11 所示:

表 5.11:以攻击为中心的策略的 CFSS 分数估计值

这种方法得分如此之高的原因是，它侧重于攻击者最初破坏 it 环境的方式以及他们在最初破坏后使用的方法和工具。也就是说，它涵盖了所有的基础。我没有给它一个完美的 100/100 分的原因是，社会工程在企业中几乎不可能完全缓解。有人曾经杜撰了一句话“问题存在于椅子和键盘之间”(PEBCK)。

尽管业界尽了最大努力来教育信息工作者、高管和 IT 管理员，并设计软件和硬件来使社交工程攻击更难成功，但攻击者越来越依赖它。在一个对网络安全常见嫌疑人的缓解措施管理良好的环境中，攻击者被迫转向他们知道最有可能成功的策略:社会工程。正如我在第三章、威胁格局的演变——恶意软件中提供的研究表明的那样，他们将继续依赖人类来犯错误和做出不可信的决定。

以攻击为中心的策略摘要

以攻击为中心的策略获得了很高的 CFSS 分数。它可以帮助 CISOs 及其团队专注于网络安全基础知识，进而为其他更高级的网络安全能力奠定坚实的基础。这种策略还能够帮助安全团队超越基础，周到地实现高级网络安全功能，并帮助保护他们的 HVAs。也就是说，对于大多数资源有限的组织来说，设计、采购、实现、操作和支持一层又一层的网络安全能力并不容易，也不便宜。许多渴望使用这种方法的组织意识到，他们没有技术专长或预算来真正长期采用这种方法。

根据组织以前采用的策略，他们可能只投资于保护，而不一定投资于检测和响应。随后，如果他们开始使用以攻击为中心的策略，他们可能会增加在检测和响应方面的投资。

优点:

• 由于攻击者和防御者都了解攻击者的 TTP，因此有可能在攻击者和防御者之间建立公平的竞争环境
• 迫使攻击者成功多次，而不是像许多其他网络安全策略那样只成功一次或两次
• 旨在帮助在攻击的早期检测入侵，以减少补救和恢复的时间和成本
• 庞大的供应商生态系统提供帮助

缺点:

• 这种方法要求大多数组织增加对检测和响应能力的投资，因此通常会增加复杂性和成本。
• 通常依赖多家供应商的技术协同工作来保护、检测和响应威胁。这可能需要跨多个供应商技术的技术专长；对于许多资源和技术人才有限的组织来说，这可能不是一个现实的要求。
• 由于这种方法需要所有的层，因此在架构、部署和操作方面都具有挑战性。
• 这可能是一个相对昂贵的策略。

我们已经走过了相当多的地方！让我们通过总结我们一直在讨论的内容来结束我们对这些策略的回顾。

网络安全策略摘要

我们回顾了几种流行的网络安全策略。这些策略包括:

• 保护和恢复策略
• 端点保护策略
• 实物控制和安全审查策略
• 合规作为一项网络安全策略
• 以应用为中心的策略
• 以身份为中心的策略
• 以数据为中心的策略
• 以攻击为中心的策略

在表 5.12 中提供了我对这些策略的 CFSS 评分估计值的总结。如您所见，我给了以攻击为中心的策略最高的估计 CFSS 分数。在我看来，这是唯一一个最有潜力帮助组织解决网络安全基础问题并减少网络安全常见问题的策略:

表 5.12: CFSS 分数估计汇总

现实情况是，我见过的大多数组织都使用了其中一些策略的组合。例如，即使行业提供更新、更好的技术，企业不同时拥有外围安全策略和终端安全策略也是大胆的。许多组织都有一些必须注意的法规遵从性要求。对于那些已经使用这些方法中的一些方法的组织来说，有意和深思熟虑地调和过度投资和投资不足以及当前存在的差距可能会有所帮助。这是以攻击为中心的策略相对于其他策略及其组合的另一个优势——投资和差距分析内置于其中。我将在第七章、衡量表现和有效性中对此进行更详细的讨论。

你可能不同意我对部分或全部策略的 CFSS 评分估计。很好。我鼓励你使用 CFS 对我在本章中研究的所有方法和我没有涉及的其他方法进行评分评估。安全专业人员都有不同的经历，这可能导致他们对其中一个或多个策略的评分比我高或低。坦率地说，这是意料之中的事，因为我从未见过没有自己观点的安全专家。尽管如此，大多数组织并没有一个他们的首席信息安全官或其他高管可以阐明的网络安全策略。我本章的目的是引发对组织处理网络安全的方式的批判性思考，并为 CISOs 和安全团队提供借鉴。

现在，让我们来看几个其他潜在有用的方法，它们在某些重要方面不同于本章讨论的更经典的方法。先说 DevOps。

DevOps 和 DevSecOps

DevOps 代表了组织传统应用程序开发和部署方式的改变。传统上，开发人员和运营人员是作为独立的学科来管理的，很少在一起工作。开发人员会根据规范编写代码，当他们想要部署时，他们会将代码“扔给”运营团队。有时，运营团队在部署应用程序时会遇到问题，因此他们会将应用程序发回给开发团队，并指出妨碍成功部署的问题。开发人员和运营人员将重复这一过程，通常速度缓慢且令人沮丧。因为这些小组只是定期地相互交流，所以开发人员通常缺乏能够帮助他们开发能够在真实的 IT 环境中部署和运行的应用程序的操作和环境上下文。类似地，运营团队通常没有关于应用程序的技术细节来帮助他们执行成功的部署。团队之间的反馈循环很慢，导致里程碑延迟、缓慢的开发周期和质量问题。

DevOps 试图通过紧密整合开发人员和运营人员来应对这些挑战。当他们日复一日地一起工作时，他们可以更有效、更快地给彼此反馈。操作人员可以在开发应用程序时告知开发人员所做的设计和功能选择。开发人员可以从操作人员那里获得关于他们想法的可行性和可支持性的持续反馈。这可以导致更快的开发和部署周期、更高质量的应用程序、更少的返工和更快乐的团队。

DevOps 通常包括概念，如持续测试、持续集成 ( CI )、持续交付 ( CD )、持续部署和持续性能监控。这超越了支持这些概念的技术、服务和产品，因为大多数组织必须对他们的开发哲学、文化和过程做出重大的改变来接受 DevOps。

DevSecOps 是 DevOps，明确承认安全性必须嵌入理念、文化、流程和支持技术中，这种方法才能成功。有些人认为 DevSecOps 中的“Sec”是不必要的，因为如果不嵌入安全性，DevOps 就无法正常运行。我完全同意。如果您的组织目前正在进行 DevOps，并且已经决定以后将发展成 DevSecOps 方法，那么您很可能已经做错了 DevOps。还记得吗，最近有人说“文化早餐吃策略。”这就是 DevOps 对 IT 组织来说如此强大和具有变革性的原因。

当 DevOps 与容器和/或云计算一起使用时，它的价值得到了扩展。例如，因为基础设施是云中的代码，所以使用代码来部署、配置和支持基础设施。这意味着在云中配置和管理基础设施可以受益于 DevOps 的优点。开发人员可以根据运营团队提供的需求和持续反馈，在他们编写的代码中指定基础设施的硬件、软件和配置。这种方法使组织能够以比传统方法更快的速度调配基础架构，并且几乎可以达到任何所需的规模。

从安全角度来看，DevOps 为构建和部署应用程序和基础设施提供了一个强大的模型。这就是 CI/CD 管道概念有用的地方。管道通常处理诸如将代码签入存储库、自动构建、自动测试以及将测试过的代码部署到生产中之类的功能。管道本身可以由来自一个或多个供应商的工具、产品和服务的组合组成。一些已经采用 DevOps 的组织通过 CI/CD 管道部署所有应用和所有基础设施。换句话说，除非通过管道，否则任何东西都不能进入他们的生产环境。与传统方法相比，实现这样的管道策略至少可以为组织提供一些优势。例如，当应用程序和基础架构需要通过一个管道，并且该管道具有自动检查功能以确保符合法规、行业和内部安全标准时，那么进入生产环境的一切都处于这种已知的良好状态。

这种保证使得每隔几个小时就可以丢弃基础架构并以已知的良好状态重新部署，从而使短期环境成为可能。如果该基础架构遭到破坏，攻击者将只能在相对较短的时间内控制该资产，然后该资产将被销毁和替换。这使得攻击者更难在环境中立足并保持持久性。它还有助于显著减少漏洞管理团队的工作量。他们可以扫描系统的安全漏洞、打补丁并重启系统，而不是不断地对系统进行清点。他们可以扫描和修补用于基础架构部署的相对较少的“黄金映像”。当一个短命的基础架构被丢弃和替换时，新的基础架构基于最新的黄金映像。对于漏洞管理团队来说，验证短期基础架构的补丁状态工作量较少，对业务的影响也较小。合规团队以及内部和外部审计人员也有类似的优势。

当然，DevOps 不是万能的。DevOps 和 CI/CD 管道做得不好对组织来说可能是一件坏事。迄今为止，我讨论过的大多数组织只在其 it 环境的一部分中使用 DevOps，而组织的其余部分仍然被遗留模型所束缚。开发人员可能会迷恋 CI/CD 管道。例如，采用 CI/CD 管道的开发人员可能会花更多的时间为他们的管道开发工具和自动化，而不是开发应用程序和基础设施。组织也可能最终拥有过多的 CI/CD 管道。可以预见的是，一些攻击者看到潜在的受害者转移到 DevOps 并使用 CI/CD 管道，因此他们将目标锁定在管道基础设施本身；对于一些组织来说，CI/CD 管道最终可能会变成 hva，并且需要比最初准备的更加严格的安全性。

我认为 DevOps 和 CI/CD 管道的安全和非安全优势超过了它们带来的任何挑战。这就是为什么整个行业都在转向这种模式，并且在未来的许多年里还会继续这样做。

零信任

我在本章中讨论的所有策略的一个基本假设是，一旦用户或系统对 IT 环境的访问通过了身份验证，那么它就是可信的。企业中普遍存在的单点登录 ( SSO )需求证明了这一点。有趣的是这个假设和我研究的最古老的策略一样古老。自从企业开始采购他们的第一台个人电脑以来，这种假设并没有改变多少。一些人会说，这种假设是行业在过去几十年中出现如此多数据泄露的原因之一。我认为公平地说，零信任模型的拥护者会同意这一点。尽管这种方法还处于萌芽阶段，但据业内人士称，它是由一群首席信息安全官在大约 15 年前首次构想出来的。

这个模型背后的概念是，所有资源，包括边界内的资源，都不应该被信任。在这样一个世界里，越来越少的 IT 基础设施和越来越少的信息工作者在公司防火墙后面，这是很有意义的。例如，物联网设备的持续爆炸应该会轻松超过数据中心的台式电脑和服务器的数量，就像移动设备在过去 15 年中大幅超越它们一样。此外，正如我在对保护和恢复策略的研究中所讨论的，历史告诉我们，老式的外围安全方法本身就是失败的，因为它的基本假设被证明是过于乐观的。您应该记得，其中一个假设是安全团队可以永远实现完美的保护，并且他们不需要在检测和响应能力方面进行投资。

如果我们假设所有网络流量、系统、设备和用户都不可信，不管它们是否在企业边界之内，这可能会从根本上改变安全团队的方法。对应用程序、网络连接、设备和用户尝试的每个操作进行身份验证和授权，而不仅仅是在第一次访问时进行身份验证和授权，可以使攻击者更难一开始就破坏环境、横向移动和持续存在。不要相信，要经常核实。

将这种严格性与我讨论的以身份为中心的策略的功能结合起来，可以帮助实时做出更好的身份验证和授权决策。这种方法还可能受益于端点保护策略的许多功能，以提供端点所需的可见性和控制。一些供应商正在恢复网络访问控制 ( NAC )和网络访问保护 ( NAP )以确保端点满足安全更新状态和防病毒保护等其他要求的公司政策。事实上，这种方法可以从我讨论的所有策略中借鉴一些东西，以解决网络安全的基本问题。

假设一切都是不可信的，肯定会对许多组织的安全状况带来积极的改善。我认为这是毫无疑问的。例如，它可能会对一些开发人员提出挑战，让他们尝试设计能够在被认为已经受到威胁的系统上进行交易的电子商务应用程序。结果应该比假设系统永远不会被破坏要好，对吗？

然而，这一模式的成功将取决于其实现。例如，我提到一些供应商在他们的零信任解决方案中使用 NAC/NAP。NAC/NAP 第一次在业界流行时失败的原因是他们强加给用户的可怕的用户体验。所有连接到他们实现 NAC/NAP 的办公室的 VPN 用户都曾有过同样可怕的经历；他们只想查看电子邮件、下载演示文稿或快速访问一些信息，结果却被隔离并被迫缓慢下载和安装安全更新、防病毒签名、忍受重启等等。尽管确保系统在连接到公司网络之前打补丁有积极的好处，但它大大降低了用户体验，以至于用户会尽可能长时间地避免连接到网络。当他们最终不得不连接到网络时，用户体验甚至更糟，因为系统需要大量更新。这对安全性产生了与预期相反的影响。那些提供零信任解决方案的供应商，利用同样的方法，注定会有同样的命运。用户只会在日常工作中处理这么多的开销，然后才会主动尝试避免或解决它。

在实现零信任的环境中，用户体验不应该更差，而应该更好。这一因素可能会决定零信任模型的有效性和命运。

章节摘要

作为最低要求，CISOs 和安全团队应根据其解决网络安全基础问题的能力来选择其组织的网络安全策略。如果不检查他们的策略如何减轻所有网络安全常见的嫌疑，他们可能会哄骗自己进入一个错误的安全感。网络安全基础评分系统(CFSS)可以帮助安全团队确定他们当前或未来的策略在多大程度上解决了网络安全基础问题。

在本章研究的策略中，以攻击为中心的策略被认为是最有能力缓解网络安全常见问题并实现高级网络安全能力的策略。端点保护策略和以应用为中心的策略是本次评估中的前三大策略，但需要与其他策略结合使用，以全面解决网络安全基础问题。

DevOps 是一种全面的方法，它为采用它的组织带来了开发哲学、文化和过程的变化。这是许多组织渴望达到的目标。这种方法可能对遗留的 IT 环境没有好处，在这些环境中，我所研究的更传统的网络安全策略可能会在向现代架构(如云)过渡的过程中使用。

零信任模型有可能提高整个行业的安全底线。但是这种方法如何实现以及它所带来的用户体验将决定它的有效性和命运。

我对网络安全策略的研究到此结束。在下一章中，我们将深入探讨 CFSS 评估总分最高的策略的实现示例，即以攻击为中心的策略。

参考

1. 华盛顿州阿什福德市(2016 年 8 月 3 日)。研究显示，五分之一受到勒索软件攻击的企业被迫关闭。检索自《计算机周刊:www . computer weekly . com/news/450301845/One-in-five-business-hit-by-ransomware-forced-to-close-study-shows
2. Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士(未注明)。情报驱动的计算机网络防御，通过对手活动和入侵杀伤链分析提供信息。检索自洛克希德·马丁:T3【https://Lockheed Martin . com/content/dam/Lockheed-Martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-defense . pdfT5】
3. 欧洲数据保护委员会。(2019).首先概述 GDPR 的实现情况以及国家监督机构的作用和手段。布鲁塞尔:欧洲数据保护委员会。
4. ISO。(未注明日期)。 ISO/IEC 27001 信息安全管理。从 ISO 检索:【https://www.iso.org/isoiec-27001-information-security.html】T3T5】
5. 微软公司。(2017 年 5 月 31 日)。保护活动目录的最佳实践。从微软检索:T3】https://docs . Microsoft . com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directoryT5】
6. 微软公司。(2019 年 10 月 19 日)。 Office 365 人员控制。检索自微软公司:docs . Microsoft . com/en-us/office 365/enterprise/office-365-personal-controls
7. 微软公司。(2019 年 11 月 30 日)。什么是 Azure 权限管理？从微软公司检索:docs . Microsoft . com/en-us/azure/information-protection/what-is-azure-rms
8. 微软公司。(未注明)。活动目录管理层级模型。检索自微软:T3【https://docs . Microsoft . com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-materialT5】
9. 微软公司。(未注明日期)。微软安全工程。从微软公司检索:【https://www.microsoft.com/en-us/securityengineering/sdl/】T3T5】
10. 米特 ATT 和 CK。(未注明日期)。米特 ATT & CK 常见问题。从米特里取回 ATT&CK:T3】https://attack.mitre.org/resources/faq/T5】
11. 米特雷。(未注明日期)。ATT & CK 。从米特里取回 ATT&CK:T3】https://attack.mitre.org/T5】
12. NIST。(未注明日期)。网络安全框架。检索自 NIST:www . NIST . gov/cyber framework/online-learning/five-functions
13. NIST。(未注明日期)。网络安全框架。从 https://www.nist.gov/cyberframework 取回:T3T5】
14. PA 咨询公司。(未注明日期)。橡木门数据二极管。检索自 PA 咨询:www . PA Consulting . com/services/product-design-and-engineering/data-diode/
15. 英国内阁办公室。(2013 年 10 月)。介绍政府安全等级。检索自 GOV . UK:assets . publishing . service . GOV . UK/Government/uploads/system/uploads/attachment _ data/file/251481/Government-Security-Classifications-Supplier-Briefing-Oct-2013 . pdf
16. 美国政府出版办公室。(二 00 九年十二月二十九日)。2009 年 12 月 29 日第 13526 号行政命令。检索自 gov info:T3】https://www . gov info . gov/content/pkg/CFR-2010-title 3-vol 1/pdf/CFR-2010-title 3-vol 1-EO 13526 . pdfT5】
17. 病毒公告。(未注明日期)。病毒公告。从病毒公告中检索到:【https://www.virusbulletin.com/】T3T5】
18. 维基百科。(未注明日期)。彩虹表。从维基百科检索:【https://en.wikipedia.org/wiki/Rainbow_table】T3T5】

六、策略实现

在前一章中，我讨论了许多网络安全策略。在这一章中，我将采用其中的一种策略，并说明如何在真实的 it 环境中实现它。我们的目标是把理论化，让它对你来说更真实一点。我将提供一些我在职业生涯中学到的技巧和诀窍。

在本章中，我们将介绍以下内容:

• 什么是入侵杀伤链？
• 传统压井链模型现代化的一些方法
• 规划和实现此模型时要考虑的因素
• 设计支持该模型的安全控制集

让我们首先决定我们之前讨论的哪些策略将在本章中实现。

介绍

以攻击为中心的策略拥有最高的网络安全基础评分系统 ( CFSS )估计的总分。在满分为 100 分的测试中，它获得了 95 分的满分。它赢得了如此高的分数，因为它几乎完全解决了所有网络安全的基本问题，只有社会工程除外，它实际上无法完全缓解。

业内安全专业人士使用的以攻击为中心的框架的两个流行例子包括入侵杀伤链(埃里克·m·哈钦斯、迈克尔·j·克洛普特、罗汉·m·阿明博士)和米特里·ATT&CK模型(米特里)。

在本章中，我将提供一个例子来说明如何实现以攻击为中心的策略。我将重点介绍的模型是由洛克希德·马丁公司首创的入侵杀伤链框架 first 。我发现安全专业人士要么喜欢要么讨厌这种模式。对这个模型似乎有很多误解；我希望这一章将有助于澄清这些问题。实际上，我有机会做一个大的预算实现，所以我有一些第一手的经验。当我构思这个实现时，我意识到入侵杀伤链可能有几种不同的实现方式。我将描述实现这个框架的一种方法，充分认识到还有其他方法可以实现它，而我的方法可能不是最好的方法。

入侵杀伤链框架基于洛克希德·马丁公司的论文情报驱动的计算机网络防御，通过对手战役和入侵杀伤链的分析获得信息。在我看来，这篇论文是所有网络安全专业人士的必读之作。这篇论文中的一些概念现在可能看起来是主流，但当它首次发表时，它引入了改变网络安全行业的概念和想法。有些人可能会认为这种模式已经过了它的全盛时期，现在有更好的方法可用，比如米特 ATT & CK 模式。这并不完全正确，因为 ATT & CK 是入侵杀伤链方法的补充。按照的说法:

“ATT&CK 和网络杀伤链是互补的。与网络杀伤链相比，ATT 和 CK 站在一个更低的定义层面来描述对手的行为。ATT 和 CK 的战术是无序的，不可能在一次入侵中全部出现，因为敌方的战术目标在整个作战过程中不断变化，而网络杀伤链使用有序的阶段来描述高级别的敌方目标。”

——米特里，常开触点

此外，请记住，CFSS 分数表明，入侵杀伤链方法几乎可以完全缓解网络安全常见问题。不管这种方法的拥护者或反对者怎么说，第五章，网络安全策略给了你 CFSS 方法来决定它对你自己的潜在功效。当面对关于网络安全策略的不同意见时，我建议使用这个工具。此外，请记住，这种方法可以用在内部 IT 环境、云环境和混合环境中。这种方法的另一个优点是它是技术中立的，这意味着它不局限于特定的技术或供应商。这意味着现在和将来，随着 it 策略的发展，大多数组织都可以使用它。

什么是入侵杀伤链？

入侵杀伤链是攻击者可以在攻击中使用的阶段。洛克希德·马丁公司论文中提供的阶段包括:

• 侦察
• 武器化
• 交货
• 探索
• 装置
• 指挥和控制(C2)
• 目标行动

虽然您可能从每个阶段的名称就能知道它们包含的内容，但是让我快速地为您总结一下。注意，这是基于我自己对洛克希德·马丁公司论文的解读，其他解读也是可能的。

攻击者在侦察阶段选择他们的目标(Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，哲学博士)。当然，许多攻击者选择目标是机会主义的，很多时候是巧合，互联网上出现的所有商品恶意软件就证明了这一点。

其他攻击者可能会花费时间和精力，根据他们的攻击动机来研究他们应该以谁为目标。在这一阶段，他们可能会花时间发现他们的目标使用的 IP 地址空间、他们使用的硬件和软件、他们拥有的系统类型、企业或组织如何运作、他们的供应链中有哪些供应商以及谁在那里工作。他们可以使用一系列工具来进行这项研究，包括进行 DNS 名称查找的技术工具、IP 地址范围扫描、组织发布职位空缺广告的网站，这些网站通常包括基于他们使用的硬件和软件的技术资格，等等。在大规模恶意软件攻击的情况下，攻击者已经决定攻击每个人。但是，他们仍然需要做出决定，而且是在攻击的这个阶段。

一旦攻击者选择了他们的目标，并对他们在互联网上的位置和他们使用的技术有了一些了解，那么他们就知道如何攻击受害者。这个阶段被称为武器化 (Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士)。例如，基于他们对目标的研究，他们看到他们使用 Adobe 产品。因此，他们计划首先尝试通过利用 Acrobat Reader 的潜在未修补漏洞来破坏环境。为此，他们构建了一个畸形的。当受害者打开 pdf 文件时，该文件能够利用特定的漏洞(CVE ID)。当然，这种攻击只有在他们使用的漏洞没有在目标环境中打补丁的情况下才会起作用。

现在，攻击者已经决定了他们将如何尝试首先破坏目标的环境，并且他们已经建立了一种武器来完成这一任务。接下来，他们必须决定如何向目标投放武器。在交付阶段，他们决定是否要发送畸形的。pdf 文件作为电子邮件附件，将其用作水坑攻击的一部分，将其放在 USB 驱动器上并扔进组织的停车场，等等。

一旦武器被交付给潜在的受害者，攻击者需要一种方法来激活武器。在我们的恶意中。例如，攻击者希望受害者尝试打开格式错误的文件，以便他们的漏洞在受害者的系统上运行。这个阶段被恰当地称为开发阶段(埃里克·m·哈钦斯、迈克尔·j·克洛普特、罗汉·m·阿明博士)。如果受害者的系统没有针对漏洞利用的特定漏洞进行修补，那么攻击者的漏洞利用将成功执行。

当攻击者利用漏洞执行时，它可能会将更多的恶意软件下载到受害者的系统中，或者从内部对其进行解压缩。通常，这将使攻击者远程访问受害者的系统。这个阶段叫做安装(埃里克·m·哈钦斯，迈克尔·j·克洛普特，罗汉·m·阿明博士)。

一旦攻击者成功地在受害者的系统上安装了他们的工具，他们就可以向他们的工具或系统本身发送命令。攻击者现在可以完全或部分控制系统，他们可以在受害者的系统上运行任意代码。攻击的这个阶段是指挥控制 ( C2 )阶段(埃里克·m·哈钦斯、迈克尔·j·克洛普特、罗汉·m·阿明博士)。他们可能会通过尝试危害更多系统来进一步渗透到环境中。

对目标的行动是入侵杀伤链的最后一个阶段。既然攻击者控制了一个或多个被入侵的系统，他们就会追求他们的目标。正如我在第一章、中讨论的，成功的网络安全策略的要素，他们的动机可能包括利润、经济间谍、军事间谍、恶名、报复和许多其他因素。现在，他们能够实现特定的目标来满足他们的动机。他们可能会窃取知识产权，坚持不懈地收集信息，试图通过动能攻击来物理破坏受害者的操作，破坏系统，等等。

请注意，我已经写了攻击者可以在攻击中使用的攻击阶段。我没有写每个阶段都是总是用于攻击。这是这个框架的一些批评者通常忽略的细微差别。他们经常争辩说，攻击者不必使用洛克希德·马丁公司论文中列出的所有七个阶段。他们只使用他们必须使用的相位。因此，模型是有缺陷的。我会承认我从来没有理解过这个论点，但是在讨论这个框架的时候经常听到。这个论点有一些缺陷。记住这个框架的预期目的是有帮助的——让攻击者更难成功。此外，还记得我在第三章、威胁格局的演变——恶意软件中给你的关于全知的提示吗？这个论点依赖于全知。我们永远不会知道所有的攻击者都做了什么。这就引出了这个论点的第二个缺陷。因为我们不知道攻击者现在或将来会做什么，所以我们必须准备好保护、检测和响应他们选择做的任何事情。也就是说，我们需要基于这样的现实，攻击者可以使用这些阶段中的任何一个。

例如，一些环境已经被破坏，使得现在和将来潜在的攻击者更容易渗透受害者的环境，而无需经过前三或四个阶段。这并不意味着攻击者在之前的攻击中没有成功通过这些阶段，也不意味着攻击者在未来不会使用它们。我们不知道未来会怎样，我们也无法控制攻击者。我们不是全知全能的。我们知道攻击者总是会使用这些阶段中的至少一个——他们必须这样做。随后，无论攻击者使用哪个阶段，防御者都必须做好准备。

了解攻击者的入侵杀伤链看起来像什么，可以帮助防御方使攻击者更难成功。通过显著增加攻击者成功所需的努力，我们降低了他们的投资回报，并可能降低他们的决心。为了做到这一点，入侵杀伤链论文的作者建议防御者使用行动过程矩阵 (Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士)。这个矩阵允许防御者绘制出他们计划如何在入侵杀伤链的七个阶段中的每一个阶段检测、否认、扰乱、降级、欺骗和摧毁攻击者的努力。在表 6.1 中举例说明了这一点:

表 6.1:行动方案矩阵(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)

通过将控制分层到这个矩阵中，目标是使攻击者更难或不可能通过他们的入侵杀伤链。矩阵中的每个单元可以包括多个互补能力。在入侵杀伤链中尽早阻止攻击者可以减少潜在的损害以及相关的恢复时间和成本。攻击者在击败防火墙或一组控制措施后并不成功，他们必须在攻击的每一步都克服行动过程矩阵中的多层防御。

使杀伤链现代化

在实现这个框架之前需要考虑的一个问题是，防御者是应该使用原来的入侵杀伤链框架，还是更新它。有几种方法可以使这个框架现代化。在这一部分，我会给你一些如何做到这一点的想法。然而，不要害怕接受迭代改进的概念，这是基于您的组织对这个框架或其他框架的经验。

绘制网络安全常见疑点地图

在第一章、成功网络安全策略的要素中，我介绍了网络安全的常见嫌疑人，并在本书中提到了他们。我希望我已经传授了减轻组织最初被损害的五种方式的重要性。入侵杀伤链框架可以围绕网络安全常见的可疑因素进行修改或重组，以确保它们得到缓解，并更容易识别组织安全态势中的差距。这可以通过几种不同的方式来实现。首先，它们可以集成到传统的杀伤链框架中。也就是说，用于缓解网络安全常见问题的控制措施像所有其他控制措施一样分布在行动过程矩阵中。这种方法的挑战在于，它会使识别那些特定领域中的过度投资、投资不足和差距变得困难，特别是如果您的矩阵很大的话。为了弥补这一点，可以在矩阵中添加一列，在该列中，可以跟踪网络安全通常怀疑的每种控制所减轻的程度。一些行在此列中没有条目，因为许多控制将是高级网络安全功能，不一定集中于网络安全常见的可疑情况。

另一种更容易确保完全缓解网络安全常见问题的方法是使用两个单独的列表。在一个列表中列出缓解网络安全常见问题的控制措施，在一个单独的行动方案矩阵中列出所有其他措施。通过这种方式，您可以全面、清晰地了解为缓解网络安全常见问题而实现的控制措施，以及所有其他控制措施。这可能意味着这些列表中有一些重复的控件，使得跟踪随时间的变化变得更加复杂。

我更喜欢第二种方法，即使用两个单独的列表。我喜欢清晰可见的控制，以减轻网络安全通常的嫌疑。这种方法使得跟踪代表策略基础的控制变得更加容易。但是，您可以随意使用这两种方法中的任何一种，或者最适合您的组织的另一种方法。这是我将在本章提供的例子中使用的方法。我已经在其他章节中广泛讨论了网络安全的常见疑点和网络安全的基础知识。我在这里提供的例子将集中在该策略的高级网络安全能力部分。

更新矩阵

此方法的另一个值得考虑的修改是是否更新行动过程矩阵中的阶段和行动。例如，入侵杀伤链的侦察阶段可以分为两个独立的阶段。这种区分认识到，在入侵尝试中，攻击者通常会在两个不同的时间执行侦察。在攻击之前，攻击者可能会花时间选择他们的目标，并研究他们可能受到攻击的方式。在网络安全的一个通常的嫌疑人被用来初步危及受害者之后，攻击者可能会再次执行一些侦察，以绘制出受害者的网络以及高价值资产 ( HVAs )在哪里。将这两个阶段分开会有所帮助的原因是，攻击者使用的工具、技术、战术和程序在最初的攻击前后可能会有所不同。通过用侦察 I 和侦察 II 阶段替换侦察阶段来更新矩阵，将使安全团队能够映射不同的控制以在这些阶段中的每个阶段阻止攻击者。请记住，在这两种情况下，攻击者可能会使用非侵入式侦察策略，或者选择使用侵入式侦察策略。

阶段的另一个潜在更新是取消武器化阶段。这似乎是对原始框架的重大改变，但以我的经验来看，它并没有改变防御者通常使用的控制手段。在攻击的这一阶段，已经决定如何攻击受害者的攻击者计划重新使用旧武器或制造和/或购买新武器用于攻击。

这种活动大多发生在维权者的视野之外。随后，攻击者在此阶段的活动很少会受到防御者可用的控制措施的影响。如果攻击者对他们获得武器的来源漫不经心，威胁情报供应商或执法机构可能会得到他们活动的通风报信，也许还有他们的意图。如果该武器是零日漏洞，目标受害者可以部署变通办法来缓解，这可能是有帮助的，但坦率地说，专注于其他攻击阶段可能会为防御者带来更高的投资回报，因为他们可能有更多的可见性和控制力。对于大多数组织来说，武器化阶段太不透明了，无法真正影响。换句话说，CISOs 通常在交付阶段之前没有非常有效的保护和检测控制；对具有明确、可衡量价值的缓解措施进行优先投资非常重要。

行动方案矩阵可以更新，以包括一些不同的行动。例如，摧毁可以是被丢弃，以利于一些更现实的动作，比如限制和恢复。使用限制作为一个动作表明防御者想让攻击者在攻击过程中很难或不可能自由移动。例如，限制攻击者可用的交付选项，限制攻击者可以控制的基础设施的范围，这两者都使攻击者更难成功。如果模型中分层的所有其他缓解措施未能按预期执行，使用恢复操作有助于组织规划其恢复。对于限制和恢复，并不是矩阵中的每个单元都必须有控件。例如，在侦察 I 阶段，可能没有有助于恢复的控制，因为环境尚未受到攻击。矩阵中可能会有几个单元格没有条目，这是意料之中的。表 6.2 中举例说明了更新后的行动方案矩阵:

表 6.2:更新的行动方案矩阵示例(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)

当然，这些更新是完全可选的。对于许多组织来说，实现原始入侵杀伤链模型是提高其安全状况的有效方法。我建议 CISOs 们在认真实现这种模式之前，花些时间思考一下对原始模式的任何修改是否有利。然后，他们应该在继续使用该模型之前更新行动方案矩阵，因为这将节省时间、费用和潜在的令人沮丧的返工。

入门指南

现有的 IT 环境，尤其是那些已经由 CISO 管理的环境，可能已经部署了一些网络安全控制措施。如果以攻击为中心的策略和入侵杀伤链方法对一个组织来说是新的，那么现有控制的部署方式很可能不一定符合行动方案矩阵。将目前部署的网络安全控制措施映射到行动方案矩阵，将有助于确定目前部署的网络安全能力与全面实现的行动方案矩阵之间存在的潜在差距。它还可以帮助识别过度投资和投资不足的领域。例如，在将他们当前的网络安全能力映射到这个矩阵后，安全团队意识到他们已经在否认攻击者的武器交付的能力上投入了大量资金，但是没有投入任何有助于检测交付企图的东西；事实上，他们现在意识到他们在整个捕杀链的探测能力上投资不足。这种映射练习有助于揭示关于组织安全能力的乐观假设。一些安全专业人士称这种类型的练习为“制图 T2”。

这个练习可能很有启发性，但也很难执行，尤其是在大型复杂环境中。我所建议的大多数组织都没有一个完整的、最新的产品、服务和配置列表，这些列表在像这样的练习中是有用的。即使拥有变更控制管理系统的组织也经常发现他们的数据是不完整的、过时的和不准确的。我看到的行业估计表明，平均内部 IT 环境有 20%的未记录资产和服务，在某些行业，如医疗保健行业，估计值甚至更高。

一些组织试图使用采购工件来确定他们的 IT 部门购买了什么，但是这通常与实际部署的不同。面对获得其环境中运行的网络安全功能的准确、最新清单的挑战，大多数组织从他们拥有的数据开始，并手动验证已经实现的内容。这不一定是一件坏事，因为它可以提供一个准确和最新的视图，而且还包括无法从库存数据库中呈现的定性洞察。

当前网络安全能力的成熟度

我有机会在一些大型、复杂的 IT 环境中做这个映射练习。让我分享一些我学到的东西，如果你面临同样的挑战，可以节省你一些时间。当您将当前的网络安全能力映射到行动方案矩阵时，需要注意的一个因素是每个控制或能力的实现成熟度。也就是说，软件清单上的项目可能不会提供任何关于控制是完全实现还是部分实现的线索。了解每项控制措施实现的成熟度是真正了解哪里存在差距以及哪里出现投资不足和过度投资的关键。

例如，一个组织从顶级行业供应商那里采购了一套网络安全功能。该套件能够为台式机和服务器提供多种重要功能，包括文件完整性监控、防恶意软件扫描和数据丢失防护。当将能力映射到行动过程矩阵时，很容易看到套件可以提供的能力，并且将它们全部包含在组织的当前能力清单中。然而，问题是，实际上已经部署了多少套件的功能？一个相关的问题是，谁负责操作和维护这些控制？在大型复杂的 IT 环境中，这些问题可能很难回答。然而，如果不揭示当前实现成熟度的真相，映射的可信度和策略的潜在功效就会被破坏。还记得我在本书中使用的潜艇比喻吗？如果你真的不知道所有的关键系统是否都完全运行，你真的会热衷于在潜艇中出航吗？可能不会。

许多组织渴望拥有世界级的网络安全团队。为了支持这一愿望，他们中的一些人在评估和采购网络安全能力时使用的原则是，他们只想要同类最佳的技术。也就是说，他们只想要最好的产品，不会满足于低于这个价格。对于大多数组织来说，这是非常雄心勃勃的，因为吸引和留住网络安全人才是整个行业面临的挑战。采用“同类最佳”的采购理念使得这一严峻的人才挑战变得更加困难。这是因为它可能会减少对这些昂贵且相对罕见的“同类最佳”实现有经验的人数。这种方法对于现金充裕的组织来说也是危险的，这些组织认为他们可以简单地购买有效的网络安全，而不是发展一种人人参与的文化。我见过的大多数持这种理念的组织最终都买了一辆法拉利并使用了它的烟灰缸。他们根本没有必要的资金来设计、部署、操作和维护同类最佳产品，因此他们只使用了可用功能的一小部分。在某些情况下，发现自己处于这种场景中的组织通过购买相同或相似的功能在某个领域过度投资，但是他们通过购买他们可以成功部署和操作的产品来做到这一点。在发现自己处于这种情况的组织中执行这种映射练习可能特别困难。这是因为它揭示了关于过于乐观的雄心和假设的严酷事实，以及边际回报的网络安全投资。然而，对于有勇气照镜子并愿意对其当前的安全状况做出积极的、渐进的改变的组织来说，这一过程可能是不可避免的。如果组织实际上可以实现这些雄心壮志，那么雄心勃勃、志存高远并没有错。

量化一个网络安全套件或一组功能有多少已经成功部署是一项挑战。我尝试过的一种方法有不同的结果，那就是将功能集的功能分解成不同的类别，并使用成熟度指数来量化部署的成熟度，等级在 1 到 5 之间，其中 5 是最成熟的。这有助于确定某个特定领域是否需要更多投资。在大型、复杂的环境中，这说起来容易做起来难，有些人可能会怀疑是否值得花时间和精力去完成它。然而，安全团队对其事务的当前状态了解得越详细，他们就越有信心推进这一策略。

谁消费数据？

在将 IT 环境的当前安全功能映射到行动方案矩阵时，我发现有一个原则很有帮助，即每个控制集生成的数据都需要有人或某物来使用。例如，执行此映射的安全团队发现网络管理团队实现了潜在的强大 IDS/IPS 功能，这些功能包含在他们上一财年购买的网络设备中。尽管启用了这些功能，但他们发现网络管理团队中没有人主动监控或审查来自该系统的警报，并且该组织的安全运营中心 ( SOC )甚至不知道它们的存在。这些功能的最终结果相当于根本没有它们，因为没有人消费它们生成的数据。人类不一定要消耗这些数据；编排和自动化系统也可以基于这些数据采取行动。然而，如果无论是人还是系统都不使用这些数据，那么安全团队就不能真正地将这些功能包括在他们当前实现的控制措施的映射中，除非这些缺陷得到解决。

当安全团队执行这种映射时，对于他们识别的每个控件，他们还应该记录谁或什么使用了它生成的数据。记录作为使用这些数据的联系人的姓名将会给安全团队带来好处。联系人可能是 SOC 或网络运行中心 ( NOC )的经理、事件响应团队成员或供应商。这些信息对于建立对本组织真正网络安全能力的信心非常有价值。然而，它对于衡量你的策略的有效性也是非常有价值的，我将在第七章、衡量表现和有效性中详细讨论:

表 6.3:部分行动方案矩阵示例(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)，包括成熟度指数、谁或什么将使用来自每个控制的数据，以及联系点(PoC)

如表 6.3 所示，随着行动过程矩阵的更新，它会快速扩展。我过去曾用电子表格做过这种映射。我承认这不是执行这种映射的最优雅的方式。我做的一个映射是一个电子表格中超过 120 页的控件；浏览电子表格并不有趣。此外，使用电子表格并不是最具可扩展性的工具，并且报告功能有限。如果你有更好的工具，就用它吧！如果您没有更好的工具，请放心，映射练习可以使用电子表格或文档来完成。然而，环境越大越复杂，使用这些工具就变得越困难。

网络安全许可证续订

从供应商处购买的大多数软件和硬件都有许可条款，其中包括许可证到期的日期。当许可证到期时，必须进行续订，否则产品必须停止使用。要考虑的行动方案矩阵的另一个更新非常有用，那就是添加一个列来跟踪列出的每项功能的合同续订日期。如果您要花时间清点用于网络安全的软件和硬件，也要记录每个项目的到期/续订日期。这将使您了解列表中的每个项目在许可证到期并需要续订之前的时间。将此信息嵌入到控制映射本身将使您了解每项功能的潜在剩余寿命，并有助于提醒安全团队何时开始重新评估每项产品的有效性，以及是否更新或替换现有功能。

另一个有助于跟踪的类似日期是产品的寿命终止/支持日期；通常，在此日期之后，制造商会弃用产品，不再为其提供安全更新。随着时间的推移，这些产品增加了 IT 环境中的攻击面，因为它们中的漏洞不断被公开披露，甚至在它们的支持日期结束后也是如此。跟踪这些日期可以帮助我们避免意外。作为修改后的行动方案矩阵的一部分，跟踪这些日期是可选的。

CISOs 和安全团队不应依赖他们的采购部门为他们标记续约日期；它应该反过来工作。与我交谈过的许多 CISOs 都希望了解这个“展望列表”，它如何影响他们的预算，以及需要做出决策的关键里程碑日期。什么样的 CISO 人不希望得到一些提前通知，他们的网络 id/IPS 将被关闭，因为他们的许可证即将失效？这些决策的准备时间越长，安全团队在最后一刻遇到的意外就越少。此外，当我在下一章讨论衡量这种策略的有效性时，您将会看到让这些信息唾手可得会很有帮助。

当然，对矩阵的更新是可选的。续期日期可在单独的文件或数据库中跟踪。然而，能够在您的地图中交叉引用更新日期和网络安全能力应该是 CISOs 可以轻松做到的事情。他们需要有足够的准备时间来决定是继续生产现有的产品和服务，还是进行替换:

表 6.4:部分行动方案矩阵的示例(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)，包括成熟度指数、谁或什么将使用数据、联系点(PoC)以及每个控制的更新日期

实现这一策略

在规划过程结束时，CISOs 和安全团队应该对已部署的网络安全功能和控制措施以及组织如何使用这些功能和控制措施中的数据有一个更好的了解。这是实现入侵杀伤链框架的一个很好的起点。但是，不要低估拥有大型复杂 it 环境的组织实现这一目标的挑战性。

对于一些组织来说，将映射工作划分为更小的、更容易实现的项目，专注于其环境的一部分，比尝试映射其整个环境更容易。在没有准确的当前规划的情况下推进这一策略很容易导致过度投资、投资不足以及安全能力方面的差距。虽然这些问题可以随着时间的推移得到纠正，但它可能会使成本更高、更耗时。

表 6.5:更新的行动方案矩阵(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)的一部分示例，其中包含组织当前网络安全能力的映射

我在表 6.5 中提供了一个例子，展示了一组更新的阶段中的前两个动作。一个大型组织的实际映射可能要大得多，但是我想让您对映射有一个概念。在实际映射中， control_name 将是针对攻击的每个阶段检测、拒绝、破坏等的特定产品、服务、特性或功能的名称。描述字段是对每个控件功能的简短描述。我建议在这个领域提供比我这里更多的细节，这样每个控件的功能和作用范围就很清楚了。

每个控件都有一个成熟度指数，范围从 1 到 5，5 表示实现尽可能完整和有效。一到二的成熟度指数表明，虽然产品或功能有很多功能，但相对来说，只有很少的功能被部署或运行。该指数将有助于我们了解每项控制措施目前的有效性及其潜力。这有助于避免假设控制以最高效率运行的陷阱，而实际上它并没有完全部署，或者没有被积极地运行或监控。对该字段或基于该字段的整个行项目进行颜色编码，可以更容易地理解每个控制的成熟度。

每个动作的数据消费者是组织中使用来自控制的数据来检测、拒绝、破坏、降级等的特定组或部门。消费者概念验证列包含消费每个控制数据的小组或部门中每个联系人的姓名。这使得定期验证来自每个控件的数据是否仍在按计划使用变得更加容易。毕竟，如果没有人真正关注它们，部署缓解措施就没有意义。花在这些控制上的时间、精力和预算可能会在组织的其他地方得到更有效的利用。

最后，每个操作的更新日期列提供了每个控制的潜在到期日期的可见性。这样做有助于最大限度地减少每个控制操作状态中潜在的意外失误。这有助于避免您认为完全有效的缓解措施实际上由于许可失效或产品停止支持而被部分或完全禁用的情况；这些意外会让 CISOs 和安全团队焦头烂额。

合理化矩阵——差距、投资不足和过度投资

如果没有当前网络安全能力与行动方案矩阵的对应关系，很容易在网络安全产品上过度投资或投资不足，并在保护、检测和响应能力上存在差距。我所说的过度投资、投资不足和缺口到底是什么意思？将现有的网络安全能力和控制措施映射到入侵杀伤链框架可能需要大量的工作。然而，对于一些首席信息安全官来说，这可能会导致顿悟。如果执行正确，这种映射可以揭示出组织根本没有投资的关键领域——差距。例如在表 6.5 中，侦察 I 行没有任何条目；这可以清楚地表明组织的控制集合中存在缺口，这可能会使攻击者的入侵杀伤链的这一阶段变得更容易。组织在这方面投资失败并不罕见。像这样的差距是一个明显的改进机会。

在行动方案矩阵中，某个领域的投资不足可能更加微妙。投资不足可能表现为矩阵中某项活动或阶段的相对较少的条目。这就是成熟度指数和描述可以帮助的地方。

矩阵中成熟度指数为 5 的单个条目可能就是该操作所需的全部投资。成熟度指数和描述的结合应该有助于做出这个决定。然而，条目的描述应该足够详细，以便我们理解该功能的功能和范围是否真的会打破攻击者的杀伤链，或者是否在矩阵的该区域需要更多的投资。可能会部署正确的控件；但如果它只是部分实现或部分运作，它可能不足以打破杀伤链或在所有情况下都有效。进一步投资于成熟的控制可能是这个问题的解决方案。另一个可能的解决方案是投资于不同的控制，以补充当前的缓解措施。从这个角度来看，行动方案矩阵成为在事故期间提供帮助的重要文档，并且是与非技术主管就预算和资源进行协商的中心。

在某些领域过度投资是一个常见的问题，我见过公共和私营部门组织都深受其害。它可以随着时间的推移缓慢发生，也可以在数据泄露后迅速发生。在行动方案矩阵中，它可以表现为一个或两个领域中执行相同或相似功能的许多条目。例如，我见过一些组织购买了多种身份和访问管理产品，但没有一个完全部署。这可能是由一系列原因造成的。例如，他们可能对自己吸引和留住部署这些产品所需的人才的能力不切实际。另一个例子是，在入侵成功后，受害组织通常会决定是时候对网络安全进行大量投资了。带着新发现的紧迫感和旺盛的精力，他们不会花时间在疯狂购物之前获得当前功能及其成熟度的清单。合并和收购也会使组织在矩阵的某些领域过度投资。最后，简单来说，有些销售人员真的很擅长他们的工作。我看到在整个行业和地理区域，每个人都在相同的 1 或 2 个财年内采购了相同的 SIEM 或端点解决方案。这没有什么错，但他们不太可能都是从相同的环境、可比的网络安全人才以及当前产品的相同许可续订日期开始的。当一个优秀的销售人员非常成功时，这有时会导致在某些领域的过度投资。

规划您的实现

确定差距、投资不足的领域和过度投资的领域非常重要，因为这些将为实现计划提供信息。希望组织已经投资的许多领域不需要改变。这将使他们能够专注于解决其当前安全态势中的差距和不足。当他们有了当前的规划并确定了差距、投资不足的领域和过度投资的领域时，他们就可以开始规划其余的实现了。

安全团队应该首先处理行动方案矩阵的哪个部分？对于一些组织来说，专注于解决现有差距将提供最高的潜在投资回报率。然而，有一些因素需要考虑，包括预算和网络安全人才的可用性。首要目标是打破攻击者的杀戮链。但是，请记住，在杀伤链中尽可能早地这样做是有效率的。在利用和安装之前阻止攻击有助于最大限度地降低成本和损失。但是，正如我在讨论保护和恢复策略时所讨论的，假设安全团队能够在 100%的时间内做到这一点是过于乐观的，很可能会让组织面临失败。随后，我与之讨论过这个问题的一些首席信息官决定在矩阵的每一部分都投资一点。然而，充足的预算和资源可用性可能是这种方法的限制因素。

我接触过的大多数首席信息安全官预算有限。对于那些没有这样做的人，他们通常仍然受到快速设计、部署和操作新功能的能力的限制；网络安全人才短缺是全行业性的。矩阵中每个项目的续订日期有助于为用于解决差距和投资问题的时间表提供信息。选择不为过度投资领域的低效产品续订许可证可能有助于释放一些预算，这些预算可用于解决缺口和投资不足的领域。并非每个组织都有过度投资，许多组织在整个矩阵中都长期投资不足。对于这类组织来说，尽可能多地利用操作系统和集成开发环境中的“免费”控件可能会有所帮助。

例如，地址空间布局随机化 ( ASLR )和数据执行阻止 ( DEP )有助于使攻击的利用阶段更难完成且不一致。这些特性已经内置到当今主流厂商的大多数现代操作系统中。然而，并不是所有的应用程序都利用了它们。深思熟虑地使用这种免费或低成本的控件可以帮助预算有限的组织实现这一策略。

我见过的 CISOs 计划实现的另一种方式是使用红队和蓝队练习和渗透测试的结果。渗透测试通常侧重于确认已经实现的安全控制的有效性，而红队的练习侧重于超越和智胜防御者。这是测试作为您当前实现的一部分的人员、流程和技术的有效性的直接方法。与确定差距同样重要的是，这些练习可以确定未按预期执行的控制和缓解措施。这些练习还有助于在您的规划中提供成熟度指数，并以一种实用的、较少理论性的方式帮助您确定实现计划中项目的优先级。

最后，我看到 CISOs 决定实现像这样的框架的另一种方式是首先投资于高 ROI 领域。他们通过确定从哪里获得最大的投资回报来做到这一点。这是通过在矩阵的多个部分识别提供缓解的控制来完成的。例如，如果相同的控制可能有助于打破攻击者在交付、利用、指挥和控制阶段的杀伤链，他们会优先考虑那个控制，而不是可能只打破攻击的一个阶段的控制(Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士)。换句话说，他们寻找可以用一个价格使用两个或三个缓解措施的领域。他们的矩阵越详细，他们能够识别的机会就越多。

我将在第七章、评估表现和有效性的部分重新讨论我在本节中讨论的许多因素。

设计控制集

有了当前的控制集映射、已确定的差距、投资不足的区域、过度投资的区域，以及将解决这些区域的计划，安全团队可以开始设计控制集。过程的这一部分可能很有挑战性，但也很有趣。

毕竟，设计控件使攻击者尽可能难以得逞是一件有趣的事情！对一些人来说，花钱也是一种乐趣，在这个练习中有机会为这样做打下基础。

可能的控制集的组合和排列比我在这本书里所能涵盖的还要多。这一部分旨在为您提供我概述的更新的行动方案矩阵的每一部分的更多细节，并引发一些关于安全团队可以为其组织设计控制集的方式的思考。这不是一个应该遵循的蓝图；真的只是一个高层次的例子。我没有收到我在本节中提到的任何产品或公司的任何促销付款，我不认可它们，也不对它们或它们的产品做出任何声明或担保。请使用符合您要求的任何公司、产品、服务和功能。如果你想要专业的建议，我建议你去消费行业分析公司的报告和服务，比如 Forrester 和 Gartner 等。这就是 CISO 议会、专业协会和封闭社交网络非常有用的地方。直接从其他 CISOs 那里获得策略、产品和服务的第一手资料会非常有帮助。分析公司不能过于公开地批评一家公司或其产品，但我没见过多少首席信息安全官不愿意在私下私下交谈时坦诚相待。

攻击阶段——侦察 I

在攻击的这一阶段，攻击者选择他们的目标，进行研究，绘制和探测他们的目标的在线存在，并对他们的目标受害者的供应链中的组织做同样的事情。攻击者正在寻找关于什么、为什么、何时和如何的基本问题的答案。他们的研究不仅限于 IP 地址和开放的 TCP/UDP 端口；人员、流程和技术都是他们攻击的潜在棋子。

在攻击的这个阶段，防御者面临的挑战是，这些类型的侦察活动会混入合法的网络流量、电子邮件、电话、员工等等。当攻击者的侦察活动不异常时，很难识别它们。尽管如此，在这个阶段投资网络安全能力还是值得的，因为正如我前面提到的，尽早打破攻击者的杀伤链通常会带来最高的投资回报。

将侦察活动分为被动和主动两类(H. P. Sanghvi，2013)有助于安全团队决定在哪些领域进行投资是可行的。例如，试图通过阅读一个组织的招聘网站来识别进行被动研究的攻击者，仅仅是为了识别该组织使用的硬件和软件的类型，这可能是非常昂贵的。但是，检测和阻止主动扫描公司防火墙漏洞的系统的 IP 地址可能是可行的。许多被动侦察活动可以在防御者的视线之外进行，因此不会生成防御者可以使用的日志条目或警报。然而，许多威胁情报供应商向他们的客户提供服务，这些服务搜集社交媒体网站和非法市场，都是为了在黑暗的网络中寻找关于他们的 IP 地址范围、域、已知漏洞、待售凭证和即将发生的攻击的聊天记录。主动侦察活动倾向于直接与受害者及其供应链互动，这有可能让防御者更直接地看到他们。

图 6.1:侦察活动类别

在攻击的这个阶段，一些网络安全能力可以有所帮助包括:

• 威胁情报服务可以帮助检测被动侦察活动，潜在地通知防御者他们防御态势中的已知漏洞和即将到来的攻击。理想情况下，这可以给他们一些时间来解决这些已知的漏洞，并更好地为攻击做准备。目前提供此类服务的威胁情报供应商包括:
  • 数字阴影
  • 火眼儿
  • [姓氏]克罗尔
  • MarkMonitor
  • 校对点
  • 许多许多其他公司，包括较小的精品公司
• Web 应用防火墙 ( WAF )可以检测应用层攻击，比如 SQL 注入、跨站脚本等等。WAF 可以帮助检测、拒绝、破坏和降低应用层攻击。WAFs 的一些示例包括:
  • 亚马逊网络服务
  • 梭鱼
  • 云 flare
  • F5
  • Imperva
  • 微软
  • 神谕
  • 很多很多其他人
• 至少有几种不同风格的防火墙。防火墙可以检测、拒绝、破坏和降低一些主动网络侦察活动。供应商提供防火墙产品的例子不胜枚举，但其中一些例子包括:
  • 梭鱼
  • 加拿大白鲑
  • 检查点软件技术
  • 瞻博网络公司
  • 帕洛阿尔托网络公司
  • 音墙网络
  • 很多很多其他人
• 欺骗技术可以用来欺骗攻击者进行主动侦察。欺骗技术系统将系统呈现为其供应链中预期目标或供应商的合法基础设施。攻击者花费时间和资源在这些系统上执行侦察，而不是生产基础设施和系统。欺骗技术供应商的例子包括:
  • 主动网络
  • 虚幻网络
  • 包装工
  • TrapX 安全性
  • 很多很多其他人
• 自动化可以与威胁情报和检测功能相结合，使能够对侦察活动做出动态响应。例如，如果 WAF 或防火墙检测到来自已知恶意 IP 地址的探测，则可以触发自动化来动态调整一段时间内被阻止的 IP 地址列表，或者自动化可以允许来自恶意 IP 地址的 ICMP 网络流量，阻止流向端口 80、443 和其他开放端口的 TCP 流量，从而尝试降低侦测能力并浪费攻击者的时间。这将允许攻击者看到系统在线，但无法连接到其上运行的服务。这种类型的自动化在传统的内部环境中可能更难实现，但它默认情况下被嵌入到云中，并且相对容易配置。我将在第八章、云——安全和合规性的现代方法中更详细地讨论云功能。

这是基于我在本节中讨论的能力的侦察 I 阶段的行动方案矩阵的样子。当然，这只是触及了这个阶段可能发生的事情的表面，但是它为您提供了一些关于攻击的第一阶段的一些操作的想法。您会注意到，我没有为恢复操作添加任何条目。

由于侦察通常不会造成损害或危害，所以在攻击的这个阶段没有什么可以恢复的。

正如我提到的，使用 Excel 创建一个行动过程矩阵并不理想，但它是可行的。然而，这个练习创建的表格太大了，不能打印在书里，而且仍然可读。随后，我将为示例矩阵的每个部分提供控件列表。我没有包括对阶段的控制，例如恢复，除非其中有项目。为了进一步简化，我不包括我前面讨论的任何修改，因为它们对于每个组织都是独特的。这个列表并不是详尽无遗的；它提供了一些基本控件的示例，您可以将其作为开发自己的行动方案矩阵的起点。有些项目在行动方案矩阵中重复多次，因为这些控制在矩阵中可以扮演多重角色。

以下控件是示例控件，可用于在攻击的侦察 I 阶段检测攻击者的活动:

• 欺骗技术:可以帮助检测攻击者的侦察活动。
• Web 应用防火墙(WAF) :可以检测应用层攻击，如 SQL 注入、跨站脚本等。
• 防火墙:可以检测网络探测器和一些侦察活动。
• 威胁情报侦察服务:可以帮助检测被动侦察活动，让防御方注意到他们防御态势中的已知漏洞和即将到来的攻击。

以下控件是示例控件，可用于在攻击的侦察 I 阶段拒绝攻击者的活动:

• 自动化:当侦测到侦测活动时，使用自动化来调整防火墙规则和其他控制，以拒绝、破坏、降级或限制其活动。
• Web 应用防火墙(WAF) :可以拦截 SQL 注入、跨站脚本等应用层攻击。
• 防火墙:可以阻止网络探测和一些侦察活动。

以下控件是示例控件，可用于在攻击的侦察 I 阶段扰乱攻击者的活动:

• 自动化:当侦测到侦测活动时，使用自动化来调整防火墙规则和其他控制，以拒绝、破坏、降级或限制其活动。
• Web 应用防火墙(WAF) :可以阻断应用层攻击，如 SQL 注入、跨站点脚本等。
• 防火墙:可以中断网络探测和一些侦察活动。

以下控件是示例控件，可以在攻击的侦察 I 阶段使用来降级攻击者活动:

• 自动化:当侦测到侦测活动时，使用自动化来调整防火墙规则和其他控制，以拒绝、破坏、降级或限制其活动。
• Web 应用防火墙(WAF) :可以降低应用层攻击，如 SQL 注入、跨站点脚本等。
• 防火墙:可以降低网络探测器和一些侦察活动的性能。

以下控件是示例控件，可用于在攻击的侦察 I 阶段欺骗攻击者:

• 欺骗技术:欺骗技术可以欺骗攻击者花时间侦察假资产而不是真资产。

以下控制示例可用于在攻击的侦察 I 阶段限制攻击者的活动:

• 自动化:当侦测到侦察活动时，使用自动化来调整防火墙规则和其他控制，以拒绝、破坏、降级或限制其活动。

为侦察 I 阶段的投资决策提供信息的最有效方法之一是让安全团队在自己的网络上执行侦察。

攻击阶段–交付

在攻击的这一点上，攻击者已经决定以哪个组织为目标，做了一些研究来帮助他们执行攻击，并可能做了一些主动侦察扫描，并探测了预期受害者的互联网存在。根据这些信息，他们也经历了一些武器化阶段或过程，他们采购和/或制造武器，这将帮助他们最初危及他们的目标，并使他们能够事后活动。这一武器化过程通常发生在防御者的视线之外。然而，正如我在侦察 I 阶段提到的，一些威胁情报供应商的服务有时可以洞察这些活动。

攻击者的武器可能包括人员、流程和技术。有了这些，攻击者必须把这些武器送到他们的目标；这是交付阶段的目标。攻击者有一系列选择来将他们的武器交付给他们的目标和供应链中的供应商。传送机制的一些示例包括恶意电子邮件附件、电子邮件中的恶意 URL、吸引受害者注意力的恶意网站、恶意内部人员、蠕虫等自传播恶意软件、将恶意 USB 驱动器留在受害者家中等等。

在攻击的这一阶段，一些有帮助的投资包括:

• Education/training: Recall the research I provided in Chapter 3, The Evolution of the Threat Landscape – Malware. It's clear that different types of malware go in and out of vogue with attackers, but their mainstay approach has always been social engineering. Therefore, educating information workers and training them to spot common social engineering attacks can be very helpful in detecting the delivery of the attacker's weapons. The challenge is that social engineering training isn't a one-time activity, it's an ongoing investment. When training stops, current employees start to forget these lessons and new employees don't get trained. Note that the training itself needs to be kept up to date in order to continue being effective.

  一些组织根本没有支持社会工程培训的文化，包括实际的网络钓鱼活动和其他针对员工的社会工程攻击。然而，不进行这种培训的组织错过了让他们的员工从经验和失败中学习的机会。每个人都试图帮助 CISO 的文化比安全团队总是对未经培训的信息工作者每天做出的不知情、缺乏信任的决定做出反应的文化更有力量。

• 微软 Office 365 高级威胁防护(APT) :电子邮件是社交工程攻击的主要载体。在任何时期，基于电子邮件的攻击的量都相对巨大。为信息工作者提供没有有效保护的电子邮件收件箱会让组织走向失败。微软 Office 365 APT 等基于云的服务通过阻止任何用户面临的威胁来帮助所有用户接种疫苗。如此大规模的服务可以轻松识别僵尸网络和攻击者用于垃圾邮件、网络钓鱼和其他基于电子邮件的攻击的 IP 地址，并为其所有用户阻止这些地址。

• 欺骗技术:我是欺骗技术的超级粉丝。这项技术超越了蜜罐和蜜网，提供了成熟的环境来吸引攻击者，发出他们存在的信号，并浪费他们的时间，降低他们的投资回报。使用欺骗技术向攻击者展示易受攻击的系统、关键基础设施系统或存储或访问潜在有价值数据的系统，可能会转移他们对合法系统的注意力。

• 反恶意软件套件:反恶意软件软件可以检测并阻止不同类型武器的交付企图。正如我在第三章、威胁格局的演变——恶意软件中所讨论的，在一个恶意文件的数量轻易超过合法文件的世界里，反恶意软件不是可选的。一些提供产品的反恶意软件供应商包括:

  • 黑莓 Cylance
  • CrowdStrike
  • 炭黑
  • 火眼儿
  • f-安全
  • 卡巴斯基
  • 迈克菲
  • 微软
  • 趋势科技
  • 许多其他人

• 网络浏览器保护技术:阻止对已知不良网站和不安全内容的访问，以及在浏览器下载内容之前对其进行扫描，有助于防止遭受偷渡式下载攻击、网络钓鱼攻击、恶意软件托管站点和其他基于网络的恶意攻击。

• 文件完整性监控(FIM) : FIM 可以通过维护操作系统和应用程序文件的完整性来帮助检测、阻止、破坏和降级交付阶段。

• IDS/IPS :一些供应商提供 IDS/IPS 系统，包括思科、火眼等等。

• 操作系统强制访问控制:可以帮助中断和降低交付。

• 短命环境:系统只存活几个小时就能破坏和降低攻击者投放其武器的能力，尤其是更复杂的多级投放场景。云可以使利用短期环境变得相对容易；我将在第八章、云——实现安全性和合规性的现代方法中详细讨论这个概念。

• 恢复:这些年来，我见过许多组织，他们依靠反恶意软件等阻止机制来检测和阻止交付，但如果有任何机会系统遭到破坏，他们会重建系统。如果交付成功，即使利用和安装被阻止，一些组织也希望整合和重建系统或从备份中恢复数据，以确保一切都处于已知的良好状态。

接下来，我们将基于我在本节中讨论的能力，来看看交付阶段的行动过程矩阵是什么样子的。

以下控件是示例控件，可用于在攻击的交付阶段检测攻击者的活动:

• 教育/培训:信息工作者教育和培训，以发现社会工程攻击。
• Microsoft Office 365 高级威胁防护:检测并阻止恶意电子邮件和文件的发送。
• 欺骗技术:欺骗技术可以吸引攻击者，并探测到对欺骗资产的武器投放。
• 防恶意软件套件:防恶意软件可以检测并阻止来自存储介质、网络以及通过网络浏览器的恶意内容。
• 文件完整性监控(FIM) : FIM 可以检测并阻止系统文件替换尝试。
• IDS/IPS :可以检测并有可能破坏或停止交付。

以下控件是示例控件，可用于在攻击的交付阶段拒绝攻击者的活动:

• USB 驱动器禁止策略:阻止安装 USB 和可移动介质可以阻止交付。
• Microsoft Office 365 高级威胁防护:检测并阻止恶意电子邮件和文件的发送。
• 网络浏览器保护技术:一些浏览器会阻止用户访问已知的恶意网站。
• 防恶意软件套件:防恶意软件可以检测并阻止来自存储介质、网络以及通过网络浏览器的恶意内容。
• 文件完整性监控(FIM) : FIM 可以检测并阻止系统文件替换尝试。
• IDS/IPS :可以检测并有可能破坏或停止交付。

以下控件是示例控件，可用于在攻击的交付阶段扰乱攻击者的活动:

• 操作系统强制访问控制:以能够中断或降低交付的方式控制对文件和设备的访问。
• 短命的环境:每隔几个小时就更换的系统会增加交付的难度。
• 防恶意软件套件:防恶意软件可以检测并阻止来自存储介质、网络以及通过网络浏览器的恶意内容。
• 文件完整性监控(FIM) : FIM 可以检测并阻止系统文件替换尝试。
• IDS/IPS :可以检测并有可能破坏或停止交付。

以下控件是示例控件，可用于在攻击的交付阶段降级攻击者活动:

• 操作系统强制访问控制:控制对文件和设备的访问，以免中断或降低交付。
• 短命的环境:每隔几个小时就更换的系统会增加交付的难度。
• 防恶意软件套件:防恶意软件可以检测并阻止来自存储介质、网络以及通过网络浏览器的恶意内容。
• 文件完整性监控(FIM) : FIM 可以检测并阻止系统文件替换尝试。
• IDS/IPS :可以检测并有可能破坏或停止交付。

以下控件是示例控件，可用于在攻击的交付阶段欺骗攻击者:

• 欺骗技术:欺骗技术可以吸引攻击者，并探测到对欺骗资产的武器投放。

以下控件是示例控件，可用于在攻击的交付阶段限制攻击者的活动:

• 身份和访问管理技术:实现最小特权原则和有意义的职责分离有助于限制 it 环境中的交付。

以下控件是示例控件，可用于在攻击的交付阶段恢复:

• 备份:根据需要从备份中恢复。
• 图像和容器:根据需要重建基础设施。

我在这里提供的例子很简单，但我希望它们能给安全团队一些思路。不管交付媒介是什么，将打破交付阶段的功能分层是关键。

攻击阶段——剥削

在攻击者成功地将他们的武器送到他们的目标后，武器必须被激活。有时，交付和利用阶段会紧接着发生，例如驾车下载攻击。在这种情况下，用户通常会被诱骗通过电子邮件或在线内容中的 URL 访问恶意网站。当他们点击链接，他们的 web 浏览器执行名称解析并加载页面时，恶意页面上的脚本将检测操作系统和浏览器，然后尝试利用该软件。如果软件没有针对这些漏洞的漏洞进行修补，那么攻击者通常会将更多的恶意软件下载到系统中，安装工具，并继续他们的杀伤链。在这种类型的攻击中，交付和利用阶段几乎同时发生。在其他攻击中，如基于电子邮件的攻击，在用户打开电子邮件并点击恶意附件或恶意网站的 URL 之前的几分钟、几小时、几天、几周甚至几个月，就可能发生传送。在这种情况下，交付和开发阶段是截然不同的(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)。有些攻击者追求即时的满足，而有些人更喜欢“低慢”的方法。

防御者必须为这一系列攻击做好准备。他们不能假设交付和开发阶段总是几乎同时发生，但是他们必须为这样的场景做好准备。打破攻击者杀伤链的利用阶段是至关重要的，因为如果他们成功地完成了这一阶段的攻击，他们就有可能在环境中找到立足点，从而进一步渗透。在攻击的这个阶段之后，防御者管理防御会变得更加困难。因为许多攻击是自动进行的，所以利用后阶段的活动可能会很快发生。正如俗话所说，打破攻击者的杀伤链是安全团队的谨慎目标。

防止利用未打补丁的漏洞和安全错误配置(网络安全的两个常见嫌疑)的最佳方式是每天扫描和修补所有东西。每天扫描所有 IT 资产可以最大限度地减少环境中存在未打补丁的漏洞和安全错误配置的次数，从而暴露残余风险，以便有意识地减轻、转移或接受风险。

除了每天修补一切之外，下面的列表为您提供了一些示例控制，可用于在攻击的利用阶段检测攻击者的活动。希望这能给你一些想法，如何让利用阶段对攻击者更具挑战性:

• 反恶意软件套件:反恶意软件可以检测和阻止漏洞利用。
• 容器化和支持安全工具:容器可以减少攻击面，工具可以帮助检测和防止攻击。
• 文件完整性监控(FIM) : FIM 可以检测某些利用漏洞的企图。
• 日志审查:审查各种系统日志可以发现漏洞利用的迹象。

以下控制示例可用于在攻击的利用阶段拒绝攻击者的活动:

• 反恶意软件套件:反恶意软件可以检测和阻止漏洞利用。
• 容器化和支持安全工具:容器可以减少攻击面，工具可以帮助检测和防止攻击。
• 地址空间布局随机化(ASLR) :操作系统的“ASLR”会导致利用不一致或不可能。
• 数据执行保护(DEP) :操作系统的 DEP 可以使利用不一致或不可能。
• 身份和访问管理控制:严格遵循最小特权原则可以在某些场景下拒绝利用。

以下控件是示例控件，可用于在攻击的利用阶段扰乱攻击者的活动:

• 反恶意软件套件:反恶意软件可以阻断对漏洞的利用。
• 容器化和支持安全工具:容器可以减少攻击面，工具可以帮助检测和防止攻击。
• 地址空间布局随机化(ASLR) :操作系统的“ASLR”会导致利用不一致或不可能。
• 数据执行保护(DEP) :操作系统的 DEP 可以使利用不一致或不可能。

以下控件是示例控件，可用于在攻击的利用阶段降级攻击者活动:

• 反恶意软件套件:反恶意软件可以降低漏洞的利用程度
• 容器化和支持安全工具:容器可以减少攻击面，工具可以帮助检测和防止攻击。
• 地址空间布局随机化(ASLR) :操作系统的“ASLR”会导致利用不一致或不可能。
• 数据执行保护(DEP) :操作系统的 DEP 可以使利用不一致或不可能。
• 短暂的环境:每隔几个小时就被更换的系统会增加利用的难度。

以下控件示例可用于在攻击的利用阶段欺骗攻击者:

• 欺骗技术:欺骗技术可以吸引攻击者，欺骗他们攻击假环境。
• 蜜罐:吸引攻击者并暴露他们使用的漏洞。

以下控件是示例控件，可用于在攻击的利用阶段限制攻击者的活动:

• 地址空间布局随机化(ASLR) :操作系统的“ASLR”会导致利用不一致或不可能。
• 数据执行保护(DEP) :操作系统的 DEP 可以使利用不一致或不可能。

以下控件是可用于在攻击的利用阶段恢复的示例控件:

• 备份:根据需要从备份中恢复。
• 图像和容器:根据需要重建基础设施。

上面列表中讨论的一些功能在攻击的这个阶段会有所帮助，包括:

• 地址空间布局随机化(ASLR) :这种内存安全特性可以通过随机化地址空间位置，使攻击者更难利用漏洞。这使得攻击者更难持续预测他们想要利用的漏洞的内存位置。ASLR 应该与数据执行保护结合使用(Matt Miller，2010)。
• 数据执行保护(DEP) :另一个内存安全特性，阻止攻击者使用数据内存页面来执行他们的代码。DEP 应与 ASLR 联合使用(Matt Miller，2010)。
• 容器化和支持安全工具:使用 Docker 和 Kubernetes 等容器技术有很多优势，尤其是有助于减少系统和应用程序的攻击面。当然，容器也是软件，因此也有自己的弱点。有些供应商提供工具来帮助检测和防止利用容器的环境中的漏洞。一些例子包括:
  • 水上安全
  • 云通道
  • 伊卢米奥
  • 站得住脚的
  • 扭锁
  • 其他人
• 身份和访问管理控制:严格遵循最小特权原则可以增加漏洞利用的难度。有时，攻击者的代码在执行它的用户的帐户上下文下运行，而不是在提升的权限下运行。限制用户权限会使攻击更难成功或达到预期效果。
• 短寿命环境:系统寿命只有几个小时，并被完全修补的系统所取代，这使得攻击更加难以成功。

花时间仔细分层控制以打破攻击者杀伤链的利用阶段是值得的(Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士)。这本书有整整一章可以专门讨论剥削；我在这里仅仅触及了表面，但是我鼓励 CISOs 和安全团队花更多的时间研究和考虑如何在他们的环境中实现这个框架的这个特定阶段。

攻击阶段–安装

像 2003 年一样，简单地成功利用一个漏洞并不是大多数现代攻击者的目标。恶名已经被更加严重和邪恶的动机所取代。一旦攻击者成功地交付了他们的武器并且利用成功，他们通常会寻求扩大他们在受害者环境中的控制范围。

要做到这一点，他们有一系列的选择，例如从漏洞本身内部解包恶意软件或远程控制工具，或者从他们控制的另一个系统下载它们。

最近,攻击者试图使用操作系统和应用程序的本地和预装工具、脚本、库和二进制文件,“远离土地生活”重新流行起来。这种策略使他们能够进一步渗透受损环境，同时避开专注于检测与恶意软件和利用相关的特定文件的防御者。要知道“陆地生存”战术可以用在攻击者杀伤链的几个阶段，而不仅仅是在安装阶段。此外，请注意，虽然它已经有所现代化，这种战术是像我一样古老，并依赖于过去的防御者在时间中丢失的部落知识。

2003 年，当我在微软的事件响应团队工作时，每个攻击者都“生活在陆地上”。在那些日子里，我们看到攻击者使用了许多的创造性战术。我学到的一个教训是，删除操作系统自带的所有内置支持工具，如ping.exe、tracert.exe以及攻击者依赖的许多其他工具，迫使攻击者带来更多自己的工具。在受支持的 IT 环境中的系统上找到任何这些工具都是妥协的标志。同时，桌面和服务器支持人员可以从网络共享下载他们自己的工具，用于故障排除，并在完成后删除它们。如今，攻击者变得更加老练，他们使用的系统二进制文件和库在不破坏操作系统的情况下是无法真正删除的。然而，让他们尽可能少地生活可以帮助防御者在攻击的多个阶段。

攻击者还依靠许多技巧隐藏在系统中。例如，他们会在受害者的系统上运行远程控制或监视软件的组件，方法是将其命名为与管理员期望在系统上运行的系统文件相同的名称，但从稍微不同的目录运行。文件和进程看起来很正常，大多数管理员不会注意到它是从system目录而不是system32目录运行的。这种策略如此普遍，以至于我开发了一些流行的 Windows 支持工具，可以帮助检测这种恶作剧，包括 Port Reporter、Port Reporter Parser 和 Portqry(微软公司，n.d .)。

这些工具仍然可以在微软下载中心免费下载，尽管我怀疑它们能否在今天基于 Windows 10 的系统上正常运行，因为自从我开发这些工具以来，许多 Windows APIs 都发生了变化。当然，当我开发这些工具时，我不得不找点乐子；我的名字出现在端口报告器日志文件中，当隐藏的/dev开关与 Portqry 一起运行时:

图 6.2:用 Portqry 版玩复活节彩蛋

有助于打破攻击安装阶段的一些功能包括:

• 反恶意软件套件:反恶意软件软件可以检测并阻止不同类型武器的安装企图。保持反恶意软件套件最新；否则，他们可以自己增加攻击面。
• 文件完整性监控(FIM) :我是 FIM 的粉丝。当它正常工作时，它可以帮助检测安装企图，并在理想情况下，阻止他们。它还有助于满足许多组织的法规遵从性义务。FIM 功能内置于许多终端保护套件中，可以与 SIEMs 集成。我见过的一些正在使用的 FIM 供应商/产品包括:
  • 迈克菲
  • 哪一个
  • 绊网
  • 许多其他人
• 身份和访问管理控制:遵循最小特权原则会使安装更难成功。
• Windows Device Guard :这可以锁定 Windows 10 系统，防止未经授权的程序运行(微软公司，2017)。这有助于防止攻击过程中的漏洞利用和安装。
• 强制访问控制，Linux 系统上基于角色的访问控制:这些控制有助于实现最小特权原则，并控制对文件和进程的访问，这会使安装变得更加困难或不可能。

以下控件是示例控件，可用于在攻击的安装阶段检测攻击者的活动:

• 反恶意软件套件:反恶意软件可以检测和阻止安装。
• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• 日志审查:审查各种系统日志可以揭示安装的指标。

以下控件是示例控件，可用于在攻击的安装阶段拒绝攻击者的活动:

• 反恶意软件套件:反恶意软件可以检测和阻止安装。
• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• 短寿命环境:每几个小时更换一次的系统会增加安装难度。
• Windows Device Guard :可以让未经授权的程序更难运行。
• 强制访问控制，Linux 系统上基于角色的访问控制:可以使未经授权的程序更难运行。
• 身份和访问管理控制:严格遵循最小特权原则会使安装变得更加困难或不可能。

以下控件是示例控件，可用于在攻击的安装阶段扰乱攻击者的活动:

• 反恶意软件套件:反恶意软件可以检测和阻止安装。
• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• 短寿命环境:每几个小时更换一次的系统会增加安装难度。
• Windows Device Guard :可以让未经授权的程序更难运行。
• 强制访问控制，Linux 系统上基于角色的访问控制:可以使未经授权的程序更难运行。

以下控件是示例控件，在攻击的安装阶段，可用于降级攻击者活动:

• 反恶意软件套件:反恶意软件可以检测和阻止安装。
• FIM : FIM 可以检测并阻止对系统和应用程序文件的更改。
• 短寿命环境:每几个小时更换一次的系统会增加安装难度。
• Windows Device Guard :可以让未经授权的程序更难运行。
• 强制访问控制，Linux 系统上基于角色的访问控制:可以使未经授权的程序更难运行。

以下控件是示例控件，可用于在攻击的安装阶段欺骗攻击者:

• 欺骗技术:欺骗技术可以吸引攻击者，欺骗他们攻击假环境。

以下控制示例可用于在攻击的安装阶段限制攻击者的活动:

• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• Windows Device Guard :可以让未经授权的程序更难运行。
• 身份和访问管理控制:严格遵循最小特权原则可以限制安装。

以下控件是示例控件，在攻击的安装阶段，可用于恢复:

• 备份:根据需要从备份中恢复。
• 图像和容器:根据需要重建基础设施。

在攻击者攻击的安装阶段，还有许多其他控制措施可以帮助检测、拒绝、破坏、削弱、欺骗和限制攻击者。如果攻击者在此阶段成功，大多数组织将不会依赖反恶意软件或基于主机的恢复点来恢复；他们将格式化系统，并使用映像或备份从头开始重建。正如我前面所讨论的，云通过短暂的环境、自动伸缩和其他功能使这变得更加容易。

攻击阶段——指挥和控制(C2)

如果攻击者在他们攻击的安装阶段成功，通常他们会寻求与被入侵的系统建立通信通道。这些通信信道使攻击者能够向他们入侵的系统发送命令，使他们能够在攻击的下一阶段采取一系列行动。僵尸网络就是一个很好的例子。一旦攻击者入侵了系统并在其上安装了 C2 软件，他们现在就可以将这些“僵尸”系统用于各种非法目的，包括身份盗窃、知识产权盗窃、DDoS 攻击等等。

攻击者可以采用多种技术进行 C2 通信。有些比其他的更有创新性和趣味性。通过网络进行通信是最直接的方法，攻击者已经开发了许多不同的方法和协议来促进 C2 通信；这些方法从简单地监听预定义的 TCP 或 UDP 端口号来获取命令，到使用更复杂的协议，如 RPC 和 DNS、定制协议，以及使用代理来进一步混淆它们的通信。

所有这些技术都有可能帮助攻击者远程控制受损环境，同时逃避检测。他们希望自己的网络流量与其他合法的网络流量融合在一起。一些攻击者开发了令人印象深刻的域生成算法，允许攻击者动态更改用于 C2 通信的 IP 地址。十多年前，Conficker 是第一个使用这种方法的大型蠕虫攻击。一些攻击者开发了混淆和加密协议，使防御者更难检测和阻止攻击者的命令。米特 ATT 和 CK 框架提供了攻击者用于 C2 通信的大量技术(米特，2019)。这是一个很好的例子，说明了 ATT&CK 框架(MITRE)和入侵杀伤链框架是如何相互补充的。

通过检测、否认、破坏、降低、欺骗和限制 C2 通信，防御者可以最大限度地降低组织的损失和费用，并加快恢复速度，同时增加攻击者的费用。在这一领域，拥有丰富网络专业知识和能力的供应商，结合威胁情报，可以真正增加价值。维权者可以采取的一些方式包括:

• IDS/IPS :这些系统可以在网络的几个地方检测和拦截 C2 通信。许多组织在其非军事区和企业网络内部运行 IDS/IPS。许多供应商都提供 IDS/IPS 系统，包括:
  • 加拿大白鲑
  • 火眼儿
  • 大功率(High Power)ˌ高压(High Pressure)ˌ高性能(High Performance)ˌ高聚物(High Polymer)
  • 国际商用机器公司
  • 杜松
  • 迈克菲
  • 其他人
• 网络微分段:这可以通过支持组织将策略应用到单个工作负载来提供精细控制。这使得攻击者更难使用受损系统进行 C2 通信。
• 日志审查:分析环境中的日志、网络流量数据和 DNS 查询有助于检测 C2 通信。由于数据太多，人类无法手动完成这项工作，许多组织现在采用人工智能和/或机器学习来为他们完成这项工作。当然，云使这比尝试在内部完成要容易得多。

以下控件示例可用于在攻击的 C2 阶段检测攻击者的活动:

• IDS/IPS :可以检测和停止通信。
• 防火墙和代理服务器:防火墙和代理服务器可以检测和阻止与远程网络的通信。
• 日志审查:审查各种系统日志，包括 DNS 查询，可以揭示 C2 通信的迹象。

以下控件是示例控件，可用于在攻击的 C2 阶段拒绝攻击者的活动:

• IDS/IPS :可以检测和停止通信。
• 防火墙和代理服务器:防火墙和代理服务器可以检测和阻止与远程网络的通信。
• 短暂的环境:每几个小时更换一次的系统会使 C2 通信变得更加困难和不稳定。
• 身份和访问管理控制:严格遵循最小特权原则会使一些 C2 通信技术变得更加困难。
• 网络微分段:执行限制通信的规则会使 C2 通信更加困难。

以下控制示例可用于在攻击的 C2 阶段扰乱攻击者的活动:

• IDS/IPS :可以检测和停止通信。
• 防火墙和代理服务器:防火墙和代理服务器可以检测和阻止与远程网络的通信。
• 短暂的环境:每几个小时更换一次的系统会使 C2 通信变得更加困难和不稳定。
• 身份和访问管理控制:严格遵循最小特权原则会使一些 C2 通信技术变得更加困难。
• 网络微分段:执行限制通信的规则会使 C2 通信更加困难。

以下控件是示例控件，可用于在攻击的 C2 阶段降低攻击者的活动:

• IDS/IPS :可以检测和停止通信。
• 防火墙和代理服务器:防火墙和代理服务器可以检测和阻止与远程网络的通信。
• 短暂的环境:每几个小时更换一次的系统会使 C2 通信变得更加困难和不稳定。
• 身份和访问管理控制:严格遵循最小特权原则可以让一些 C2 通信技术发挥更大的作用。
• 网络微分段:执行限制通信的规则会使 C2 通信更加困难。

以下控件示例可用于在攻击的 C2 阶段欺骗攻击者:

• 欺骗技术:攻击者与假环境通信浪费时间和精力。

以下控件是示例控件，可用于在攻击的 C2 阶段限制攻击者的活动:

• IDS/IPS :可以检测和停止通信。
• 防火墙和代理服务器:防火墙和代理服务器可以检测和阻止与远程网络的通信。
• 短暂的环境:每几个小时更换一次的系统会使 C2 通信变得更加困难和不稳定。
• 身份和访问管理控制:严格遵循最小特权原则会使一些 C2 通信技术变得更加困难。
• 网络微分段:强制执行限制通信的规则会使 C2 通信更加困难。

检测和防止 C2 通信的一个重要方面是威胁情报。在评估供应商时，请记住我在第三章、中提供的关于威胁情报供应商的提示，以便在框架的这一阶段提供帮助。提供旧情报、商品情报和误报很少有帮助，但似乎是许多供应商面临的共同挑战。我还发现，除非 C2 通信或其他恶意网络流量可以追溯到受损环境中的特定身份上下文，否则不太容易被起诉。随后，与身份识别系统集成的 C2 检测和预防系统似乎比没有这种集成的系统更有优势。这些系统的价值似乎是对它们进行微调所花费的时间和精力的函数，尤其是为了最大限度地减少误报。

攻击阶段——侦察 II

攻击者经常命令他们控制的被入侵系统做的事情之一是帮助他们绘制受害者的网络。攻击者通常希望探索受害者的网络，寻找有价值的数据、有价值的知识产权和高价值的资产，以便窃取、破坏或索要赎金。他们还寻找信息、账户、基础设施和其他任何可能帮助他们获得上述贵重物品清单的东西。同样，他们试图将他们的侦察活动融入普通、合法的网络流量、身份验证和授权过程中，这些过程发生在受害者的网络上。这有助于他们逃避检测，并在网络上停留更长时间。

检测侦察活动有助于防御方发现其环境中的受损系统。此外，使攻击者难以或不可能执行这种类型的侦察可能有助于限制与危害相关的损失和费用。这说起来容易做起来难，尤其是在有大量自主开发的应用程序和旧应用程序的遗留环境中，这些应用程序的行为在许多情况下可能令人惊讶和不可预测。许多 SOC 分析师发现了他们网络上的顺序端口扫描，结果却发现一些本土应用使用最嘈杂的方式在网络上通信。这种行为通常可以追溯到开发人员试图在解决问题的同时让他们的生活变得更轻松。世界上充满了这样的应用，这使得检测真正的异常更加困难。

这是另一个阶段,攻击者通常“靠土地生活”无论是运行脚本来执行侦察还是手动执行侦察，当防御者将攻击者需要的大多数工具(默认安装在系统上)留在系统中时，攻击者的工作会变得更容易，而不是更难。在任何可能给攻击者带来不便的地方删除或限制这些常用工具的使用，将使检测这些工具或类似工具在环境中的使用变得更加容易。然而，安全团队不太可能从他们的环境中删除攻击者可以使用的所有二进制文件和库。

这是 MITRE ATT&CK 框架(MITRE)和入侵杀伤链框架之间集成点的另一个很好的例子。ATT&CK 框架提供了攻击者通常试图发现的资产列表和攻击者用来逃避检测的技术列表(MITRE，2019)。这些可用于设计检测、否认、破坏、降级、欺骗和限制侦察的控制集。

以下控件示例可用于在攻击的侦察 II 阶段检测攻击者的活动:

• 欺骗技术:欺骗技术可以帮助检测攻击者的侦察活动。
• 日志审查:审查各种系统日志，包括 DNS 查询，可以发现危害迹象。
• 用户行为分析:可以检测异常行为。
• SAW/PAW :受监控和审计的 SAW/PAW 有助于检测特权凭证的异常使用。

以下控件是示例控件，可用于在攻击的侦察 II 阶段拒绝攻击者的活动:

• 网络微分段:强制执行限制网络流量的规则会增加侦察的难度。
• 身份和访问管理控制:严格遵循最小特权原则会增加侦察的难度。
• 随处加密:对传输中的数据和静态数据进行加密，可以保护数据免受攻击者的攻击。
• SAW/PAW :可以让攻击者更加难以窃取和使用管理员帐户和其他具有提升权限的帐户的凭证。
• 活动目录加固:使攻击者更难访问和窃取凭证。

以下控件是示例控件，可用于在攻击的侦察 II 阶段扰乱攻击者的活动:

• 网络微分段:强制执行限制网络流量的规则会增加侦察的难度。
• 身份和访问管理控制:严格遵循最小特权原则会增加侦察的难度。
• 随处加密:对传输中的数据和静态数据进行加密，可以保护数据免受攻击者的攻击。
• SAW/PAW :可以让攻击者更加难以窃取和使用管理员帐户和其他具有提升权限的帐户的凭证。
• 活动目录加固:使攻击者更难访问和窃取凭证。

以下控件是示例控件，可在攻击的侦察 II 阶段中用于降级攻击者活动:

• 网络微分段:强制执行限制网络流量的规则会增加侦察的难度。
• 身份和访问管理控制:严格遵循最小特权原则会增加侦察的难度。
• 随处加密:对传输中的数据和静态数据进行加密，可以保护数据免受攻击者的攻击。
• SAW/PAW :可以让攻击者更加难以窃取和使用管理员帐户和其他具有提升权限的帐户的凭证。
• 活动目录加固:使攻击者更难访问和窃取凭证。

以下控件是示例控件，可以在攻击的侦察 II 阶段使用来欺骗攻击者:

• 欺骗技术:欺骗技术可以欺骗攻击者花费时间在虚假的环境而不是真实的环境中进行侦察。

以下控件是示例控件，可用于在攻击的侦察 II 阶段限制攻击者的活动:

• 网络微分段:强制执行限制网络流量的规则会增加侦察的难度。
• 身份和访问管理控制:严格遵循最小特权原则会增加侦察的难度。
• 随处加密:对传输中的数据和静态数据进行加密，可以保护数据免受攻击者的攻击。
• SAW/PAW :可以让攻击者更加难以窃取和使用管理员帐户和其他具有提升权限的帐户的凭证。
• 活动目录加固:使攻击者更难访问和窃取凭证。

上述列表中包含的一些功能包括:

• 欺骗技术:无论网络内部执行侦察的一方是攻击者还是内部人员，欺骗技术都有助于检测他们的存在。当有人开始刺探组织中无人合法接触的资产时，这可能是一个危险信号。此外，如果攻击者接受了欺骗技术提供的诱饵，例如窃取凭据，并在环境中的其他地方使用这些凭据，这是一个很好的侦察活动迹象。
• 用户行为分析(UBA) : UBA，或实体行为分析，可以帮助识别用户和其他实体何时以非正常方式访问资源。这可能表明攻击者正在使用内部威胁或被盗凭证，并发现侦察活动。许多供应商都提供这种类型的检测产品，包括:
  • 阿鲁巴岛
  • Exabeam
  • ForcePoint(力点)
  • 记录节奏
  • 微软
  • 南非共和国(Republic of South Africa)
  • 软体
  • 许多其他人
• SAW/PAW :安全管理员工作站(SAW)或特权访问工作站(PAW)将使攻击者更难窃取和使用管理员帐户和其他特权提升的帐户的凭证。受监控和审计的 saw/paw 有助于检测特权凭证的异常使用。
• 活动目录加固:使攻击者更难访问和窃取凭证。
• 无处不在的加密:在数据通过网络传输时保护数据，无论数据存放在何处，都是防止有效侦察的有力控制手段。当然，这依赖于有效的密钥管理。

有更多的方法来检测和使攻击者更难侦察。虽然似乎只有在成功的妥协之后，在响应期间，才发现侦察的泄露秘密的迹象，但是在框架的这个阶段的投资可以为安全团队带来巨大的回报。这种云还可以使探测和防止侦察变得更加容易。

攻击阶段——针对目标的行动

请记住，攻击有许多可能的动机，包括恶名、利润、军事间谍、经济间谍、报复、无政府状态等等。一旦攻击者在攻击中达到这一阶段，他们的目标就可能触手可及。在此阶段，他们可能会将管理员锁定在系统之外，泄漏数据，损害数据的完整性，加密数据和基础架构，使系统无法启动，或者只是持续观察受害者并收集数据。对目标的行动取决于他们的动机。

在某些情况下，这是防御方在恢复变得更加昂贵和可能令人向往之前检测和阻止攻击者的最后机会。然而，攻击者在他们的杀伤链中达到这一阶段的事实并不自动意味着他们可以访问所有资源并完全控制 it 环境；他们的目标范围可能会更小，或者为阻止他们的进展而部署的安全控制可能已经达到了预期的效果。这可能意味着许多用于中断杀伤链其他阶段的控制在这个阶段仍然有用。如果攻击者能够在攻击的早期阶段击败或绕过控制，这并不意味着他们可以随时随地在 IT 环境中这样做。检测和拒绝攻击者是理想的，但是破坏、降低、欺骗和限制他们的攻击比从他们那里恢复更可取。

针对目标的行动是入侵杀伤链模型和 MITRE ATT 和 ACK 框架之间存在巨大潜在集成的另一个阶段。MITRE 公布了攻击者常用的影响技术列表(MITRE，2019)。这个列表可以告知在这个阶段用来打破攻击者杀伤链的控制。

缓解这一阶段攻击时要考虑的一些控制措施包括:

• 数据备份:如果攻击者选择通过损坏存储介质或固件、擦除存储介质、加密数据或篡改数据完整性来销毁数据，备份会非常有帮助。强烈建议离线备份，因为如果攻击者能够使用勒索软件或加密软件，他们会很乐意加密在线备份。
• SAW/PAW : SAW 或 PAW 使攻击者更难使用特权帐户将管理员锁定在他们管理的系统之外。
• 加密无处不在:记住加密不仅提供保密性，还可以维护数据的完整性；加密有助于检测已被更改的数据。
• 身份和访问管理控制:身份是安全的核心。如果攻击者已经拥有环境中的活动目录，那么将很难或者不可能驱逐他们。但是，如果他们只能访问某些帐户，身份和访问管理控制仍然有助于限制他们的攻击范围。

以下控制示例可用于在攻击的目标阶段的行动中检测攻击者的活动:

• 反恶意软件套件:反恶意软件可以检测和阻止恶意软件。
• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• 日志审查:审查各种系统日志可以揭示危害的迹象。
• 用户行为分析:可以检测异常行为。
• 欺骗技术:欺骗技术可以检测攻击者对资产的操作以及对欺骗资产的使用。
• SAW/PAW :受监控和审计的 SAW/PAW 有助于检测特权凭证的异常使用。

以下控件是可用于在攻击的目标阶段的动作中拒绝攻击者活动的控件的示例:

• 反恶意软件套件:反恶意软件可以检测和阻止恶意软件。
• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• 短寿命环境:每几个小时更换一次的系统会增加安装难度。
• Windows Device Guard :可以让未经授权的程序更难运行。
• 强制访问控制，Linux 系统上基于角色的访问控制:可以使未经授权的程序更难运行。
• 身份和访问管理控制:严格遵循最小特权原则可以使攻击者对目标的行动更加困难。
• SAW/PAW :可以让攻击者更加难以窃取和使用管理员帐户和其他具有提升权限的帐户的凭证。
• 随处加密:对传输中的数据和静态数据进行加密，可以保护数据免受攻击者的攻击。

以下控制示例可用于在攻击的目标阶段的行动中扰乱攻击者的活动:

• 反恶意软件套件:反恶意软件可以检测和阻止恶意软件。
• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• 短寿命环境:每几个小时更换一次的系统会增加安装难度。
• Windows Device Guard :可以让未经授权的程序更难运行。
• 强制访问控制，Linux 系统上基于角色的访问控制:可以使未经授权的程序更难运行。
• 身份和访问管理控制:严格遵循最小特权原则可以使攻击者对目标的行动更加困难。
• SAW/PAW :可以让攻击者更加难以窃取和使用管理员帐户和其他具有提升权限的帐户的凭证。
• 随处加密:对传输中的数据和静态数据进行加密，可以保护数据免受攻击者的攻击。

以下控件是可以在攻击的目标阶段的动作中用于降低攻击者活动的控件示例:

• 反恶意软件套件:反恶意软件可以检测和阻止恶意软件。
• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• 短寿命环境:每几个小时更换一次的系统会增加安装难度。
• Windows Device Guard :可以让未经授权的程序更难运行。
• 强制访问控制，Linux 系统上基于角色的访问控制:可以使未经授权的程序更难运行。
• 身份和访问管理控制:严格遵循最小特权原则可以使攻击者对目标的行动更加困难。
• SAW/PAW :可以让攻击者更加难以窃取和使用管理员帐户和其他具有提升权限的帐户的凭证。
• 随处加密:对传输中的数据和静态数据进行加密，可以保护数据免受攻击者的攻击。

以下控件是控件的示例，可用于在攻击的目标阶段的欺骗攻击者:

• 欺骗技术:欺骗技术可以吸引攻击者，欺骗他们攻击假环境。

以下控制示例中的可用于限制攻击者在攻击目标阶段的活动:

• 反恶意软件套件:反恶意软件可以检测和阻止恶意软件。
• 文件完整性监控(FIM) : FIM 可以检测并阻止对系统和应用程序文件的更改。
• Windows Device Guard :可以让未经授权的程序更难运行。
• 身份和访问管理控制:严格遵循最小特权原则可以使攻击者对目标的行动更加困难。
• SAW/PAW :可以让攻击者更加难以窃取和使用管理员帐户和其他具有提升权限的帐户的凭证。
• 随处加密:对传输中的数据和静态数据进行加密，可以保护数据免受攻击者的攻击。

以下控件是在攻击的目标阶段的动作中可用于恢复的控件示例:

• 备份:根据需要从备份中恢复。
• 图像和容器:根据需要重建基础设施。
• 灾难恢复流程和技术

结论

这是实现入侵杀伤链框架的一种方式。显然，有其他可能的解释和方法来实现这个模型。我已经在会议上看到了一些针对该框架的经过深思熟虑的复杂方法，并在互联网上进行了记录，但是最好的方法是解决您的组织所关注的特定 hva 和风险的方法。

请记住，“最佳实践”是基于其他人心中的威胁和资产，而不一定是您的。

这可能是显而易见的，但是入侵杀伤链框架可以帮助 CISOs 和安全团队采取结构化的方法来管理入侵。可以说，入侵是大多数组织面临的最严重的威胁，因为它们具有潜在的影响，但是 CISOs 还需要应对其他威胁。例如，DDoS 攻击通常不涉及入侵尝试，也不需要 Kill Chain 框架来解决。

此外，这种方法已经变得有点过时，因为在这个世界上，云已经破坏并改进了传统的 IT 和网络安全方法。虽然这种方法仍然有可能在内部和混合环境中非常有效，但一个旨在打破入侵杀伤链和阻止所谓的高级持续威胁 ( APT )参与者的框架在云中并不相关。如果使用有效，CI/CD 管道、短暂的环境、自动扩展和云提供的其他功能就不会给 APT 参与者或其他攻击者留下立足之地，以便横向移动并保持持久性。简而言之，云给了 CISOs 戏剧性地改变竞争环境的机会。我将在第八章、云——安全和合规的现代方法中更详细地讨论云提供的网络安全好处。

鉴于该行业将在未来十年继续从老式的内部 IT 世界过渡到云，入侵杀伤链框架似乎仍然可以作为一种过渡性的网络安全策略来帮助组织。它可以帮助内部和云中的组织实现劳动力现代化，以利用 DevOps 以及即将实现的零信任方法。至关重要的是，采用这种策略仍然比没有网络安全策略或使用我在第五章、网络安全策略中研究的许多其他策略具有潜在的优势。如果您的组织没有网络安全策略，或者有，但没有人能清楚地表达出来，那么您可能比采用入侵杀伤链策略更糟糕。

要做到这一点，在许多情况下，您必须获得比我在这里提供的高级示例更详细、更具体的信息。但是，我想我已经为您提供了一个我们已经研究过的最佳评分网络安全策略的开端。这不是一件坏事。

章节摘要

CISOs 和安全团队在开发保护、检测和响应现代威胁的方法时，有许多网络安全策略、模型、框架和标准可供选择。我们在第五章、网络安全策略中研究的一个以攻击为中心的策略，入侵杀伤链，值得认真考虑，因为它获得了 CFSS 估计的最高总分。在满分为 100 分的测试中，它获得了 95 分的满分。本章试图为您提供一个实现该模型的示例。

入侵杀伤链模型由洛克希德·马丁公司首创；洛克希德·马丁公司的论文中提供的杀伤链阶段包括侦察、武器化、投放、开发、安装、指挥和控制(C2)以及对目标的行动(埃里克·m·哈钦斯、迈克尔·j·克洛普特、罗汉·m·阿明博士)。在实现这个框架之前需要考虑的一个问题是，防御者是应该使用原来的入侵杀伤链框架，还是对其进行更新。

有几种方法可以使这个框架现代化。它可以围绕网络安全常见的可疑因素进行修改或重组，以确保它们得到缓解，并使识别组织安全态势中的差距变得更加容易。将侦察阶段分成两个阶段，而不是一个阶段；一个是攻击者在初次攻击前使用的，另一个是在攻击后使用的。武器化阶段可以放弃，因为 CISOs 在交付阶段之前通常没有非常有效的保护和检测控制。销毁阶段可以替换为更实用的阶段，如限制和恢复。添加一个成熟度指数，以获取和传达每种网络安全能力减轻威胁的程度或效果，可以帮助确定投资不足的领域和防御中的潜在差距。为每个缓解措施添加一个联系点，以明确谁在使用网络安全功能生成的数据，这将有助于确保环境中没有不受管理的缓解措施。跟踪网络安全许可证更新和支持截止日期将有助于防止能力下降。

合理化缓解措施有助于确定投资不足和过度投资的差距和领域。从哪里开始实现取决于许多因素，包括预算、资源、差距以及投资不足和投资过度的领域。在多个地方实现有助于打破杀伤链的控制措施，可能会给安全团队带来更高的 ROI。

我关于如何实现网络安全策略的例子到此结束。希望我提供的小技巧和窍门对你有帮助。在下一章，我将研究 CISOs 和安全团队如何衡量他们的策略实现是否有效。对于安全团队来说，这可能是一个重要但难以实现的目标..

参考

1. Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士(未注明)。情报驱动的计算机网络防御，通过对手活动和入侵杀伤链分析提供信息。检索自洛克希德·马丁:T3【https://Lockheed Martin . com/content/dam/Lockheed-Martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-defense . pdfT5】
2. H.P. Sanghvi，硕士(2013 年)。网络侦察:网络攻击前的警报。《国际计算机应用杂志》(0975–8887)，第 63 卷第 6 期，第 2-3 页。从 http://citeseerx.ist.psu.edu/viewdoc/download?取回 doi = 10 . 1 . 1 . 278 . 5965&rep = re P1&type = pdfT5】
3. 马特·米勒，男(2010 年 12 月 8 日)。关于 DEP 和 ASLR 的效力。从微软安全响应中心检索:msrc-blog . Microsoft . com/2010/12/08/on-the-effectiveness-of-dep-and-aslr/
4. 微软公司。(2017 年 10 月 13 日)。控制基于 Windows 10 的设备的健康状况。检索自微软文档:Docs . Microsoft . com/en-us/windows/security/threat-protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices
5. 微软公司。(未注明日期)。 PortQry 命令行端口扫描器版本 2.0 。从微软下载中心检索:【https://www.microsoft.com/en-us/download/details.aspx?】T3id = 17148T5】
6. 米特雷。(2019 年 7 月)。命令和控制。从米特里取回 ATT&CK:T3】https://attack.mitre.org/tactics/TA0011/T5】
7. 米特雷。(2019 年 7 月)。防御闪避。从米特里取回 ATT&CK:T3】https://attack.mitre.org/tactics/TA0005/T5】
8. 米特雷。(2019 年 7 月)。发现。从米特里取回 ATT&CK:T3】https://attack.mitre.org/tactics/TA0007/T5】
9. 米特雷。(2019 年 7 月 25 日)。影响。从米特里取回 ATT&CK:T3】https://attack.mitre.org/tactics/TA0040/T5】
10. 米特雷。(未注明日期)。ATT&CK**T3】。从米特里取回 ATT&CK:T5】https://attack.mitre.org/T7】
11. 米特雷。(未注明日期)。ATT&CK常见问题。从 https://attack.mitre.org/resources/faq/中检索到米特 ATT&CK:T7】

七、衡量表现和有效性

我们如何知道我们采用的网络安全策略是否按计划运行？我们如何知道 CISO 和安全团队是否有效？本章将着重于衡量网络安全策略的有效性。

在本章中，我们将讨论以下主题:

• 使用漏洞管理数据
• 衡量网络安全策略的表现和效力
• 以攻击为中心的网络安全策略为例
• 使用入侵重建结果

让我们以一个问题开始这一章。为什么 CISOs 需要测量任何东西？

介绍

网络安全团队需要度量事物的原因有很多。遵从法规标准、行业标准和他们自己的内部安全标准通常是其中的首要因素。

有数百个与治理、风险和法规遵从性相关的指标可供组织选择来衡量自己。学过认证信息系统安全专业人员()认证的人都知道，安全领域数不胜数，包括安全与风险管理、资产安全、安全架构与工程、通信与网络安全、身份与访问管理** ( IAM ，等等。(ISC2，2020)这些领域中的人员、流程和技术的性能和功效可以通过多种方式来衡量。事实上，度量标准的数量和度量方法令人眼花缭乱。如果您有兴趣了解可用指标的范围，我推荐您阅读 Debra S. Herrmann 关于该主题的 848 页的《利维坦》,安全和隐私指标完整指南:衡量法规遵从性、运营弹性和 ROI (Herrmann，2007)。**

除了出于合规性原因衡量事物，网络安全团队还试图找到有意义的指标来帮助证明他们正在为他们支持的业务增加价值。这对 CISOs 来说可能很有挑战性，也有点不公平。关键表现指标(KPI**)通常根据目标或目的衡量表现。对于安全团队来说，未能实现目标往往会造成损害。很难找到有意义的数据来证明 CISO 和网络安全团队的投资和努力是组织没有受到威胁或数据泄露的原因。是他们的工作阻止了攻击者成功吗？或者，正如我听到许多非安全管理人员所说的那样，该组织只是“在攻击者的雷达下飞行”吗？这就是我在前言中介绍的潜艇类比有所帮助的地方。在涉及网络安全的互联网上不存在雷达下的飞行；只有来自各个方向的持续压力。此外，希望不是策略，而是放弃责任。

然而，首席信息安全官需要能够向他们的同行、他们支持的企业或公民，以及股东证明，他们创造的成果不是运气或希望实现的副产品。他们需要证明他们的成果是成功执行网络安全策略的产物。我见过很多 CISOs 试图通过观点和轶事证据来做到这一点。

但是，如果没有数据来支持观点和轶事，这些首席信息安全官往往很难捍卫他们的策略和网络安全计划的成功。审计员或顾问提出不同意见，挑战 CISO 对当前事态的描述，这只是时间问题。

数据是衡量网络安全策略的表现和功效的关键。数据帮助 CISOs 管理他们的网络安全计划和投资，并帮助他们证明他们的网络安全计划是有效的，并在不断改进。在这一章中，我将向 CISOs 和安全团队提供如何衡量其网络安全策略有效性的建议。为此，我将使用我在第五章、网络安全策略和第六章、策略实现中研究过的最佳评分策略，即以攻击为中心的策略，作为一个例子。我还将利用我在本书前几章中提供的概念和见解。我不会在这里讨论度量合规性或其他目的，因为有许多书籍、论文和标准已经在做这件事了。让我们先来看看漏洞管理数据的潜在价值。

使用漏洞管理数据

对于刚刚开始实现网络安全计划的组织，或者已经承担了一项计划领导责任的 CISOs 来说，漏洞管理数据可能是一个强大的工具。即使对于成熟的网络安全计划，漏洞管理数据也有助于说明安全团队如何有效地管理其组织的风险，并随着时间的推移不断改进。尽管如此，令人惊讶的是，我遇到过一些大型成熟企业的首席信息安全官，他们不汇总和分析，或者使用他们漏洞管理计划中的数据。当我遇到它时，我感到惊讶。这是因为这些数据是 CISOs 传达其网络安全计划有效性的最直接、最简单的方式之一。

CISOs 和 IT 管理人员面临的一个挑战是根据与业务管理人员衡量和沟通表现的方式相一致的数据制定表现概述。此类数据对 CISOs 的影响也可能完全不同。

例如，当一个生产站点落后于目标时，将会有额外的资源和行动计划来帮助弥补。但是对于 CISOs 来说，额外的资源很少是落后于目标的结果；在很大程度上，安全程序应该是“拨号音”

正如我在前面的章节中详细讨论的，未打补丁的漏洞和安全错误配置是通过漏洞管理程序管理的五个网络安全常见疑点中的两个。随后，一个运行良好的漏洞管理程序不是可选的。正如我在第一章、成功的网络安全策略的要素中所讨论的，完整且最新的资产清单对于漏洞管理计划和整体网络安全计划的成功至关重要。毕竟，安全团队很难管理他们不知道存在的资产。

漏洞管理团队应该每天扫描库存中的所有东西，寻找漏洞和错误配置。这将有助于最大限度地减少未缓解的漏洞和错误配置在其环境中出现和被利用的时间。请记住，漏洞和错误配置可以通过多种方式引入 IT 环境；新披露的漏洞平均每天 33 到 45 个(在过去 3 年中)，从旧映像构建或从备份恢复的软件和系统，失去支持的传统软件和系统，随着时间的推移变得不受管理的孤立资产，等等。

漏洞管理团队每天扫描他们的所有资产，他们将获得环境当前状态的新快照，他们可以将这些快照与以前的所有快照拼接在一起。随着时间的推移，网络安全团队可以通过多种方式使用这些数据。让我举几个例子来说明如何使用这些数据。

管理资产与总资产之比

受漏洞管理团队管理的资产数量与组织拥有和运营的资产总数之比，可能是一些组织感兴趣的数据点。这两个数字之间的差异可能代表风险，特别是如果存在没有被任何人针对漏洞和错误配置积极管理的资产。我在一些组织中看到了这两个数字之间的巨大差异，在这些组织中，IT 人员长期以来一直不足，并且没有足够的文档或部落知识来提供准确的资产清单。随后，可能会有 IT 资产的子网没有被清点，也没有作为漏洞管理计划的一部分进行主动管理。

我还发现，当首席信息官与 IT 领导层关系不佳时，这些数字会有很大差异；在这种情况下，不准确的 IT 清单似乎很常见，并给组织带来真正的风险。在我见过的一些案例中，IT 知道所有或大部分资产的位置，但不会主动与 CISO 合作，以确保它们都被清点和修补。正如我在第一章、成功网络安全策略的要素中所写的，首席信息安全官必须努力与他们的利益相关者社区保持良好的关系，尤其是与他们的 IT 组织。首席信息官和首席技术官还需要认识到，他们的角色越来越多地与 CISO 有着共同的命运；当漏洞管理程序失败时，他们都失败了，应该分享“荣耀”CISO 成为 IT 安全失败的唯一替罪羊的日子已经成为过去。处于这种情况下的 CISOs 应该努力改善与 IT 合作伙伴的关系。在某些情况下，这说起来容易做起来难。

在图 7.1 所示的示例场景中，漏洞管理计划全年持续管理相同数量 IT 资产的漏洞和错误配置。幸运的是，他们没有意识到有一些子网的 IT 资产不是他们管理的。他们也没有积极管理这一年中引入环境的新 IT 资产。图中两条线之间的空间代表组织面临的风险:

图 7.1:趋势数据示例，说明库存中的 IT 资产总数与漏洞管理计划中注册的资产数量之间的差异

为了最大限度地降低风险，IT 资产的总数和每天主动管理漏洞和错误配置的资产的总数应该相同。然而，在大型复杂的环境中，可能有很好的理由让这条规则有例外。但是负责管理漏洞的团队仍然需要知道、理解和跟踪异常；否则，组织面临的风险不会暴露给组织中正确的管理层。换句话说，如果组织将拥有未打补丁的系统，那么这样做的决定以及持续多长时间的决定需要由最高的适当管理层接受，并定期重新检查。

对于这样的决策，合适的管理层可能根本不在 IT 部门——这取决于他们所采用的组织和治理模型。请记住，允许未打补丁的系统在环境中运行的决定是代表整个组织接受风险的决定，而不仅仅是该资产的所有者或管理者。我见过项目经理为了满足他们项目的进度、预算和质量目标，而过于热情地代表他们的整个组织接受各种各样的风险。尽管事实上他们的角色范围仅限于他们所从事的项目。如果风险从未升级到适当的管理级别，它可能会永远处于未知和潜在的不受管理状态。应采用风险登记来跟踪风险，并定期重新评估风险接受和转移决策。

在 IT 资产总数和针对漏洞进行主动管理的资产总数存在显著差异的环境中，这是 CISOs 和漏洞项目经理展示他们如何努力缩小这一差距从而降低组织风险的机会。他们可以利用这些数据向 IT 领导和董事会说明组织面临的风险。要做到这一点，他们可以使用不完整和不准确的资产清单，并谈论不受管理的资产的存在。CISOs 可以定期向利益相关方提供最新信息，说明漏洞管理团队管理的资产数量与组织拥有和运营的资产总数之间的差异如何随着时间的推移而变化，以及 IT 部门和他们的网络安全团队如何共同努力减少和最大限度地降低这种差异。该数据点代表了组织面临的真实风险，趋势数据说明了 CISO 及其漏洞管理团队是如何管理风险的。如果这一数字朝着错误的方向发展，高级领导层和管理委员会有责任认识到这一点，并帮助解决这一问题。

图 7.2 显示了 CISO 和漏洞管理团队一直在与他们的 IT 合作伙伴合作，以降低未加入漏洞管理计划的系统带来的风险。

这是一个积极的趋势，CISO 可以借此传达网络安全计划的价值:

图 7.2:趋势数据示例，说明库存中的 IT 资产总数与漏洞管理计划中注册的资产数量之间的差异在不断改善

已知未打补丁的漏洞

漏洞管理计划的另一个关键数据点是环境中存在的已知未修补漏洞的数量。请记住，一些组织的 IT 资产清单中存在未打补丁的系统有很多原因。坦率地说，我听到的最常见的原因是缺乏对漏洞管理项目的投资；人手不足和资源不足的计划根本无法管理其环境中的大量新漏洞。除了时间之外，测试和部署安全更新还需要训练有素的人员、有效的流程和支持技术。

不管原因是什么，了解哪些系统未打补丁、未打补丁的漏洞的严重性以及针对它们的缓解计划仍然很重要。定期分享未修补漏洞的数量是如何减少的，有助于传达 CISO 和网络安全团队是如何为企业的成功做出贡献的。对于快速变化的环境，需要考虑的一个细微差别是，尽管基础架构发生了重大变化或 IT 资产数量增加，漏洞的数量如何减少。为了有效地传达这一点，CISOs 可能需要就漏洞管理指标的基础和细微差别，以及它们对组织整体风险的重要性，对他们的一些利益相关者进行培训。董事会中通常只有一两个成员有网络安全经验，而在典型的高管层中有这种经验的高管就更少了。根据我的经验，教育这些利益相关者是值得花时间的，并且将帮助每个人理解网络安全团队提供的价值。在漏洞管理团队资源不足的情况下，这些数据可以帮助以易于理解的方式构建增加投资的业务案例。

图 7.3 展示了一个场景，漏洞管理团队成功地最小化了其环境中未修补漏洞的增加，尽管在其计划中注册的 IT 资产数量略有增加。但是，收购一家 10 月份关闭的小型公司引入了大量新的 IT 资产，漏洞管理团队需要管理这些资产。这导致未打补丁的漏洞数量急剧增加，到本季度末，该团队能够将其减少到更典型的水平:

图 7.3:趋势数据示例，说明已修补漏洞的数量、未修补漏洞的数量以及组织漏洞管理计划中注册的系统数量

有了这样的数据，CISO 和网络安全团队就像英雄一样。如果没有这样的数据，就很难描述收购给漏洞管理团队带来的挑战、随之增加的工作量以及积极的结果。不过，这也不全是好消息，因为该组织的环境中存在大量且不断增加的未修补漏洞。CISO 应该能够阐明将未修补漏洞的数量尽可能减少到零的计划，使用相同的数据来请求更多的资源来加速这一努力。注意，我在这个例子中使用的数字完全是虚构的；实际数据可能会有很大差异，这取决于资产、硬件、软件、应用程序、修补策略、治理实践等的数量。

但是对于一些组织来说，减少未打补丁的漏洞数量说起来容易做起来难。一些已知的漏洞根本无法修补。这有许多原因。例如，许多供应商不会为不再受支持的软件提供安全更新。一些供应商停业，随后，他们的客户已经部署的产品的安全更新将永远不会提供。另一个常见的例子是遗留应用程序，它们与操作系统或 web 浏览器的特定安全更新存在兼容性问题。在这种情况下，通常会有一些变通办法，即使没有安装修复这些漏洞的安全更新，也可以实现这些办法，使利用特定漏洞变得不可能或不可能。通常，在可以部署修复漏洞的安全更新之前，变通办法是短期解决方案。然而，在许多环境中，工作区变成了永久租户。报告如何使用变通办法而不是安全更新来缓解已知的未打补丁的漏洞，有助于传达风险及其管理方式。提供诸如正在进行的解决方案、已部署的和没有可用的解决方案之类的类别，可以帮助业务发起人了解哪里需要做出决策。部署了变通办法的系统的数量，以及它们缓解的底层漏洞的严重性，提供了环境中风险的细微视图。将这些数据与针对潜在漏洞的长期缓解计划结合起来，CISOs 就有了一个可以与利益相关者分享的风险管理故事。

按严重性划分的未修补漏洞

另一个潜在的强大数据点是环境中未打补丁的漏洞数量，按严重性分类。正如我在第二章、使用漏洞趋势降低风险和成本中详细讨论的那样，由于被利用的可能性和影响，关键和高严重性漏洞代表着最高的风险。了解环境中在任何时候都存在多少这样的漏洞、它们存在了多长时间以及补救时间都是重要的数据点，有助于阐明它们带来的风险。从长远来看，这些数据可以帮助 CISOs 了解这些风险缓解的速度，并发现导致其环境中相对较长生命周期的因素。这些数据可以帮助漏洞管理项目经理和 CISOs 为更多资源和更好的流程和技术建立业务案例。这些数据也可以是网络安全团队的价值以及他们为组织管理风险的有效性的最有力的指标之一，因为这些漏洞带来的风险是最严重的，并且很容易向高管和董事会表达。

不要低估 IT 环境中中等严重性漏洞对攻击者的价值。由于严重和高评级漏洞的货币价值，攻击者一直在寻找方法使用中等严重性漏洞的组合来危害系统。CISOs 和漏洞管理团队需要积极管理这些漏洞，以最大限度地降低环境风险。这是向他们支持的企业展示价值和交流不断修补这些漏洞的进展的又一次机会。

按产品类型划分的漏洞

另一个潜在的有用的数据集是按产品类型分类的漏洞。让我们面对它；大多数操作发生在用户桌面上，因为它们会通过外围防御将威胁带入 IT 环境。正如眼睛是心灵的窗户，浏览器对于操作系统也是如此。攻击者不断试图找到并利用 web 浏览器和操作系统中的漏洞。

图 7.4 中探究的数据在第二章、中也有涉及，利用漏洞趋势降低风险和成本:

图 7.4:按产品类型分类的 CVE 最多的 25 种产品中的漏洞(1999-2019)(CVE 细节，2019)

漏洞管理团队可以为他们的环境开发类似的视图，以说明他们所面临的挑战以及他们管理挑战的能力和进度。像这样的数据，结合我之前讨论的数据点，可以帮助说明组织的风险所在，并帮助优化其处理。环境中操作系统、web 浏览器和应用程序中未修补、严重、高和中等严重性漏洞的数量，以及不受漏洞管理计划管理的系统的数量，有助于 CISOs 及其利益相关方了解其 IT 环境中的风险。当然，根据环境的不同，包括与基于云的资产、移动设备、硬件、固件、设备、路由和交换设备以及每个 IT 环境中使用的其他技术相关的数据将提供更完整的视图。这些技术的组合及其潜在的漏洞对于每个组织来说都是独特的。

向执行管理团队和董事会成员提供这样的量化数据有助于他们理解现实和观点。没有这种类型的数据，就很难做出令人信服的商业案例，也很难根据网络安全项目的目标交流进展。这些数据还将使随机的高管和其他利益相关方(如过于激进的供应商)更容易向网络安全计划的利益相关方询问成为新闻头条的“当前漏洞”。如果高级利益相关者知道他们的 CISO 和漏洞管理团队正在称职且勤奋地管理其环境中的漏洞和错误配置，那么大量可能分散 ciso 注意力的干扰就可以被过滤掉。

这种报道对一些人来说可能听起来复杂和吓人。好消息是已经有漏洞管理产品可以提供丰富的分析和报告功能。CISOs 并不局限于我在本章中提供的想法，因为漏洞管理供应商有很多很好的方法来帮助衡量和交流进展。关键是使用分析和报告机制来有效地向风险承担者展示您的漏洞管理计划如何降低组织的风险，并在需要时请求资源。

尽管来自漏洞管理程序的数据对 CISOs 非常有帮助，但它只能帮助他们管理五个网络安全常见嫌疑人中的两个。可能有更多的数据可以帮助 CISOs 了解和管理其网络安全策略的性能和效力。接下来让我们使用我在第六章、策略实现中详细讨论的例子来探讨这个问题，这是一个以攻击为中心的策略，入侵杀伤链框架(Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士)。

衡量以攻击为中心的策略的性能和功效

正如我在第五章、网络安全策略和第六章、策略实现中提到的，入侵杀伤链框架具有许多属性，使其成为一种有吸引力的网络安全策略。首先，它在第五章中获得了最高的网络安全基础评分系统 ( CFSS )估计总分。

这意味着它有最大的潜力来充分减轻网络安全通常的嫌疑。此外，这种方法可用于内部环境以及混合环境和云环境。也许我最喜欢这个框架的一点是，它的性能和功效可以用一种相对简单的方式来衡量。让我们详细检查一下。

执行入侵重建

当你阅读它时，这可能看起来很奇怪，但是当涉及到衡量网络安全策略的性能和效力时，入侵企图是攻击者给防御者的礼物。它们是礼物，因为它们测试防御者的网络安全策略的执行和操作。但是为了从入侵尝试中获取价值，必须分解和研究每一个成功的、部分成功的和失败的入侵尝试。在这样做的时候，有两个关键问题需要回答。首先，在攻击者被检测到并最终被阻止之前，他们的入侵杀伤链(Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士)进展到什么程度了？第二，攻击者如何击败或绕过网络安全团队为打破他们的入侵杀伤链而部署的所有缓解控制层？换句话说，如果攻击者进入了入侵杀伤链的第四阶段，他们如何通过第一、第二和第三阶段的所有缓解措施呢？

这些是入侵重建(Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin 博士)应该帮助回答的核心问题。在寻找这两个问题的答案时，入侵重建还应该回答许多其他问题，这些问题将有助于衡量这种方法的每个实现的性能和功效。正如您将在我描述这个过程时看到的，这些问题的潜在主题是，正在努力打破攻击者入侵杀伤链的人员、过程和技术是否有效。我们希望发现在我们以攻击为中心的策略的每个阶段是否需要任何改变。我们开始吧。

洛克希德·马丁公司关于入侵杀伤链的论文讨论了入侵重建的概念。我再次推荐阅读这篇论文。我将在本章描述的方法与洛克希德·马丁公司论文中描述的方法略有不同。至少有几种方法可以完成入侵重建；我将描述一种我曾经成功使用过的方法。

这种方法假设防御者无法自信地进行归因，因此它不像其他方法那样依赖于归因。我认为这是一个优势，因为随着攻击者变得越来越老练，错误归属的可能性也会增加。我的入侵重建方法的目标是确定入侵杀伤链框架的实现可以改进的地方，而不是确定攻击者并对他们采取军事或法律行动。

让我就何时进行入侵重建提供一些建议。事故响应活动正在进行时，请勿执行重建。在活动事件期间，使用在您组织的事件响应流程中发挥作用的宝贵资源和专业知识是不必要的干扰。重建可以等到危机时期过去之后。理想情况下，重建可以在事件过去几天或几周后参与者对细节记忆犹新的时候进行。然而，如果你的组织总是处于危机状态，那么就忽略这个建议，尽可能地接触他人和信息。也许你可以通过找出导致危机的缺陷来帮助打破危机循环。

为了执行入侵重建，我强烈建议您从负责网络安全策略、架构、保护、检测、响应和恢复的所有团队中至少挑选一名代表。在非常大的环境中，这可以限制在负责入侵尝试所涉及区域的相关团队的范围内。一旦组织变得擅长重建，参与者的数量可能会减少更多。但是您需要专业知识和可见性，每个团队都必须重现每个失败、部分成功和完全成功的入侵尝试中发生的事情。请记住，我在第六章、策略实现中对行动方案矩阵(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)所做的修改之一是为每个缓解措施添加一个“数据消费者联系点”。这些信息有助于从不同的团队中找到合适的人来参与重建。

应该决定是否邀请供应商参加这些会议。我通常发现让我们曾经使用的一些网络安全供应商的可信代表参与入侵重建是有帮助的。

这种方法至少有几个好处。首先，供应商应该能够围绕他们的产品和服务带来专业知识，并提供否则可能会被忽略的见解。其次，与您选择的帮助您抵御攻击者的供应商分享攻击者给您的“礼物”非常重要。这些练习可以让你的供应商做出更好的产品，你的组织和其他人都可以从中受益。但是这也给了你一个机会来看看你的供应商到底有多愿意帮忙，以及他们是否愿意为他们的缺点负责。我发现，我使用的一些供应商，我以为他们会在安全事件中支持我，但当我真正需要他们时，他们却像马戏团帐篷一样折叠起来，离开了城镇。在入侵重建过程中，这些供应商有勇气参与，但通常会将他们产品的失败归咎于他们的客户。如果您对供应商做了足够多的重构练习，您将有可能确定他们是否真的有愿望和能力以您认为他们会的方式帮助您的组织。当他们的产品许可更新日期临近时，这些知识会派上用场。我将在本章后面详细讨论这一点。

尽管如此，邀请供应商参与重建也有相关的风险。简单来说，有些厂商在保密信息保密方面真的很差。我的建议是，根据具体情况，与参与重建工作的利益相关方讨论让供应商参加这些会议。如果供应商增加了足够的价值并且值得信赖，那么就有理由让他们参与这些练习。在最终决定让供应商参与这些活动之前，与高层领导讨论这一想法并征求他们的意见也是一个谨慎的步骤。

如果您的组织有一个取证团队或使用一个供应商进行取证，这些专家对入侵重建工作会有极大的帮助。他们拥有的工具和技能有助于确定重建中的系统是否、何时以及可能如何遭到破坏。根据我的经验，我遇到过两种类型的取证团队。第一个是传统的法医团队，他们有经过认证的法医检查员，他们遵循严格的程序来保持他们收集的证据的完整性。

根据我在拥有这种取证团队的组织中的经验，他们需要一个全职的专家团队来保存证据，维护监管链，并可能在他们帮助调查的刑事案件中出庭作证。更常见的情况是，组织将这类工作外包出去。

我更经常看到的另一种类型的取证团队，履行不同的职能，有时被简单地称为事故响应者。他们也试图确定系统是否被入侵。但这些团队通常没有经过认证的法医专业人员，不保持证据的完整性，也不打算在法庭上作证。事实上，很多时候，他们努力确定系统是否已经被破坏，结果是破坏了在刑事诉讼中被认为是证据的东西。在这里，我遇到了一些有资质的法医专家的有趣的、有时是偏狭的态度，因为他们中的许多人根本不会把这些努力称为法医，因为他们销毁证据，而不是妥善保存证据。但是这些人需要记住，许多戴着粉红色戒指的工程师讨厌 IT 工程师在他们的头衔中使用“工程师”;设计建筑的建筑师也不喜欢 IT 建筑师用自己的头衔，“安全研究员”这个头衔让很多学术研究者望而却步。但是我跑题了。现实是，并不是每个组织都想花时间和精力追踪攻击者，并试图在法庭上起诉他们。组织需要决定他们需要哪种类型的取证专业人员，以及他们是否负担得起。当这两种取证专家帮助确定系统是否已经被入侵并参与入侵重建演习时，他们都是物有所值的。

谁应该领导重建工作？我建议由负责网络安全策略的个人或团体来领导这些练习。该个人或团队最终负责整体策略的表现和功效。他们还可能负责根据需要进行调整，以确保策略的成功。策略小组的替代方案是事件响应 ( IR )团队。IR 团队应该掌握领导入侵重建所需的大部分(如果不是全部)细节(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)。如果他们没有，你就已经确定了第一个需要改进的地方。

IR 团队负责管理事件，因此他们应该能够轻松获得与部分和完全成功的入侵尝试相关的大部分信息。但他们可能不会参与不符合事故条件的失败尝试。在这些情况下，SOC 人员、运营人员和建筑师可能拥有重建的关键信息。

请记住，我们的目标不是对组织面向互联网的防火墙上发生的每个端口扫描进行分类。我建议在参与重建工作的小组之间就一个原则达成一致，该原则用于确定应该执行重建的入侵类型。也就是说，定义确定是否执行正式重建的入侵尝试的特征。如表 7.1 所示，使用我们从第六章、策略实现中更新的行动过程矩阵，一个有效的原则可以是，在交付阶段中，任何使其比拒绝行动更进一步的入侵都应该被重建。一个不那么激进的原则是，任何导致恢复操作的入侵尝试都应该被重建。在这两个例子之间还有许多其他选择。

这一原则的目标是实现一致性，有助于适当平衡风险和重建参与者的宝贵时间。这个原则不需要被刻在石头上，它可以随着时间的推移而改变。当一个组织第一次开始执行重建时，他们可以有一个相对积极的原则，使他们能够快速学习。然后，一旦来自重建的经验已经“正常化”了，就可以采用一个不那么激进的原则。但在这些重建活动中，利益相关方就启动这些活动的原则达成一致，对于这些活动的长期成功以及网络安全策略的成功至关重要。相对于入侵尝试而言，太少的重建可能意味着组织没有对攻击者给予的礼物给予足够的重视，并且可能对攻击调整得太慢。太多的重建会带来破坏性和反效果。随着时间的推移，达成一致的原则应该为利益相关方群体找到正确的平衡。

表 7.1:第六章“策略实现”中更新的行动方案矩阵示例(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)

一旦确定了合适的参与者或其代表，并且入侵重建负责人准备好进行协调，就可以安排重建会议。为参与者提供足够的准备时间和指导来为重建收集适当的数据将有助于节省时间和减少挫折。根据我的经验，一些重建工作很简单，因为入侵企图在早期就被检测到并阻止了。在这些情况下，参与者的数量和他们重建入侵企图所需的数据量可能相对较少。随后，这个练习通常需要的时间相对较短，例如 45 分钟或一个小时。如果您刚刚开始在您的组织中进行重建，您自然需要比习惯之后多一点的时间。对于更复杂的入侵尝试，尤其是当攻击者进入其杀伤链的后期阶段时，可能需要拥有更多数据的更多参与者，从而增加了重建练习所需的时间。

我工作过的许多组织都用代号来标记安全事件。所有关于事故的后续通信都使用其代号。这样，如果一封电子邮件或其他通信被某个没有被读到事件的人看到，其背景和意义就不明显了。当组织用事件代码名称标记事件时，关于入侵重建的通信和邀请应使用事件代码名称。如果您决定使用事故代码名称，请仔细考虑您使用的名称，避免使用可能具有攻击性的标签。这包括英语以外的其他语言的名称。

如果该代码名称成为公共知识，请考虑对组织声誉的潜在影响。远离那些与公司品牌或公司希望在顾客心目中建立的品牌不一致的主题。除了良性代号之外，确实没有令人信服的商业理由来使用任何东西。这些很无聊，但在多个层面上有效。

现在，我们的重建工作有了一个代号，参与者将带来相关数据，一些值得信赖的潜在供应商将参与其中，还有一个领导者来促进这项工作。这个练习的目的是重建攻击者在他们的杀戮链的每个阶段所采取的步骤。要做到这一点可能没有完全的把握，对他们的战术和技术的一些假设可能是必要的。但是，重构包含的细节越多，就越容易识别人员、流程和技术表现符合预期或表现不佳的领域。在这些练习中，准备好做详细的笔记。入侵重建演习的产品应该是一份报告，其中包含入侵企图的详细信息，以及网络安全团队已实现的防御措施的性能。这些工件将潜在地具有多年的价值，因为它们将提供关于过去攻击的知识的有用的连续性，即使当关键员工离开组织时。换句话说，当从这些入侵尝试中吸取的经验教训被记录下来时，它们可供当前的和将来的人员借鉴。这是我将入侵尝试称为“礼物”的另一个原因。

我们更新的杀伤链框架有七个阶段。重建工作应该从哪里开始？在第一阶段，或者可能是最后阶段？这个问题的答案是，看情况。有时，入侵很简单，可以按顺序从头到尾绘制出来。然而，对于复杂的入侵或几个月或几年前开始的入侵，以这种方式进行重建可能是不谨慎或不可能的。从你最了解和最有把握的阶段开始。这可能是杀人链的最后一环。从你的起点出发，利用重建参与者提供的数据和见解，在两个方向上建立一个时间表。由于缺乏数据或不确定性，可能无法建立完整的时间表。

重建揭示的细节越多越好，因为这将有助于识别改进的机会、差距和防御中的失败。在我的例子中，我将简单地从第一阶段开始，通过杀伤链向前推进。但是要注意的是，这不可能对每一次入侵都这样做。先说侦察 I 阶段。

在攻击前的侦察 I 阶段，可能无法确定任何特定威胁参与者的活动。由于如此多的网络流量不断轰击所有连接互联网的设备，挑选出特定攻击者进行的特定探测和侦察活动通常具有挑战性。但也不是不可能。这是一个结合了人工智能 ( AI )、机器学习 ( ML )、良好威胁情报和粒度日志的领域，非常有前途。使用 AI/ML 系统在海量日志数据中搅动，如网络流量数据、DNS 日志、认证和授权日志、API 活动日志等，以接近实时的方式找到特定攻击者的活动，这不再是科幻小说。如今，云服务可以大规模做到这一点。锦上添花的是，你可以通过亚马逊 Alexa (Worrell，2018)将安全调查结果读给你的 SOC 分析师听！这些能力直到最近还只能在科幻小说中实现。但是现在，只要有信用卡和一点时间，任何人都可以通过云计算提供的功能实现这一点。真的很神奇！我将在下一章详细讨论云计算。

从攻击的交付阶段收集数据和见解显然是非常重要的。关键问题是，攻击者如何击败或绕过网络安全团队为打破这一阶段的杀伤链而部署的层层缓解措施？他们是如何成功交付武器的，涉及到哪些人员、流程和技术？

为了回答这些问题，我发现在参与者的帮助下，在白板上画出系统流程图是很有用的。首先，尽可能详细地绘制基础架构，包括外围防御、服务器、客户端、应用程序、系统名称、IP 地址等。绘制相关基础架构的地图，并绘制数据在该基础架构中应该如何流动、使用的协议、身份验证和授权界限、涉及的身份、存储等图表。然后，画出攻击者在入侵尝试期间是如何交付武器的，以及交付期间发生了什么。

攻击者在这一阶段成功的原因是什么？这个问题的答案包括询问和回答许多其他问题。让我给你举几个例子。入侵重建中一个有用的数据点是检测到攻击需要多长时间。建立攻击时间表是帮助确定攻击执行方式的有用工具。在交付阶段(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)，是否检测到了武器的交付，是通过何种控制手段检测到的？如果没有检测到交付，记录哪些控制应该检测到它。如果您的 Kill Chain 框架实现中存在明显差距，请记录。当您在策略实现中补救缺陷时，这些信息将非常有用。

是否有任何控制措施本应检测到交付，但却未能做到？为什么这些控制没有按预期运行？他们失败是因为他们没有做供应商承诺的事情吗？他们失败的原因是控制之间的集成或自动化，还是系统没有按预期工作？这就是重建流程图中系统的日志数据和其他数据源非常有用的地方。通过流程图中各系统日志中的数据，尝试一步步拼凑出武器是如何交付的。所有这些系统看起来都像预期的那样运行吗？如果没有，找出异常和薄弱环节。在某些情况下，日志数据可能不可用，因为日志记录没有打开，或者激进的数据保留控制删除了日志数据。是否有充分的理由不在这些系统上启用日志记录并存储日志以备将来使用？

有足够的数据来确定武器是如何投放的吗？有时，根据现有的数据，根本不可能确定武器是如何交付的。一些 IR 团队将第一个被入侵的系统称为“零号病人”。在一些入侵中，攻击者的进入点非常明显，可以追踪到电子邮件、访问恶意网站、USB 驱动器、恶意软件等等。在其他情况下，如果最初的攻击是在几周、几个月或几年前完成的，并且攻击者擅长掩盖他们的踪迹，找到零号病人是一种渴望，而根本不可能。想想在这种情况下什么会对你有帮助。增加日志记录的详细程度会有帮助吗？将日志存档更长时间或将日志运送到异地会有帮助吗？有没有一些你目前不具备的能力可以帮助填补这个空白？

交付阶段缓解措施的数据消费者是否获得了检测和打破该阶段所需的数据？例如，SOC 是否获得了检测入侵所需的数据？在更新的行动方案矩阵中确定的数据消费者是否按预期接收或访问了数据？如果不是，是哪里出了问题？是数据交付机制失败了，还是因为某种原因，需要的数据在目的地被过滤掉了？在数据的收集、传递和分析中可能有多次失败。深入了解这一点，找出那些没有按计划进行的事情，并记录下来。

控制、自动化和集成是否按预期工作，但人员或流程是失败的根源？这种情况比你想象的要多。架构是健全的，系统按预期工作，技术按预期执行，武器被检测到，但没有人注意，或者警报被注意到但被解除。不幸的是，人员和流程故障与技术控制故障一样常见，如果不是更常见的话。SOC 流程中的失败、糟糕的决策、犯错误的供应商，有时仅仅是关键人员的懒惰，都会导致无法检测和阻止攻击。

在攻击的这一阶段，攻击者和/或防御者运气好吗？我遇到的一些安全专家告诉我，他们不相信运气。但我把这种信念归结为幼稚。我见过攻击成功是因为喜剧般的错误，这些错误可能无法重复或复制。人员、流程、技术和环境的组合可能导致攻击场景，就像中了彩票一样。不要低估运气的作用。请记住，并非所有的风险都能真正被识别；“黑天鹅”事件可能发生(Taleb，2007)。

一旦重建团队了解了攻击的交付阶段是如何完成的，并且已经记录下来，我们就可以进入攻击的下一个阶段，即开发阶段(Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士)。在这里，重建团队将重复该过程，使用数据来尝试确定是否尝试、检测和停止了利用。我们在交付阶段问的问题同样适用于这个阶段。哪些控制措施未能防止和发现剥削？在攻击的这个阶段，保护和检测控制方面的差距在哪里促成了攻击者的成功？

供应商的网络安全缓解措施像宣传的那样有效吗？数据消费者是否获得了检测和打破这一阶段所需的数据？IR 流程是否按计划开始并运行？我们可以从攻击者在这一阶段的成功中学到什么，以使这种成功在未来变得更加困难或不可能？记录你的发现。

继续对压井链的所有阶段进行调查。可能有些阶段什么也没发生，因为攻击者在这些阶段之前就被阻止了。请注意何时何地成功检测到攻击并成功破解。如果攻击没有在当前阶段被破坏，后续阶段中的缓解措施会成功检测并阻止攻击吗？在评估中尽可能坦诚地对待自己；陈词滥调、乐观主义和未定义未来的计划可能不足以打破下一个攻击者的入侵杀伤链。然而，清醒地下定决心让攻击者尽可能地难以下手可能会有所帮助。记得记录这些想法。

现在重建已经完成，您已经根据需要询问和回答了尽可能多的问题，以发现发生了什么，最好是在攻击的每一步。接下来，让我提供一些例子，说明在失败、部分成功和完全成功的攻击之后，重建应该确定的具体可操作的事情。

使用入侵重建结果

首先，回忆一下第六章、策略实现中关于识别差距和过度投资及投资不足领域的讨论。入侵重建可以确认在计划实现该策略时所做的一些差距和投资不足的分析。例如，如果在规划期间发现交付阶段的检测差距，并且后来的入侵重建数据也说明了同样的差距，这是一个奇怪的令人安心的消息。现在，CISO 有了更多的数据来帮助构建投资商业案例，以缩小这一差距。CISO 说他们需要投资探测能力是一回事，否则会发生不好的事情。但是，当 CISOs 能够向高级管理人员和董事会证明攻击者一直在积极利用已知漏洞时，这样的请求就更加有力了。

当 CISOs 能够提供风险真实存在的证据时，它反驳了风险是理论上的任何概念。这也有助于建立一种以前没有的紧迫感。如果入侵尝试导致与响应和恢复活动相关的计划外费用，这将有助于说明与差距相关的当前和潜在未来成本。这些数据可以为风险等式的概率和影响面提供信息，从而更容易与其他风险进行比较。使用这样的数据，CISOs 可以在每次网络安全计划审查会议上向其管理委员会提供差距和投资不足领域的更新，直到它们得到缓解。

当重建工作发现以前未知的差距或投资不足的领域时，这确实是攻击者的礼物。通过这样做，攻击者为 CISOs 提供了对其策略实现中的缺陷的宝贵见解，以及实现新的缓解措施或改进现有措施的明确行动号召。入侵重建数据也有助于为网络安全投资路线图提供信息。请记住，在入侵杀伤链中尽可能早地阻止攻击者比在后期阻止他们更可取。重建数据可以帮助网络安全团队确定和优先考虑缓解措施，这将有助于攻击者更难或不可能进入攻击的后期阶段。帮助网络安全团队了解在交付和利用阶段的不足和需要改进的地方是入侵重建工作的一个重要成果。然后，这些数据可用于规划投资路线图，该路线图绘制了组织计划部署的人员、流程和技术以及部署时间。由于大多数组织都有资源限制，重建数据和他们提供的投资路线图可能会成为网络安全团队规划流程的核心。

还记得我在第一章、中讨论的那些网络安全的当务之急及其支持项目吗？成功的网络安全策略的要素？当务之急是一个大胆的多年目标，最好与组织的业务目标一致。升级到急需的现代身份系统，或者最终放弃 VPN，为成千上万的信息工作者提供现代远程访问解决方案，就是两个例子。重建数据有助于为网络安全需求提供支持数据，并为处理这些数据的工作人员提供共同的目标感。相反，重建数据可能并不总是支持这样的观念，即计划的必要措施是组织的正确方向。

没有人期望这些一定会协调一致，尤其是在具有复杂环境和多项要务的大型组织中。但是，当雷击和重建数据表明一个命令对组织来说是至关重要的，它可以增压正在工作的项目团队。这种积极的势头有助于维持项目时间表，并使项目跨越终点线。

识别蹩脚的控制

源自入侵重建的另一个潜在行动领域是纠正未能按预期执行的缓解措施。这些控制措施已经部署并得到积极管理，但没有按照设计保护、检测或帮助响应入侵企图。显而易见，首席信息安全官和安全团队不能依赖不按他们应该的方式工作的控制措施。失败的控制有一系列可能的根本原因。

失败的一个常见根本原因是控件实际上没有执行安全团队认为它执行的功能。不幸的是，安全控制的功能和安全团队的期望之间的不匹配非常普遍。一些控制措施旨在缓解特定环境下非常特定的威胁。但是这种细微差别可能会在供应商的营销材料和销售活动中丢失。这是架构师在许多网络安全团队中扮演的一个关键角色:真正理解每种控制所减轻的威胁，以及需要如何协调控制来保护、检测和响应组织面临的威胁。他们应该深思熟虑地执行我在第六章、策略实现中讨论的网络安全能力清单，并对这些清单进行修改，以最大限度地减少差距和投资不足的领域。但是，正如我在第六章中提到的，控制实现的成熟度是一个重要因素，控制生成的数据的消耗也是如此。这是架构师可以参与的事情，即清点和规划，但数据消费者、运营人员和 SOC 工程师等需要帮助完成这一画面。否则，控制功能和期望之间的不匹配会让网络安全团队焦头烂额。

缓解措施未能按预期执行的另一个常见原因是它们根本没有按照供应商所说的方式工作。我知道这对于少数人来说是一个令人震惊的发现，而对于安全团队来说，这是一个非常普遍的挑战。如果供应商遵守他们所有的承诺，那么就不会有全球性的网络安全挑战，也不会有价值数十亿美元的网络安全产业。这是拥有多层防御的一个原因，这样当一个控制失败时，其他控制可以帮助减轻威胁。这是一个 ciso 可以与其他 ciso 分享和学习的领域。特定供应商和特定产品的专业经验通常是最好的参考。

缓解措施未能保护、检测或响应的另一个常见原因是它们所依赖的可信计算基础已经被破坏。也就是说，攻击者通过损害他们赖以运行的硬件和/或软件来破坏缓解措施。例如，一旦许多攻击者使用一个或多个网络安全常见嫌疑人来危害系统，他们首先要做的事情之一就是禁用系统上运行的反恶意软件软件。一个不太明显的策略是将目录添加到反恶意软件引擎的例外列表中，这样攻击者的工具就不会被扫描或检测到。一旦攻击者或恶意软件开始危害系统，他们通常会破坏为保护系统和检测攻击者而部署的控制措施。因此，精通网络安全基础知识是部署高级网络安全能力的先决条件。不要费心部署昂贵的攻击者检测系统，该系统使用人工智能来执行行为分析，除非你也致力于管理该系统的网络安全基础。如果未打补丁的漏洞、安全错误配置以及脆弱、泄露或被盗的密码使攻击者能够访问他们运行的系统，攻击者将破坏这些高级网络安全功能。我在前面的章节中详细讨论了这一点，但我将在这里再次重申。如果网络安全基础得不到有效管理，任何网络安全策略，即使是入侵杀伤链框架这样的高分策略，都不会有效。

此外，牢记网络安全基础知识，有效管理网络安全产品本身也很重要。反恶意软件引擎和其他常见缓解措施在过去一直是可利用漏洞和安全错误配置的来源。它们也必须得到有效的管理，这样它们就不会增加而不是减少攻击面。

与失败的控制相关的另一个行动项目是解决失败的控制集成。例如，在攻击者的杀伤链中，直到相对较晚的时候才检测到入侵企图，因为尽管控制器在早期阶段成功地检测到了入侵企图，但该数据从未到达 SIEM。像本例这样的中断和降级的集成在大型复杂的 IT 环境中很常见，很难检测到。如果网络安全团队可以简单地依靠数据消费者来识别网络安全控制的数据报告中的异常，那将是理想的，但在许多情况下，缺少数据并不是异常。许多组织中的技术债务会使识别和补救不良集成变得非常困难。很多时候，这种集成是由供应商或专业服务组织执行的，他们对客户的 IT 环境了解有限。这就是 SOC 工程师的价值所在；他们可以帮助确保集成按预期工作，并随着时间的推移不断改进。

从失败中学习

除了识别差距和次优控制和集成，入侵重建还可以帮助 CISOs 和网络安全团队确认他们拥有正确的投资优先级。来自重建的数据可以帮助重新确定投资的优先级，以便首先解决最关键的领域。这些数据不仅可以帮助投资决策合理化，还可以帮助首席信息官证明他们的投资决策是正确的，尤其是在面对首席信息官和首席技术官的批评时，他们有着不同的观点和可能不同的议程。投资于破坏攻击者努力的领域，而不是 IT 依赖的新功能，可能不是 IT 领导层的普遍选择。但是用重建数据来为这样的决定辩护会让其他人更难反对。

除了识别未按预期工作的技术之外，重建还可以提供一个机会来改进表现低于预期的人员和流程。例如，在治理失误导致不良安全结果的情况下，这可能是有助于推动治理流程和相关培训的积极变化的良好数据。如果遵守内部标准或行业标准无助于保护、检测或响应攻击，那么重建可能是变革的动力。

允许组织中的人从失败中学习是很重要的。在花费时间和精力了解失败并从中恢复后，组织可以通过将失败的教训传播给组织中受益最大的人来增加这些投资的回报。例如，重建数据可以帮助为高管或整个组织的社会工程培训建立一个案例。

识别有帮助的供应商

供应商是组织的重要合作伙伴，因为他们通常提供客户所依赖的技术、服务、人员和流程。入侵重建数据有助于识别表现达到或超过预期的供应商。它还可以帮助识别未能按预期表现的供应商。这包括供应商如何自己参与入侵重建演习。重建工作有助于发现那些倾向于将产品和服务性能的失败归咎于客户的供应商，这很少有帮助。这一点，以及有关供应商产品和服务表现的数据，有助于为供应商产品许可证续订谈判提供信息。一旦安全团队尝到了供应商产品的真正性能，以及他们在入侵期间愿意提供多大帮助，他们可能愿意在未来为它们支付更少的费用，或者根本不愿意使用它们。如果您的组织还没有这样做，我建议您维护一个许可证续订和生命周期终止“展望列表”,向您显示与续订和产品生命周期终止相关的关键日期何时临近。

确保组织给予自己足够的提前通知，以便他们可以花费合理的时间来重新评估现在是否存在更好的缓解措施。在部署和运行供应商的产品后，组织可能拥有比最初采购时更多、更好的关于其当前供应商表现的数据，以便为产品评估提供信息。

奖励那些乐于助人的供应商，并考虑替换那些不理解其核心价值应该是客户服务的供应商。纵观我在第六章、策略实现中提到的所有厂商，除了我没有提到的所有厂商，也不乏竞争你组织业务的公司。不要满足于那些将失败归咎于你的组织的供应商。即使这是真的，他们应该帮助你克服这些挑战，而不是玩指责游戏。入侵重建练习是他们证明投资于您的成功的机会，而不是作为一个不感兴趣的第三方旁观，等待下一个许可证更新日期。如果他们一直试图帮助你的组织从他们的产品中获得更多的价值，但是你的组织没有接受，那么在做出轻率的决定之前，这应该被调和。替换那些一直在逆流而上帮助您的组织的优秀供应商对您没有任何帮助，可能会使您的网络安全计划倒退几个月，甚至几年。但是他们的产品要么像宣传的那样工作，并且他们愿意帮助你在合理的时间内让他们进入那种状态，要么他们应该被替换。否则，他们只是增加了攻击面，同时使用了可以在其他地方更好地保护、检测和响应威胁的资源。

重建数据可能是你真正衡量网络安全供应商表现的最佳数据。在许可证续签谈判中使用它来反驳营销废话和销售主管的承诺，即最新版本或下一个版本解决了您的所有挑战，包括他们无法提供基本水平的客户服务。有时，绝望的供应商意识到他们将失去业务，决定通过直接向其他高管或董事会申诉来“终结”CISO 和网络安全团队。对于背负着对他们没有帮助的产品的 CISOs 来说，这可能是次优的。

但是，当 CISO 一直在向高管和董事会通报入侵重建的结果，并向他们展示他们的一些供应商是如何帮助或不帮助他们时，他们很难给这些供应商更多的业务。如果高管们仍然决定将更多的业务授予那些表现不尽如人意的供应商，数据显示，他们已经决定代表整个组织接受风险。首席信息安全官一直在管理这种类型的风险。但是随着数据的持续增长，每个人都很难简单地接受现状。数据而非意见本身应该有助于组织对其投资的网络安全能力做出更好的决策。

通知内部评估

我将讨论的入侵重建结果的最后一个潜在行动项目领域是渗透测试和红/蓝/紫团队练习。许多组织投资于渗透测试和红/蓝/紫团队，以便他们能够以更加结构化和可控的方式模拟攻击。从入侵重建演习中获得的经验教训可以为渗透测试和红队/紫队演习提供参考。如果重建工作发现了攻击者在实现网络安全策略时可以利用的弱点或漏洞，则应进一步测试这些弱点或漏洞，直到它们得到充分解决。当专业渗透测试人员和 Red 团队获得入侵重建结果时，它可以帮助他们设计测试，确保这些弱点得到适当的缓解。理想情况下，渗透测试人员和红/蓝/紫团队在攻击者有机会之前发现实现缺陷。

章节总结

网络安全团队需要衡量各种不同的东西，包括遵守监管、行业和内部标准。但是，本章重点介绍了 CISOs 和网络安全团队如何衡量其网络安全策略实现的表现和功效，并以以攻击为中心的策略为例。

数据帮助 CISOs 管理他们的网络安全计划和投资，并帮助他们证明他们的网络安全计划是有效的，并在不断改进；它还有助于说明检测到问题后纠正措施的有效性。运行良好的漏洞管理程序不是可有可无的；利用来自 it 部门的数据是 CISOs 传达效率和进度的最简单方式之一。漏洞管理团队应该每天扫描其清单中的所有内容，查找漏洞和错误配置。这有助于最大限度地减少未缓解的漏洞和错误配置出现和被利用的时间。随着时间的推移，漏洞管理扫描数据会产生有价值的趋势数据。一些有价值的数据包括:

• 漏洞管理小组管理的资产数量与组织拥有和运营的资产总数之比。
• 按漏洞严重性划分的环境中未修补的漏洞数量。
• 按产品类型划分的漏洞有助于说明环境中风险最大的地方；环境中操作系统、web 浏览器和应用程序中未修补、严重、高和中等严重性漏洞的数量，以及未受管理系统的数量，有助于 CISOs 及其利益相关方了解其 IT 环境中的风险。

以攻击为中心的策略，如入侵杀伤链，使衡量性能和功效变得相对容易；为此，使用了入侵重建。入侵重建结果可以在许多不同方面帮助 CISOs，尤其是通过识别未能按预期执行的缓解措施。为了从入侵尝试中获取价值，必须对每个成功、部分成功和失败的入侵尝试进行分解和研究，以回答两个关键问题:

1. 在被检测到并最终被阻止之前，攻击者的入侵杀伤链进展到了什么程度？
2. 在被阻止之前，攻击者是如何击败或绕过网络安全团队为打破其入侵杀伤链而部署的所有缓解控制层的？

在本书的下一章，我们将探讨云如何为安全性和合规性提供一种现代方法，以及它如何进一步帮助组织实现网络安全策略。

参考

1. 工程师的命令(未注明)。从工程师的命令中检索:
2. CVE 细节(2019)。按“独特”漏洞总数排名前 50 的产品。从 https://www.cvedetails.com/top-50-products.php 检索到的详细信息:T3T5】
3. Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士(未注明)。情报驱动的计算机网络防御，通过对手活动和入侵杀伤链分析提供信息。检索自洛克希德·马丁:T3【https://Lockheed Martin . com/content/dam/Lockheed-Martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-defense . pdfT5】
4. 赫尔曼博士(2007 年)。安全和隐私指标完整指南:衡量法规遵从性、运营弹性和投资回报率。奥尔巴赫出版公司。
5. ISC2 (2020 年)。 CISSP 域名更新常见问题解答。检索自 ISC2 认证:www . is C2 . org/certificates/CISSP/Domain-Refresh-FAQ #
6. 新泽西州塔勒布(2007 年)。黑天鹅:极不可能事件的影响。企鹅图书。
7. 沃雷尔，c .(2018 年 4 月 3 日)。如何使用亚马逊 Alexa 获取亚马逊 GuardDuty 统计数据和调查结果。检索自 AWS 安全博客:AWS . Amazon . com/blogs/Security/how-to-use-Amazon-Alexa-to-get-Amazon-guard duty-statistics-and-findings/**

八、云——实现安全性和合规性的现代方法

云提供了一种现代化的安全性和合规性方法。本章将介绍一些概念，这些概念将有助于尚未完全接受云计算的 CISOs 以及安全和合规专业人员了解云计算的背景。

在本章中，我们将讨论以下主题:

• 应用程序接口的力量
• 自动化的优势有助于缓解网络安全常见的疑点
• 云中的网络安全策略
• 加密和密钥管理

让我们先来看看云与我们一直在内部进行的工作有何不同。

介绍

2006 年商业云计算的出现在一些组织中引发了大量关于云是否可信以及它是否与内部 it 环境一样安全的辩论。然而，对于许多组织来说，云代表的不仅仅是新技术。简单来说，云代表着变化。让我们面对现实吧，对于一些组织来说，变革很容易，比如初创公司，而对于大型、成熟和高度监管的组织来说，变革可能更困难，比如金融服务机构或公共部门中的一些垂直行业。

通常，这些组织中的 CISO 是变革的反对者，在 ciso 对变革有一定控制权的 it 环境中，他们的运作方式就好像理想的结果是与攻击者僵持不下。只要没什么变化，他们就能保持这种相对成功的状态，继续提高。然而，当然，事物是不断变化的；只是我们这些忙碌的人需要时间才能注意到。跟不上技术进步步伐的企业会落后于竞争对手，并成为试图扰乱其行业的初创公司的牺牲品——狼总是在门口。然而，CISOs 希望在获得成功后维持现状，这无可厚非。然而，不花时间假装自己是首席技术官的首席信息官们会给他们的组织带来伤害，因为他们拖了太多的后腿，阻碍了创新。

这并不意味着 CISOs 可以或者应该提倡采用每一种即将出现的新技术。然而，经过十多年的争论，结论是明确的-云是安全和合规专业人士的游戏规则改变者。本章将概述云如何成为伟大的网络安全人才放大器，帮助组织执行其当前的网络安全策略，甚至采用更现代的方法来实现安全性和合规性。让我们先快速介绍一下云计算。

云计算有什么不同？

在 IBM、甲骨文、阿里巴巴等云服务提供商(CSP)中，全球最受欢迎的三大 CSP 是亚马逊网络服务 ( AWS )、微软和谷歌。这些 CSP 通常被称为超大规模 CSP，因为它们的云产品遍布全球。

当组织第一次考虑利用 CSP 提供的服务时，他们中的一些人首先想探讨的话题是安全性和法规遵从性。他们需要了解通信服务提供商如何提供所需的 IT 能力，同时满足或超过行业安全标准、监管标准和他们自己的内部安全标准。我听过很多关于云计算的神话，我也看到云帮助组织实现了他们在自己的内部 IT 环境中不可能实现的事情。在这一章中，我将分享一些我所了解到的关于云的事情，但请注意，这一章以及本书的其余部分所写的所有观点和意见都是我自己的个人观点，而不是我过去或现在的任何雇主的观点。我们开始吧。

尽管云计算正在被世界各地的行业所采用，但这种情况并不均衡，在世界上的一些地区更为缓慢。随着云计算开始受到企业的青睐，服务模型描述使得教育人们云是什么和不是什么变得很容易。三种云计算服务模式成为的热门，包括基础设施即服务(IaaS)平台即服务 ( PaaS )和软件即服务 ( SaaS )。这些服务模型描述使每个人都更容易理解可用的云服务类型以及它们在每个组织的 it 组合中的位置。例如，组织可以在 CSP 的 IaaS 产品中运行自己的虚拟服务器，如亚马逊弹性计算云 ( 亚马逊 EC2 )、微软 Azure 虚拟机或谷歌计算引擎。

通信服务提供商基于他们在世界各地建立的大规模物理 IT 基础设施提供服务。随着时间的推移，电信运营商大致围绕的物理基础设施模型是基于 AWS 开创的模型；区域和可用性区域的概念。按照 AWS 的说法，可用性区域是一个数据中心集群，区域是一个可用性区域集群。在电信运营商基础设施的规模和范围以及他们如何利用该模型的组件方面，存在有意义的差异。您可以在每个电信运营商的网站上了解他们的基础设施:

• AWS:T3】https://aws.amazon.com/about-aws/global-infrastructure/T5】
• 谷歌:T3】https://cloud.google.com/compute/docs/regions-zones/T5】
• 微软:T3】https://azure . Microsoft . com/en-us/global-infra structure/regions/

尽管 IaaS、PaaS 和 SaaS 这些术语今天仍被广泛使用，但它们正慢慢变得过时。当它们第一次被创造出来时，CSP 只有少量的服务，这些服务模型有助于描述每个服务是如何部署的。然而，这种情况正在迅速改变。在撰写本文时，上述三家超大规模通信服务提供商提供了数百种云服务。随后，像容器即服务 ( CaaS )、身份即服务 ( IDaaS )和功能即服务 ( FaaS )这样的新的缩写出现了。这种服务的激增一直在加速，因为新服务的开发者可以使用现有的服务作为构建模块。例如，如果一个电信运营商正在开发一项新的云服务，并且他们需要存储，而不是从头开始构建一个新的存储基础架构，他们可以简单地使用一个满足其要求的现有云存储服务。这种方法不仅有助于加速新云服务的开发，还意味着服务可以包含 IaaS、PaaS 和/或 SaaS 组件，模糊了这些旧服务模型描述之间的界限。换句话说，特定问题的解决方案变得比维护服务模型定义更加重要。随着云服务的持续增长，企业将能够为他们想要解决的特定问题购买解决方案，旧的服务模式将变得越来越不重要。

谈到服务模式，一个重要的区别是超大规模 CSP 提供的服务与传统的托管服务提供商(MSP)提供的服务之间的差异。几十年来，世界各地的许多组织都在利用 MSP。例如，政府倾向于与 MSP 签订长期协议来管理他们的数据中心并为他们提供 IT 服务。至少出于几个原因，MSP 在这样的组织中扮演了重要的角色。首先，MSP 成功地保持了大量的 IT 人才，否则企业很难吸引和留住他们。第二，MSP 变得非常熟悉他们客户的 IT 环境，因为他们管理这些环境；这种部落知识提供了企业所需的连续性，以便在关键员工离职时最大限度地减少潜在的中断。当然，MSP 也为他们的客户提供其他好处。

越来越多的组织希望从资本支出模式转移到 OPEX 模式，在这种模式下，他们不必预先进行大量投资，并希望他们的容量和利用率估计是正确的；只为他们使用的特定资源付费更有效率。MSP 和 CSP 可以帮助他们的客户实现这一转变。然而，MSP 往往有一个基于外包的业务模型，其中 CSP 提供一个用于转型的自助服务模型，而不是复制现有流程。

第一次考虑使用云的企业容易犯的一个错误是，认为 CSP 只是 MSP 的另一种形式。他们不是。超大规模通信服务提供商提供了一种极具可扩展性和灵活性的自助服务 IT 模式，其客户只需为他们使用的服务付费，以计算秒和他们存储或通过网络传输的数据量来衡量。任何持有信用卡的人都可以开立一个账户，并访问数百项服务，而在内部部署或 MSP IT 环境中构建这些服务的成本极其高昂。当客户使用完电信服务提供商的服务后，他们通常可以不带任何义务地离开。

相反，MSP 代表他们的客户管理数据中心和系统。由于物理构建数据中心和在其中运行的系统需要前期投资，MSP 模型通常需要长期合同来确保 MSP 可以从其投资中获得适当的回报。这种模式使中小企业及其客户处于不利地位。电信运营商将费用分摊给全球数百万客户，而移动运营商需要服务的客户数量要少得多，他们必须自己支付所有费用。一些 MSP 为他们的客户构建了自己的私有云，试图模仿云计算的弹性和其他特征。然而，根据我的经验，术语私有云是对有限规模、有限服务和缓慢变化的委婉说法。在某些情况下，私有云只是一个外包的数据中心。将这些与超大规模通信服务提供商提供的一系列服务进行比较，并不是真正的点对点比较。随后，许多 MSP 发展了他们的产品和服务，在 CSP 的服务之上运行。这很有意义，因为它们也可以从超大规模 CSP 提供的经济规模中受益。

他们通过大幅降低资本支出、获得几乎无限的产品规模，以及让自己能够以难以置信的速度创新来实现这一目标，而这可能是他们自己无法实现的。对于 MSP 来说，为客户设计、构建和管理系统是一个巨大的机会。但是，他们可以将更多精力放在创新上，而不是关注 IT 基础架构管理。他们还可以为客户提供更好的安全性。在本章中，我将讨论云可以提供更好的安全性和合规性的一些方法。

未能理解 CSP 和 MSP 之间的区别会让组织在评估云的安全性和合规性时慢下来。许多组织花费大量时间试图了解如果他们选择利用云，他们将如何维持现状。然而，正如我前面提到的，云代表变化；当组织第一次考虑使用云时，协调这两件事是他们面临的首要问题之一。这种调和可以以几种不同的方式表现出来。让我给你举几个例子。

正如我前面提到的，作为一个群体，超大规模通信服务提供商为他们的客户提供数百种服务。尽管如此，许多企业仍然选择将应用程序提升并转移到云中。这通常意味着他们将一直在本地 IT 环境中的服务器上运行的应用程序放到云中托管的服务器上运行。这种向云的过渡使他们能够维持他们多年来一直使用的人员、流程和技术，同时从资本支出转向 OPEX。对于许多组织来说，这是完全自然的，因为他们拥有在内部 IT 环境中构建和管理这些系统的深厚专业知识，并且当他们将这些相同的系统迁移到云中时，他们可以继续利用这些专业知识。在云中，他们可以利用他们一直在内部使用的相同或相似的硬件和软件。随后，这种类型的转换可以相对容易和快速。

提升和转移应用程序的挑战在于，复杂性、低效率和技术债务也会随着应用程序转移到云中。尽管如此，对于一些组织来说，这种类型的过渡可能是未来更大更好的事情的起点。

通常，一旦组织开始使用云，开发一些专业知识并探索其更广泛的功能，他们在未来会更广泛地使用它。他们不是提升和转移更多的应用程序，而是重新平台化应用程序，重新购买应用程序，或者使用云原生功能重构应用程序。随着时间的推移，他们不再像管理内部 IT 那样管理云，真正的创新开始蓬勃发展。然而，对于一些组织来说，这种转变和发展需要时间。

为了加快速度，一些组织决定采取大胆的大动作。他们决定将任务关键型应用程序迁移到云中，而不是将遗留应用程序提升和迁移到云中。他们的逻辑是，因为应用程序对业务至关重要，所以第一次就能做好，他们在这个过程中学到的东西可以应用于所有其他不太重要的应用程序，这些应用程序会跟随 it 走向云；这种方法将加速他们的数字化转型，并帮助他们有可能超越他们的弱小竞争对手。

一些 CISOs 努力应对云所代表的变化，并试图维持现状。这是因为他们已经在其组织的当前 IT 环境中成功地管理了他们的网络安全计划。对于一些组织来说，变更可能会带来风险。我最常看到的例子是企业安全团队用来确定新解决方案是否满足其安全标准和要求的安全评估。此类评估旨在确定在通过新解决方案处理、存储和传输组织的数据时，是否有一套最低限度的控制措施来保护这些数据。例如，一个评估问题可以确定新解决方案是否使用最新版本的传输层安全 ( TLS )协议来保护传输中的数据。另一个评估问题可以确定解决方案中的静态数据是否使用特定算法加密。另一个评估问题可能是供应商是否有特定的第三方安全证明或认证，例如 ISO 27001。

在一些组织中，当新的基于云的解决方案提交给安全团队进行安全评估时，他们会应用他们一直用于评估其内部 IT 环境中的新解决方案的相同评估流程。这似乎是合理的；毕竟，评估检查解决方案是否符合组织的安全标准。

这些年来，我看到的一些安全评估问卷非常详细，包括数百个问题。这些调查问卷中有许多是经过多年开发的，并且已经过定制，以反映使用它们的组织的特定 IT 环境和法规遵从性要求。

然而，这种评估问卷中的许多问题是基于一些关键的基本假设；例如，假设评估员将物理访问硬件以回答他们的问题。另一个类似的例子是，评估者将评估组织自己管理的系统。我看到的另一个流行的假设是，一个解决方案所使用的技术永远不会偏离当前商业上可用的技术。例如，解决方案的虚拟化工作负载所运行的虚拟机管理程序，其运行方式与在本地 IT 环境中运行的虚拟机管理程序完全相同。最后一个例子是假设提供解决方案的供应商只有一个解决方案，而没有一个庞大的技术套件或堆栈，可以通过不同的方式组合来解决问题。当这些假设和其他假设中的任何一个不成立时，基于它们的评估就不能完全完成。当这种情况发生时，一些安全团队简单地拒绝一个解决方案，因为他们无法使用他们的可靠的安全评估问卷来确定它是否符合他们的标准。然而，他们评估过程中的明显缺陷是，它不检查解决方案是否符合组织的安全标准，它检查他们的问卷中的问题是否可以按书面形式回答；这是一个微妙但重要的区别。

让我用一个夸张的比喻来说明我的意思。在过去的几十年里，车主可以将他们的汽车带到专业管理的车库进行多点检查。在某些情况下，这些检查是法律规定的，例如排放检查。然而，当第一辆全电动汽车的车主带着他们的汽车进行法律强制排放检查时，他们发生了什么？车库能够处理法律要求的评估吗？那辆车有没有排气管或者催化转换器让修车厂测试？毕竟每辆车都必须有这些技术吧？

鉴于汽车修理厂不能像他们几十年来测试汽车一样测试这辆车，他们应该不认证这辆车吗，尽管它超过了汽车排放标准，而这是传统内燃机无法达到的？一些安全团队拒绝基于云的解决方案，因为他们无法像以前那样评估解决方案。

很少有安全团队会自发地质疑他们多年来的评估流程所基于的假设。他们的安全需求不一定要改变。但是，他们需要发展和更新他们的评估流程，以确定新技术是否能够满足或超过这些要求。安全评估的目标是确保新的解决方案满足组织的安全要求，而不是确保他们的安全评估问题永远不会改变。企业需要偶尔质疑他们的假设，以检查它们是否仍然准确和相关。

让我们直接开始吧！接下来，我将分享为什么我认为云是安全和法规遵从性专业人员的游戏规则改变者。

安全性和合规性改变游戏规则

云可以通过多种方式让游戏场向有利于防御者的方向倾斜。在这一部分，我将介绍两个安全性和法规遵从性游戏规则改变者。

API 的力量

应用程序接口(API)为系统与人类和其他系统的交互提供了的强大机制。有不同种类的 API，但一般来说，API 定义了系统愿意接受的特定输入和它将提供的输出。系统如何处理输入和提供输出的细节可以从视图中抽象出来，从而为想要使用它的人和其他系统简化了系统。换句话说，我不需要为了使用它而知道系统内部是如何工作的。我只需要知道它的 API。我可以调用一个 API，向它传递它需要的信息，然后等待输出，这时软件的魔力就出现了。

魔术在这里是对所有聪明的工程师和开发人员在硬件、固件、操作系统和软件上的工作的委婉说法，这些硬件、固件、操作系统和软件构成了 API 及其系统所依赖的技术堆栈。

API 可以是特定于编程语言的，因此包含在软件开发包(SDK中。这使得了解 C++、Java 或其他流行编程语言的开发人员能够轻松利用 API。虽然 API 曾经主要由开发人员用来帮助他们开发应用程序，但是操作角色现在也利用 API 来部署和操作 IT 基础架构，从而有助于预示 DevOps 时代的到来。

在云计算环境中，可以从应用程序内部、命令行或 CSP 提供的 web 控制台调用 API。让我给你举几个例子。

假设我们想在 Amazon EC2 中调配和启动五台虚拟机，该虚拟机位于伦敦地区目前可用的三个区域之一。我们可以使用 RunInstances API (AWS，2020):

https://ec2.amazonaws.com/?Action=RunInstances
&ImageId=i-030322d35173f3725
&InstanceType=t2.micro
&MaxCount=5
&MinCount=1
&KeyName=my-key-pair
&Placement.AvailabilityZone=eu-west-2a
&AUTHPARAMS 

如果我们使用 AWS 控制台做同样的事情，启动实例向导将收集虚拟机的所有配置信息，并代表我们进行相同类型的 API 调用。我们还可以使用 AWS 命令行界面 ( CLI )来启动这些虚拟机，指定相同的参数，CLI 将为我们发出相同类型的 API 调用:

aws ec2 run-instances --image-id i-030322d35173f3725 --count 5 --instance-type t2.micro --key-name my-key-pair --placement "AvailabilityZone= eu-west-2a" 

在运行这个 AWS CLI 命令的系统的掩护下，它将使用 TCP 端口 443 (AWS，2020)上的 HTTPS 协议向 Amazon EC2 发送这种类型的请求。

需要记住的一件重要事情是，API 调用需要认证、授权、完整性和机密性机制。这里就不细说了。

当然，和 AWS 一样，Google Cloud 和微软 Azure 也有类似的 API，并支持一系列编程和脚本语言，以及命令行界面。这是来自 Google 的命令行界面 SDK 的一个例子，首先创建一个虚拟机，然后启动它(Google，n.d .):

gcloud compute instances create example-instance --image-family=rhel-8 --image-project=rhel-cloud --zone=us-central1-a
gcloud compute instances start example-instance --zone=us-central1-a 

这里可以看到一个类似的例子，关于在微软 Azure 中使用表述性状态转移(REST)API 创建虚拟机(微软公司，2020)。一旦创建了虚拟机，另一个 API 调用将启动它。这也可以使用 Azure CLI、Azure PowerShell 和 Azure Portal 来完成:

{
  "location": "westus",
  "properties": {
    "hardwareProfile": {
      "vmSize": "Standard_D1_v2"
    },
    "storageProfile": {
      "osDisk": {
        "name": "myVMosdisk",
        "image": {
          "uri": "http://{existing-storage-account-name}.blob.core.windows.net/{existing-container-name}/{existing-generalized-os-image-blob-name}.vhd"
        },
        "osType": "Windows",
        "createOption": "FromImage",
        "caching": "ReadWrite",
        "vhd": {
          "uri": "http://{existing-storage-account-name}.blob.core.windows.net/{existing-container-name}/myDisk.vhd"
        }
      }
    },
    "osProfile": {
      "adminUsername": "{your-username}",
      "computerName": "myVM",
      "adminPassword": "{your-password}"
    },
    "networkProfile": {
      "networkInterfaces": [
        {
          "id": "/subscriptions/{subscription-id}/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/{existing-nic-name}",
          "properties": {
            "primary": true
          }
        }
      ]
    }
  }
} 

如您所见，使用 API 使这些服务的用户能够部署基础设施，如服务器、防火墙、网络负载平衡器和第三方设备。但是，它也允许我们按照我们希望的方式配置基础架构。例如，在部署服务器时，我们可以指定操作系统、IP 地址、网络安全配置、路由表等等，这是非常强大的。只需一条命令，我们就可以启动一台或十万台虚拟机，所有虚拟机都按照我们希望的方式进行配置。因为我们确切地知道我们的系统应该如何配置，所以我们可以将生产中运行的系统的当前配置与我们的标准配置进行比较，并确定是否有任何差异。我们可以不断地这样做，以便发现可能是妥协迹象的变化。

在内部 IT 环境中，这通常涉及在服务器上部署代理或管理软件来监控配置更改。

许多组织面临的一个挑战是部署和管理来自不同供应商的多个代理和管理套件。每个代理都需要某种程度的管理和安全更新，以确保它不会增加攻击面。通常，首席信息官和首席信息官会想方设法减少系统上运行的代理数量，抵制在其环境中部署更多代理的想法。与此同时，系统配置更改的来源可能包括各种各样的东西—管理员、管理软件、用户、恶意软件、从备份中恢复等等。这使得检测更改和确定系统更改是否是危害的标志变得非常困难。

在云中，由于一切都是通过 API 发生的，API 为可见性和控制提供了完美的瓶颈。如果组织能够监控他们的 API 调用，并根据发生的情况采取行动，他们将拥有更好的可见性和控制力。在这种环境中，将代理和管理软件部署到数百或数千个系统是可选的，因为 API 是嵌入到云中的。如果组织有规定特定控制配置的法规遵从性要求，他们可以监控这些控制以确保它们始终合规。

实际上，出于这个目的，API 调用被记录到 API 日志服务中。例如，AWS CloudTrail 是一个 API 日志服务，它在 AWS 帐户中记录 API 调用(AWS，2020)。早些时候，当我们在 AWS EC2 中运行启动五个虚拟机的命令时，如果启用了 AWS CloudTrail，它就会记录一个事件来捕获该 API 调用的详细信息。该事件包含大量的详细信息，包括使用了哪个帐户、发出调用的主体、一些身份验证和授权详细信息、时间、区域、调用来自的源 IP 地址、虚拟机的详细信息以及关于其配置的一些详细信息。这些日志可以与其他日志记录数据相结合，由人工和数据分析系统进行汇总和分析，导入云中的 SIEMS 和/或下载到内部 IT 环境中的系统。这些日志对于事件响应调查也是必不可少的。谷歌提供云审计日志(Google，2020)，而微软提供 Azure Monitor(微软公司，2019 年 10 月 7 日)，此外还有其他日志记录机制，目的类似。

以下是 AWS CloudTrail 记录的一个事件的截断示例:

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "Example:user123",
        "arn": "arn:aws:sts::Example:assumed-role/Admin/user123",
        "accountId": "Example-ID",
        "accessKeyId": "Example-access-key",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "Example-principle",
                "arn": "arn:aws:iam::Example:role/Admin",
                "accountId": "Example-ID",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2020-04-01T05:09:15Z"
            }
        }
    },
    "eventTime": "2020-04-01T05:09:26Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "RunInstances",
    "awsRegion": "eu-west-2",
    "sourceIPAddress": "169.254.35.31",
    "userAgent": "aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 ",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "imageId": " i-030322d35173f3725",
                    "minCount": 1,
                    "maxCount": 5,
                    "keyName": "my-key-pair"
                }
            ]
        },
        "instanceType": "t2.micro" 

概括地说，与云的每一次交互都是通过 API 调用进行的。这种模式有许多好处，包括安全性和合规性好处。因此，云提供的可见性和控制优于大多数内部 IT 环境，更不用说这种方法的简单性和成本优势了。此外，它还支持新的 it 和安全运营方法。例如，我们知道我们部署的每个系统都配置为符合我们的安全性和合规性标准，因为这是我们用来部署它们的代码中的定义。由于存储和网络与计算服务分离，没有什么可以阻止我们每隔几小时就简单地关闭系统并部署新系统来替换它们。正如我们前面看到的，只需要脚本或应用程序中的几行代码就可以做到这一点。如果系统的寿命很短，管理员和管理软件就更难随着时间的推移引入安全错误配置，攻击者可以利用这些配置在环境中获得立足之地。

API 是强大的，但是它们也必须被正确地实现，这样它们才不会产生漏洞百出的攻击面。当然，通信服务提供商知道这一点，并在他们的 API 开发中使用专业知识、流程和技术来最小化风险。认证和授权机制、保护、监控、检测、响应和审计功能层；APIs 摇滚！

我在这里讨论了一个场景，即使用 API 来配置和启动虚拟机。现在，想象一下，如果你可以使用 API 来控制数百个执行各种功能的云服务，如计算、存储、网络、数据库、容器、无服务器计算、人工智能、机器学习、物联网和安全，仅举几例。想象一下，在世界上的任何地方，以几乎任何规模对所有这些进行编程控制，这真的很神奇。这就是 API 的力量！对于安全和法规遵从性专业人员来说，它们确实是游戏规则的改变者。API 的威力不仅适用于拥有大量 IT 预算的大型组织；任何有信用卡的人都可以用 CSP 开一个账户，并获得这些 API 的能力。接下来，让我们看看另一个改变游戏规则的因素，自动化。

自动化的优势

正如我们已经看到的，API 的力量使我们能够使用代码配置和控制云中的大多数东西，甚至是基础设施。为了充分利用 API 的能力，云提供了高度的自动化。除了运行 CLI 命令，您还可以使用脚本、模板、应用程序和云服务来自动化复杂的工作流。

CSP 提供丰富的自动化功能。这些功能分布在不同的云服务上，就像它们利用的 API 一样。一些有助于实现某些功能自动化的服务示例包括微软 Azure Automation(微软公司，2018 年 10 月 18 日)、谷歌云编辑器(谷歌，2020 年)和 AWS CloudFormation (AWS，2020 年)。还有第三方提供的自动化解决方案，如 Chef (Chef，2020)、Puppet (Puppet，2020)、Ansible (Ansible，2020)、Terraform (Hashicorp，2020)等。

对于安全和合规专业人员来说，所有这些自动化功能和工具都有助于供应、配置、管理、监控、重新配置和取消供应基础架构和其他云服务。此外，这些丰富的自动化功能有助于保护、检测、响应和恢复，同时符合监管标准、行业标准和内部安全标准。在许多情况下，所有这些都可以近乎实时地发生，因为是自动化而不是人类在执行这些操作。

事实上，减少这些操作中的人工参与有很多好处。回想一下我在第一章、成功的网络安全策略中详细讨论的网络安全常见疑点；让我们看一些自动化如何帮助我们减轻这些问题的例子。让我们先来看看内部威胁和社会工程。

减轻内部威胁和社会工程

请记住我之前定义的两种类型的内部威胁:恶意的内部人员滥用他们对资源的特权访问，以及非恶意的内部人员犯错误导致糟糕的安全结果。自动化有助于缓解这两种类型的威胁。例如，我们开发、测试和实现的自动化程度越高，管理员犯下具有安全后果的错误的机会就越少。

使用自动化来完成可重复的流程可以带来更一致、更快速的结果，更不容易出现人为错误。

自动化管理流程还会减少恶意内部人员采取行动的机会。这就是即时管理和刚好够用管理的概念可以发挥作用的地方。随着高度自动化的实现，管理员对系统的访问要求将会降低，从而减少了他们窃取数据或破坏基础架构的机会。高度自动化的环境也使得检测管理员何时访问系统变得更加容易，因为这种情况是规则的例外。当恶意内部人员知道当他们直接访问数据和系统时，他们的可见性和审查会增加，他们在没有合法理由的情况下尝试访问资源的频率就会降低。

自动化有助于最大限度地减少管理员的访问权限。例如，不允许管理员完全访问他们所连接的系统，而只允许他们在这些系统上运行预先测试和批准的脚本和自动化将减少他们运行任意命令的机会。有了足够的自动化，管理员只有在现有自动化无法解决问题的“破碎玻璃”场景下才有理由运行任意命令。可以对这些案例进行监控和审计，以减少恶意内部人员采取行动的机会。在这种情况下，对两个或更多参与者采用基于法定人数的管理程序也有助于减轻内部威胁。随着时间的推移，增加更多的自动化来覆盖更多的支持场景，可以大大减少管理员运行任意命令的机会。

使用自动化还有隐私方面的好处。如果人类无法访问敏感数据，那么他们就无法接触到个人身份信息 ( PII )或受保护的健康信息 ( PHI )，或者敏感的财务信息。使用自动化来代替人工与数据交互，有助于组织实现他们对客户或公民的隐私承诺。

听起来很棒，对吧？也许好得不像真的？难道我们不能通过使用堡垒主机和安全外壳(SSH)会话在内部 IT 环境中实现这一点吗？很棒的问题。让我们看一个真实世界的例子。

本例中安全团队的要求是管理员不能直接访问他们管理的系统。这意味着使用 SSH 直接访问系统不能满足需求。如果他们确实使用 SSH 来访问这些系统，那么他们可能能够在这些系统上运行任意命令，这是他们想要避免的。

在这个场景中，安全团队还希望限制堡垒主机在其环境中的使用。过去他们已经被堡垒主机烧毁了。堡垒主机通常跨越较高安全区域和较低安全区域，允许管理员从较低安全区域访问较高安全区域中的系统；随后，需要将堡垒主机作为更高安全性区域的一部分进行管理。事实证明，这可能比听起来更难，这个虚构组织的流程失误导致了其环境中的系统受损。经历过一次失败后，他们希望最大限度地减少环境中堡垒主机的数量。

例如，使用 AWS 满足这些需求的一种方法是使用 AWS 系统管理器服务在 Amazon EC2 服务中运行的虚拟机上运行命令。为此，将在这些虚拟机上安装 Systems Manager 代理。正确配置该代理后，管理员可以从 AWS Systems Manager 控制台运行经过测试和批准的脚本，这些脚本将通过 Systems Manager 代理(AWS，2020)在这些虚拟机上执行。

这种方法有几个很酷的优点。首先，管理员不需要拥有他们所管理的虚拟机的管理员凭据。因为他们正在云中运行 AWS Systems Manager 服务的脚本，所以他们不需要本地凭证来访问单个系统。如果管理员不知道这些系统的用户名和密码，他们就无法直接登录这些系统。他们仅限于从云中运行经过测试和批准的脚本。这有助于降低这些系统面临内部威胁的风险。

这种方法也减轻了与这些系统上的社会工程相关的一些风险。管理员不会因为不了解这些系统而被诱骗放弃这些系统的凭据。由于管理员与这些系统交互的唯一方式是在这些系统上远程运行预先批准的脚本，因此他们不会被诱骗运行任意命令或安装新软件，这可能会破坏这些系统的安全性并导致不良的安全后果。当然，考虑到社会工程是多么阴险，这种方法必须与其他一些缓解措施结合起来才能完全缓解它；比如针对 AWS 账号本身的多因素认证 ( MFA )。然而，我希望您能够看到这种方法在减轻针对管理员的典型社会工程攻击方面的潜在优势。当管理员只在需要时访问，并且访问受到严格的范围和控制时，典型的社会工程策略成功的机会就更少了。

请记住，使用云的一大优势是可伸缩性。如果我们使用自动化在部署的每台虚拟机上安装 Systems Manager 代理，我们将能够根据需要在任意多的系统上使用这种管理方法——规模实际上是无限的。使用自动化，我们可以使用相同的技术和工作量管理三个或三千个系统。随着我们管理的系统数量的增加或减少，管理员不需要额外的工作，因为他们运行相同的脚本，而不管他们管理的系统数量；管理更多的系统并不意味着管理员有更多的访问权限。

如果我们在 AWS CloudTrail 中记录由管理员与 AWS Systems Manager 服务的交互所生成的 API 调用，那么他们的活动可以被近乎实时地监控和审计(AWS，2020)。我们还可以监控和审核管理员与虚拟机本身的任何交互，以确保管理员仅在发生中断事件时访问这些系统。

当然，其他 CSP 也有丰富的自动化功能。例如，微软提供了一系列服务和功能来帮助，包括 Azure Automation、Azure PowerShell、Azure Monitor 等。谷歌还提供几项服务，包括云监控、云功能和云资产清单等。

自动化允许我们设计不经常需要直接人机交互的系统。这使得更容易检测这些事件何时发生，并更好地缓解内部威胁和社会工程。接下来，让我们看看在这种情况下，如何缓解网络安全的另一个常见问题，即未打补丁的漏洞。

缓解未打补丁的漏洞

让我们看看如何使用自动化来帮助管理我们使用的虚拟机上的漏洞。正如我们在第二章、利用漏洞趋势降低风险和成本中所看到的，漏洞管理团队每天都要面对多达 45 个新的漏洞披露，这些漏洞可能会影响他们的系统。云中的自动化有助于减少与清点系统、扫描系统和修补系统相关的工作量。

例如，回想一下我在第二章中写的，准确的清单对漏洞管理团队至关重要。在云中，因为不使用 API 就不会供应或取消供应，所以 API 和自动化有助于快速提供准确的清单。像这样清点环境不需要几个小时或几天，几乎可以瞬间完成。

有许多方法可以用来扫描和修补云中的虚拟机。在我们的 AWS 示例中，AWS 系统管理器可用于修补系统。此外，您的组织在内部 IT 环境中用于漏洞管理软件的供应商也有可能拥有为云构建的类似功能。这使您的组织能够利用其在内部 it 环境中管理漏洞所积累的专业知识，并继续在云中利用它。

您可能想知道，当系统的数量可以完全动态地扩展和缩减以满足负载和应用程序可用性目标时，漏洞管理流程对运行在云中的虚拟机有什么潜在影响。在这种情况下，例如，Amazon EC2 Auto Scaling 可以用来实现这一点(AWS，2016)。它还可以帮助系统保持最新。可以使用自动扩展来大幅减少这一工作，而不是扫描和修补一大群系统中的每个系统。为此，扫描用于构建虚拟机的 Amazon 机器映像以查找漏洞，并根据需要安装安全更新以确保映像是最新的，测试以确保它按预期工作。然后，关闭基于该映像旧版本的生产环境中运行的虚拟机。根据您为自动扩展设置的负载和可用性规则，当自动扩展决定启动新的虚拟机时，它会使用您刚刚修补和测试的映像来执行此操作。当新的虚拟机启动时，它是完全修补的。您可以使用自动化来有意识地关闭正在运行的虚拟机，这些虚拟机基于旧映像，自动扩展将重新启动新的、完全修补的虚拟机来替换它们。无需扫描，无需打补丁，减轻了重启带来的痛苦。对于大型企业来说，这是一种更简单的方式来做一些长期以来的棘手问题。

谷歌和微软也提供工具来有效地发现和减少漏洞。例如，谷歌提供操作系统库存管理、操作系统补丁管理(目前处于测试阶段)和云安全扫描器，而微软提供 Azure Automation 和 Azure Security Center 等工具。有许多第三方供应商为云环境提供漏洞管理解决方案，包括 Qualys、Tenable、IBM QRadar 等。

当然，这只是执行修补的一种方法——还有其他方法。通过使用 CSP 为您管理的服务，还有可能完全消除修补。正如我在本章前面提到的，IaaS 只是云中的一种服务；电信运营商提供了数百种服务，完全不需要您配置、管理和修补服务器。如果你不需要自己管理服务器，又何苦呢？

让 CSP 为您管理基础设施，您可以将通常用于此类任务的时间用于减少其他领域的技术债务、似乎永远无法完成的项目工作或创新——想象一下。想象一下，花时间弄清楚如何使用无服务器计算、AI、ML 和 IoT 来更好地保护、检测和应对威胁，而不是测试补丁和重启服务器。

云肯定有助于减少未打补丁的漏洞，并使这比在大多数内部环境中容易得多；困扰企业几十年的事情。现在，让我们看看云中的自动化如何帮助减轻另一个常见的网络安全嫌疑，即安全错误配置。

减少安全错误配置

正如我在第一章、成功网络安全策略的要素中所写的那样，安全错误配置可能是硬件、操作系统和应用程序中糟糕的默认设置，也可能随着时间的推移而发生，因为系统根据管理员或软件更新引入的调整“偏离”了其组织的标准。此外，在大型 IT 环境中，废弃的技术可能会很快成为被遗忘的风险，得不到积极的管理。由于大型企业一直在努力保持事物按照他们需要的方式配置，变更管理成为一门成熟的 IT 学科，受到整个行业供应商的支持。这一点很重要，不仅是出于安全目的，也是出于合规目的。确保系统符合监管标准、行业标准和内部 IT 标准非常重要，在许多情况下也是必需的。

在我们的示例场景中，组织可以选择在他们部署在云中的服务器上安装管理软件。他们可以像在本地 IT 环境中一样，继续测量和修复配置更改。

他们还可以利用 API 的强大功能和内置于云中的自动化功能。例如，AWS Config 是一个云服务，它监视资源的配置更改，并使您能够基于这些更改采取一系列的操作。

在我们的示例场景中，安全团队可能决定应该自动修复一种类型的变更；当检测到更改时，自动化会将配置更改回其标准设置。或者，为了安全起见，可以使用自动化来关闭配置错误的系统，如果启用了自动扩展，将启动一个符合组织所有标准的新系统来替换它。

安全团队可能会认为另一种类型的变更是需要由他们的事件响应团队进行调查的妥协迹象。在这种情况下，自动化可以拍摄虚拟机的快照，创建一个新的虚拟私有云(VPC)—姑且称之为 IR 洁净室—将快照复制到隔离的 IR 洁净室，将 IR 团队的取证软件连接到映像，向 IR 团队发送消息对其进行调查，并关闭原始虚拟机。如果进行了配置，自动扩展将启动一个符合所有批准标准的全新虚拟机来取代它的位置。这一切几乎都是实时完成的。请注意，在这些示例中，虚拟机上没有管理软件或代理，也没有 SOC 分析师执行手动查询来寻找危害迹象。由于基础设施是代码，我们可以自动化任意数量的操作来满足组织的需求。

在法规遵从性环境中，该功能非常强大，因为它可以帮助保持配置符合标准。当我们使用自动化来检测变更并采取适当的行动时，我们也可以使用该自动化来生成法规遵循工件，这将帮助组织证明对适用于它们的特定标准的持续遵循。这有助于减少错误配置系统的手动审核和手动补救。

微软 Azure Automation 和谷歌云资产清单为各自的服务提供了类似的功能。也有第三方提供自动化解决方案，如 Ansible、Chef、Terraform 等。

接下来，让我们看看云中的自动化如何帮助缓解网络安全的最后一个常见问题:脆弱、泄露和被盗的密码。

减少弱密码、泄露密码和被盗密码

通信服务提供商和众多第三方供应商为云和混合环境提供身份和访问管理解决方案。例如，微软通过 Azure Active Directory 特权身份管理 ( PIM )(微软公司，2020 年)提供 Azure Active Directory 和支持服务，如即时特权访问能力。第三方，如 Aporeto、Centrify、CyberArk 和许多其他公司也提供服务，可以在不同的情况下帮助一些人。Google Cloud 提供云身份和访问管理，AWS 提供 AWS 身份和访问管理。

通信服务提供商提供 MFA，正如我在第一章、成功网络安全策略的要素中所讨论的，这是一种非常有效的控制，可以在很大程度上减少脆弱、泄露和被盗的密码。利用 MFA 并限制用户在两次身份认证请求之间访问资源的时间，可以使攻击者更难成功使用窃取和泄露的凭据。使用秘密管理器来管理访问密钥、证书和凭证以便定期自动改变和轮换它们也是有效的。为此，谷歌提供了谷歌云秘密管理器(Google，2020)，微软提供了 Azure Key Vault(微软公司，2020)，AWS 提供了 AWS 秘密管理器(AWS，2020)。同样，有许多第三方供应商也提供解决方案，包括 Docker Secrets、SecretHub、知己等。

事实上，在身份和访问服务和解决方案中有如此多的能力和功能，整本书都致力于这一主题领域。身份是安全的关键。我强烈建议花些时间了解 CSP 和其他供应商提供的强大的身份和访问功能。

安全性和法规遵从性游戏规则改变者—摘要

API 的强大功能和云中的自动化是安全和法规遵从性专业人员的两大改变因素。这并不是说本地 IT 环境中没有 API 和自动化。然而，投资和努力使这些功能等同于那些嵌入到云中的功能将会非常昂贵，并且难以实现；考虑到任何持有信用卡的人，只要花几分钟时间在 CSP 开户，就可以默认获得这些功能，因此很难证明实现内部版本是合理的。

我们现在已经看到，云可以提供一些有效和创新的方法来解决所有网络安全的常见问题。换句话说，云使解决网络安全基础问题比在内部 IT 环境中减轻它们更容易。我们在这里仅仅触及了皮毛，因为我在本节中使用的示例场景是一个 IaaS 示例。正如我提到的，通信服务提供商提供数百种服务，涵盖并融合了 IaaS、PaaS、SaaS、FaaS、IDaaS 等。更不用说，我没有深入研究这些电信运营商提供的任何安全服务。整本书都致力于云安全这一主题。

现在让我们看看云如何支持我们在第五章、网络安全策略中研究的网络安全策略。

在云中使用网络安全策略

在第五章、网络安全策略中，我们考察了过去二十年中我所见过的在行业中采用的几种网络安全策略。我们使用网络安全基础评分系统 ( CFSS )评估了这些策略。每个策略的 CFSS 分数估计值有助于我们了解它们在解决网络安全基础问题方面的表现。为了提醒您，在表 8.1 中提供了每个策略的 CFSS 得分汇总:

表 8.1: CFSS 评分评估汇总

几乎所有这些策略都可以在云中使用。现在让我们来看看在云环境中的一些策略。

在云中使用保护和恢复策略

通信服务提供商提供精细的防火墙和网络控制，可以帮助组织采用和实现保护和恢复策略。API 和云中自动化的强大功能使网络团队和安全团队能够供应和操作 Web 应用程序防火墙，以及位于云资产边缘的网络防火墙，并构建和操作 dmz。除了网络 ACL、路由表、子网规则、基于主机的防火墙等之外，它们还提供虚拟私有云或虚拟网络，为网络流量增加了另一层控制。通信服务提供商通常提供令人眼花缭乱的网络控制。

由于所有这些控制都可以通过代码和自动化来供应和监控，因此在云中执行这种策略比在内部执行要容易得多。在云中，不需要订购和接收硬件，不需要在数据中心进行机架安装和堆叠，也不需要更多机架空间、电力或冷却。你只需要运行代码，CSP 会做所有其他的事情。如果你需要扩大或缩小你的基础设施，只需要更多的代码和自动化。您只需为您所使用的内容付费，并且可以在您的组织决定关闭时随时关闭它。正如我们在第五章、网络安全策略中所讨论的，保护和恢复策略是一种糟糕的评分策略。它可以与其他策略结合使用，以更全面地解决网络安全的基本问题。在云中扩展这种策略也更容易，因为一切都是代码。现在让我们来看看更好的得分策略。

合规性是云中的一种网络安全策略

让我们看看第五章、网络安全策略中的另一个策略，合规作为一种网络安全策略。在本章的前面，我们看到了云中的 API 和自动化如何帮助减少安全错误配置。这些相同的功能可以帮助组织持续遵守安全标准，无论是监管标准、行业标准还是内部标准。我已经讨论了 API 和自动化如何确保系统得到正确配置，并持续监控配置变化。然而，在执行这一策略时，需要注意一个重要的细微差别。

许多第一次考虑使用云的安全团队和合规团队想知道他们如何证明他们符合标准，也就是说，当他们不拥有运行基础架构的数据中心，并且随后无法让他们的审计员访问这些设施时。不管谁拥有数据中心，许多组织仍然必须向他们的审计员和监管者证明他们符合要求的标准。

在大多数情况下，这是利用超大规模 CSP 的另一个优势。AWS、谷歌和微软的云服务都有大量的认证和证明。例如，ISO27001 是当今所有 CSP 的竞争对手，他们都必须获得该认证，以满足其企业客户的要求。有两种认证对许多 CISOs 来说是最有价值的。

首先是美国协会 CPAs 的系统和组织控制 ( SOC )，特别是 SOC2 Type II 认证(AICPA，2020)。至少有几个因素使这一认证对 CISOs、安全团队和合规团队很有价值。首先，SOC2 Type II 中审计的控制范围通常回答了企业关于安全性的大多数问题。第二，这不是控制设置或架构设计的“时间点”快照；追求 SOC2 Type II 的组织需要 6 个月的持续审计才能实现。组织为准备这种类型的审计而采取的步骤可以极大地改善他们的安全状况。然后，要获得这种认证并长期保持下去，并不断证明服务是按照描述的方式运行的，这可能是一个巨大的挑战。许多企业甚至从未试图获得这一认证，因为这很难做到，而且可能很昂贵。然而，超大规模通信服务提供商在其许多服务中获得并保持这一认证，以保持其安全标准在行业中处于最高水平。

电信运营商通常会与客户分享 SOC2 Type II 审计报告。对于安全团队和合规团队来说，值得下载这些报告并进行审查，以确保他们评估的解决方案符合或超过他们的标准。SOC2 Type II 审计报告中没有回答的问题可以直接提交给 CSP，他们通常很乐意回答。

许多 CISOs 和安全团队认为很有价值的另一个证明是云计算合规控制目录 ( C5 )，由德国联邦政府办公室联邦信息安全办公室 ( BSI )设计(BSI，2020)。C5 是深度安全保证认证。它有许多领域的标准，包括策略、人员、物理安全、身份和访问管理、加密等。同样，这种证明的范围和复杂性可能会使其难以实现和维护。与 SOC2 Type II 一样，对于 CISOs 来说，该证明包含了他们对 CSP 安全控制集的许多疑问的答案。

SOC2 Type II 和 C5 就像是 CISOs、安全团队、合规团队和审计员的安全信息宝库。通信服务提供商通常将这些与许多其他认证和证明结合起来，以帮助他们的客户证明他们符合合规性要求。然而，通信服务提供商的客户也在其中扮演着重要角色。请记住，电信服务提供商不同于托管服务提供商(MSP)。电信运营商提供自助服务云。他们的客户和 ISV 可以基于这些云构建解决方案。但是，CSP 的“认证”和“证明”范围并不包括由客户设计和操作的解决方案部分；与 MSP 不同，CSP 通常没有这样做所需的可见性或访问权限。

这种安排意味着通信服务提供商和他们的客户都要对他们设计和运营的解决方案的各自部分负责。谷歌、微软和 AWS 都将这种安排称为共同责任。通信服务提供商和他们的客户都提供适当的认证和证明，以证明他们各自的解决方案部分满足他们必须遵守的标准的要求。这种安排通常可以为通信服务提供商的客户节省时间和金钱。这是因为在几乎所有情况下，他们必须证明的解决方案部分可以显著减少。例如，由于通信服务提供商的客户并不拥有运行其基础设施的数据中心，他们实际上已经将审核和认证这些数据中心的责任委托给了他们的通信服务提供商。换句话说，他们不再需要处理物理数据中心的复杂性和成本，因为通信服务提供商为他们做了这些。这对通信服务提供商的客户来说是一个胜利，因为他们可以达到或超过他们负责的安全标准，同时减少他们的工作量和成本。

关于 CSP 运作的合规项目的信息可以在他们各自的网站上找到，但是审计报告本身通常是为 CSP 的客户保留的；以下是包含 AWS、Google 和 Microsoft 合规计划信息的位置:

• AWS:T3】https://aws.amazon.com/compliance/programs/T5】
• 睁眼:https://cloud.google.com/security/compliance/T3T5】
• 微软:T3】https://docs . Microsoft . com/en-us/Microsoft-365/compliance/offering-home？view = o365-全球

API、自动化和 CSP 提供的认证和证明的结合可以帮助希望将合规性作为网络安全策略的组织。对于希望扩展这一策略以全面解决网络安全基础问题的组织来说，云通常比内部 IT 环境更容易做到这一点。这是因为我们已经讨论过的 API 和自动化功能。一切都是代码。让我们再来看一个我们在第五章、网络安全策略中研究过的策略，以及如何在云中实现它。

在云中使用以攻击为中心的策略

在我们研究的所有策略中，得分最高的是以攻击为中心的策略。在第六章、策略实现中，我们深入探讨了这个策略，并举例说明了它的一种实现方式。在第七章、衡量表现和有效性中，我们研究了一种衡量该策略有效性的方法。然而，这种策略能在云中实现吗？

这个问题的简短答案是，是的，它可以在云中实现。在某些情况下，想要在云环境中实现这一策略的组织已经完成了一些工作。例如，MITRE 提供了“战术和技术[原文如此],代表了涵盖基于云技术的企业的 MITRE ATT 和 CK 矩阵。该矩阵包含以下平台的信息:AWS、GCP、Azure、Azure AD、Office 365、SaaS。”(MITRE，2019 年 10 月 9 日)。

我在第六章、策略实现中提到，米特 ATT & CK 框架可以补充我们深入研究过的入侵杀伤链模型(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)。杀伤链方法也可以在云中实现。要做到这一点，您可能需要像我们在第六章中所做的那样，为您在云中实现的解决方案制定一个行动方案矩阵(Eric M. Hutchins、Michael J. Cloppert、Rohan M. Amin 博士)。换句话说，由于这可能是一项耗时的工作，正如您所看到的，您不需要为 CSP 提供的每个云服务构建一个行动方案矩阵，只需为您计划使用的云服务构建即可。

在某些方面，为针对 IaaS 环境开发的解决方案执行此操作类似于为内部 IT 环境执行此映射。这是因为许多硬件和软件可能是相同或相似的。例如，为运行在 Linux 或 Windows 上的解决方案确定的操作系统缓解措施将非常相似，无论该操作系统是运行在云中还是内部。然而，正如我们之前所讨论的，除了这些操作系统缓解措施之外，云原生控件和第三方解决方案也可以分层部署到环境中，以实现一组使攻击者更难得逞的控件。例如，帮助我们检测配置更改的相同服务将帮助我们近乎实时地检测云中的危害迹象。我们讨论的相同身份和访问能力将使攻击者更难使用窃取的凭据横向移动。我们谈到的帮助系统保持最新的技术将使攻击者更难找到和利用未打补丁的漏洞。

请注意，尽管 Kill Chain 方法非常适合构建在 IaaS 环境中的解决方案，但这种方法对于使用更高级别的云服务(如托管服务)构建的解决方案帮助不大。在这些情况下，CSP 负责保护底层 IT 环境，通常将底层 IT 基础架构的较少直接访问和较少直接控制留给组织的安全团队。这并不意味着安全团队没有他们需要的可见性和控制力，正如我们已经讨论过的，这恰恰相反。但是，缓解控制的类型可能会不同于为内部或 IaaS 环境开发的传统解决方案。

控制应该是不同的，因为某些威胁和风险肯定是不同的。随后，Kill Chain 可能不是云中组织的最佳评分方法，这取决于他们使用的服务类型。随着企业消费越来越多模糊 IaaS、PaaS、SaaS、FaaS、IDaaS 和其他模型之间界限的服务，杀伤链方法变得越来越不相关。

这不是一件坏事——这只是需要接受更多的改变。请记住，CISOs 和安全团队的角色不是确保现状，而是保护他们组织的数据，即使这些组织决定是时候发展他们使用的技术和流程，以保持竞争力和/或相关性。云不仅提供了技术和流程现代化的机会，也提供了可以采用的网络安全策略现代化的机会。让我们进一步探讨这个概念，看看我在第五章、网络安全策略中提到的一种更现代的网络安全方法，称为 DevOps 。

devo PS——实现云中安全性的现代方法

由于没有更好的名字，我们姑且称这种方法为 DevOps 。与我们研究过的其他网络安全策略相比，这种策略代表了一种更现代的方法。它认识到开发和 It 操作规程已经联合起来，部分原因是这些角色被恰当地定位为利用 API 和自动化的力量。因为一切都是云中的代码，包括基础设施，了解开发和 IT 基础设施运营的团队可以充分利用云所提供的一切。让我们看看开发运维驱动的安全策略如何帮助安全团队在基于云的环境中保护、检测和响应现代威胁。

回想一下第三章、中的，威胁格局的演变——恶意软件，在那里我描述了为什么 Windows 生态系统比苹果 iOS 生态系统有更多的恶意软件。看起来，关键在于软件在这些生态系统中的传统分布方式。微软允许用户将任何人开发的软件轻松安装在他们基于 Windows 的系统上。

另一方面，苹果为所有面向 iOS 设备的应用程序提供了单一来源，即他们的应用商店。虽然 Windows 用户可以自行决定他们想要运行的软件的可信度，但苹果公司规定了一个安全标准，所有独立软件开发商必须达到该标准，他们的应用程序才能分发到基于 iOS 的设备上。这种软件分发方式的差异，至少部分解释了为什么苹果 iOS 生态系统一直保持着如此低的恶意软件流行率。

让我们吸取这一教训，并将其应用到我们的云安全方法中。利用持续测试、持续集成 ( CI )和持续交付或持续部署 ( CD )可以帮助最大限度地减少有问题的软件进入电信运营商客户构建和运营的基于云的环境。在他们的 CI/CD 管道中，他们可以实现自动(和手动)安全和合规性检查。这确保了通过这些管道部署到生产环境中的任何软件或基础设施满足其组织的安全性和法规遵从性要求。

要做到这一点， CI/CD 管道的每一步都将自动进行适当的安全性和合规性检查。例如，一个 DevOps 团队可以开发或获得寻找 OWASP Top 10 (OWASP，2020)中包含的问题的自动化。另一个常见的例子是执行静态代码分析和/或一组特定的功能安全测试的需求。基础设施必须满足每个组织的合规团队定义的控制设置要求，并且这将在项目通过管道时得到验证。

实现这样的测试通常是在代码和自动化中完成的，所以可以进行的检查的数量和类型几乎是无限的。当然，因为这可能是有效和有趣的，一旦一些 DevOps 团队开始开发这些检查，他们将花费更多的时间在 CI/CD 管道的开发上，而不是在应用程序和基础设施上。

如果某个应用程序或基础结构项目没有通过这些检查中的一项，管道将会停止，相应的人员将会收到警报，该项目将不会继续进行，也不会按计划引入到生产环境中。必须解决应用程序或基础设施项目中的缺陷，以便通过失败的检查，然后再次检查整个管道。

这样，只有通过所有安全和合规性检查的产品才能进入生产。这意味着安全和法规遵从性团队可以对引入其生产环境的所有内容都满足其所有安全和法规遵从性要求，并且不会给该环境带来更多风险充满信心。要做到这一点，一切都必须通过 CI/CD 管道。换句话说，将应用程序或基础设施项目投入生产的唯一方法是通过 CI/CD 管道。为了获得最大的成功机会，组织需要有规程以及治理机制来强制执行这个需求。管理多个 CI/CD 管道是一种可预测的常见结果，尤其是对于大型分布式组织。一些组织面临的风险是，CI/CD 管道的数量激增，开始危及最初管道所要求的高安全性和合规性标准；太多的管道可能会变成一个治理问题。

另外，请注意，一些攻击者已经发现越来越多的组织正在使用 DevOps 和 CI/CD 管道。这使得 CI/CD 管道本身成为攻击者的潜在目标。了解您的组织用于管道的技术和自动化堆栈，并采取措施保护它们是非常重要的。对于一些组织来说，CI/CD 渠道可以成为高价值资产，值得特别关注，正如我在第一章、中讨论的成功网络安全策略的要素。

现在，安全和法规遵从性团队对他们的部署充满信心，他们如何长期保持这些环境的原始状态呢？他们可以使用我们在本章前面讨论的服务和自动化来监控配置更改。当配置发生变化时，他们可以使用自动化使其恢复合规性，或者对其变化的方式和原因进行更深入的调查。

正如我们前面所讨论的，云中的漏洞管理有一系列选项。继续使用您的组织在其内部环境中已经使用多年的技术和流程可能是一个可行的选择。

然而，使用自动化，比如我前面提供的自动伸缩示例，有可能简化和加速漏洞管理。另一种选择是组织从管理服务器和应用程序本身发展到使用更高层次的云服务，并将基础架构修补留给电信运营商。

以攻击为中心的策略在行业中如此受欢迎的原因之一是它们可以使“高级”威胁参与者难以成功——所谓的高级持续威胁 ( APT )。然而，这正是 API 的强大功能和高度自动化可以发挥作用的地方。例如，当组织每隔几个小时关闭运行在云中的服务器子集，并用满足所有要求的新服务器替换它们时，攻击者就更难在该环境中获得并保持立足点。短命的、相对不可变的系统留给攻击者的氧气非常少，不像那些运行数月或数年的系统。

云中的检测功能优于大多数内部环境中的检测功能。请记住，云中 API 和自动化的力量提供了很少内部环境能够实现的可见性和控制。云可以使记录 API 调用、网络流量、认证和授权操作、加密/解密密钥操作等变得容易。然而，无论是否使用云，大多数安全团队都面临一个挑战，即所有这些日志中的大量数据使得人类几乎不可能及时查看和使用这些数据。这也是云可以提供帮助的地方。AI 和 ML 服务可以用来代替安全团队成员审查所有这些日志和 API 活动，并确定真正值得他们注意的事情。这是可能的，因为 AI/ML 服务可以根据需要扩展到足够大，以比人类更快的速度处理大量日志数据集。当他们这样做时，这些服务在自动化的帮助下，可以检测和响应各种攻击，包括 DDoS、恶意软件、漏洞利用、内部威胁等等。

最后，如果所有这些功能都无法保护、检测和响应攻击者，DevOps 和云可以使恢复生产环境比在典型的内部环境中容易得多。因为一切都是代码，所以如果进行一些规划和周密的准备，在云中重建环境会相对容易。然而，业务连续性规划是另一本书的主题。

再说一次，我觉得我们甚至还没有触及表面。然而，我希望您有足够的信息来思考 DevOps 策略是否能帮助您的组织。从传统策略过渡到开发运维需要时间，在此期间，一些组织寻求开发运维与传统策略的巧妙结合。

本节关于云中的网络安全策略到此结束。然而，在我们结束本章和本书之前，我想强调云提供的另一组重要功能:加密和密钥管理。

加密和密钥管理

你可能想知道为什么我把这个话题留到了本书的最后一节。根据我的经验，大多数关于云中安全性的讨论都以加密和密钥管理结束。无论对话以什么话题开始，如漏洞、利用、恶意软件或基于互联网的威胁，他们都会以讨论加密和密钥管理而结束。这是因为加密是一种强大的数据保护控制，有助于提供数据的机密性和完整性。

无论组织追求哪种网络安全策略或策略组合，当橡胶上路时，保护数据是目标。这就是我们所研究的网络安全策略令人分心的地方，这些策略是数据保护的代理。安全团队过于关注保护终端或应用程序，以至于忽略了根本目标是保护数据。我提到的代理很重要，必须有效管理，但是不要忘记数据！

通信服务提供商都知道这一点，并为他们的客户提供丰富的加密和密钥管理功能。他们的目标是保护传输中的数据和静态数据。TLS(1.2 版)是保护传输中数据的事实上的互联网标准。随后，通信服务提供商支持 TLS，此外还提供其他机制来保护传输中的数据，例如 VPN 连接或直接连接到他们的云基础架构。

通信服务提供商通常提供一系列加密选项来保护静态数据，使其客户能够在将数据放入云中之前(在某些情况下)和/或之后对数据进行加密。CSP 为静态数据加密提供的当前加密标准是高级加密 标准 ( AES )，通常使用 128 位或 256 位密钥长度。

如果攻击者能够访问受 AES256 保护的数据(访问通常经过身份验证和授权),使用暴力破解技术和大量传统计算能力破解这种类型的加密可能会花费比数据的生命周期长得多的时间。

安全团队需要理解的一个重要的细微差别是，到底加密了什么，加密降低了哪些风险。例如，如果底层存储介质被加密，但是正在写入介质的数据在被写入之前没有被加密，则被减轻的风险是存储介质的丢失或被盗。加密存储介质有助于减轻攻击者物理访问存储介质的攻击。如果有人获得了加密存储介质的物理访问权，但没有安装和解密它的密钥，则写入其上的数据将受到保护，不会被未经授权的访问。但是，如果攻击者试图以逻辑方式而非物理方式访问数据，例如通过网络，那么存储级加密可能无法降低这种风险，因为数据在从网络访问时会被解密。

了解需要减轻的特定风险以及针对该特定风险的特定减轻措施非常重要，这样才能确信风险已经真正减轻。如果希望防止通过网络对静态数据进行未经授权的访问，那么加密数据本身(而不仅仅是存储介质)将是一种更有效的缓解措施。这听起来似乎是显而易见的，但这是安全团队在应用程序安全评估过程中经常犯的错误。

除了提供数据加密选项，通信服务提供商还真正提供经过认证和授权的数据加密。即每个加密操作 API 调用都是经过认证的，必须经过授权；在没有首先被认证和授权的情况下，加密和解密操作不会发生。以这种方式使用身份和访问服务为安全团队提供了很大的灵活性。例如，一个人或一组人可以被授权加密数据，但无权解密数据。另一个组可以被授予解密数据的权限，但不能同时进行加密和解密操作。经过身份验证和授权的加密实现了职责分离，这在许多情况下很有帮助。

对于许多组织来说，加密最具挑战性的部分之一可能是密钥管理。风险很高，因为如果组织的钥匙损坏、丢失或被盗，可能会对他们造成灾难性的影响。一般来说，通信服务提供商希望让他们的客户能够轻松安全地管理密钥。谷歌提供云密钥管理服务(Google，2020)，微软提供 Azure Key Vault(微软公司，2020)，AWS 提供 AWS 密钥管理服务(AWS，2020)。当然，也有第三方供应商提供加密和密钥管理服务，如 Thales、金雅拓、Equinix 等。

电信运营商的关键管理服务可以提供一个有趣的优势，因为它们可以集成到其他云服务中。这意味着一些云服务可以代表用户执行加密和解密。这里的数据保护优势是，数据可以通过 AES 加密来保护，直到它位于运行将要处理它的服务的服务器的物理内存中。一旦处理完成，服务可以再次重新加密数据，然后将数据移动到存储或其他服务进行进一步处理。用于加密和解密的密钥可以在密钥管理服务和使用它们的服务之间的传输中受到保护。这意味着未加密的数据只能在数据所有者授权的严格控制的环境中公开。这有助于最大限度地增加加密保护数据的位置和时间。CSP 的密钥管理服务倾向于为低延迟和高可用性而设计，以便潜在地处理数十亿个请求。

一些组织希望在他们用于计算和存储的供应商与提供关键管理服务的供应商之间划分职责。提供密钥管理服务的第三方供应商可以扮演这一角色，或者电信运营商的客户自己可以操作和维护他们自己的密钥管理基础设施。选择此选项的组织应该能够轻松管理他们自己的密钥管理基础架构，或者允许第三方为他们做这件事。然而，管理硬件安全模块 ( HSMs )和公钥基础设施(PKI)是出了名的困难。这使得使用 CSP 的密钥管理服务成为一种流行的选择。

对于需要在内部保存密钥但仍希望获得云优势的组织来说，客户端加密是一个潜在的解决方案。使用客户端加密意味着数据所有者在将数据放入云服务之前对其进行加密。例如，数据所有者拥有自己的内部密钥管理基础架构。在将数据放入云存储服务之前，他们会在本地生成一个密钥，然后使用一个也在本地运行的应用程序使用该密钥加密数据。然后，他们进行身份验证，并将加密的数据安全地传输到云存储服务。在这种情况下，他们的 CSP 无法访问未加密的数据或加密密钥，因为他们都没有离开自己的内部 IT 环境。要解密这些数据，数据所有者需要向云存储服务进行身份验证，安全地下载加密的数据，并使用他们的本地应用程序和本地密钥来解密数据。同样，无论是未加密的数据还是加密密钥都不会与 CSP 共享。

客户端加密并不局限于存储场景；它可以用于其他服务，例如数据库。在这种情况下，客户端加密用于在将记录或单个字段写入云中运行的数据库服务时对其进行加密。为此，从内部密钥管理系统中检索加密密钥，并由执行加密的应用程序临时用于加密操作。一旦记录在写入数据库时被加密，就可以从执行加密操作的应用程序的内存中删除加密密钥，从而减少密钥驻留在内部密钥管理系统之外的系统上的时间。对数据库记录执行加密和解密操作的应用程序可以在本地或云中运行。因为 CSP 的客户完全控制密钥，所以 CSP 不能访问密钥，除非客户授权他们访问。索引和数据库键保持不加密，以便仍然可以执行数据库的索引和搜索。因此，不要将敏感数据放入这些字段是很重要的。为了解密数据，在从内部密钥管理系统提供密钥之后，检索并解密适当的记录。在解密操作之后，可以再次从执行解密操作的应用程序的存储器中移除密钥。

有许多不同的方法来执行客户端加密和密钥管理。然而，与简单地使用 CSP 提供的集成加密和密钥管理服务相比，这种方法实现起来可能更加复杂和昂贵。随着时间的推移，一些开始使用客户端加密并将密钥保存在内部的组织得出结论，使用 CSP 的密钥管理服务可以降低他们最担心的风险，并简化他们的应用程序。毕竟，云中的加密和解密操作是使用 API 调用来执行的，这些 API 调用是使用自动化来进行身份验证、授权、监控和潜在控制的，正如我们前面所讨论的。

将正确实现的加密和有效的密钥管理与云中 API 和自动化的强大功能相结合，有助于以在内部 IT 环境中复制起来更加复杂的方式保护数据。加密和密钥管理有助于保护数据免受我们在本书中讨论的许多威胁；它们是强大的数据保护控件，应该成为您的组织所追求的任何网络安全策略的一部分。

结论

对于尚未采用云或者不喜欢其内部 IT 环境的组织，我想到了一句名言:

“未来已经到来——只是分布不均匀。”

——(吉布森，2003 年)

每个组织都有机会以前所未有的规模利用 API 和云自动化的力量。这些游戏规则改变者不仅使应用程序和 IT 基础架构的供应、配置、操作和取消供应变得更加容易，还为安全和合规专业人员提供了他们过去可能没有的可见性和控制力。我鼓励首席信息安全官和安全团队拥抱云，以此事半功倍，弥补行业长期的网络安全人才短缺。

章节摘要

本章介绍了云计算的一些安全性和合规性优势。我把我的讨论集中在世界上最受欢迎的通信服务提供商的基本能力上，也就是 Amazon Web Services、Google 和 Microsoft。

超大规模通信服务提供商大致围绕的物理基础设施模型基于区域和可用性区域的概念。这个概念是，可用性区域是一个数据中心集群，区域是一个可用性区域集群。在电信运营商基础设施的规模和范围以及他们如何利用该模型的组件方面，存在有意义的差异。尽管 IaaS、PaaS 和 SaaS 这些术语今天仍被广泛使用，但它们正慢慢变得过时。解决特定问题的新服务会模糊 IaaS、PaaS 和 SaaS 服务模型之间的界限，使它们变得不那么重要。

电信运营商在一些关键方面不同于传统的托管服务提供商(MSP)。重要的是，当高管们第一次考虑使用云时，要认识到这一点，以避免会让他们慢下来的困惑。建立在通信服务提供商产品之上的 MSP 将继续为其客户和行业发挥重要作用。

在本章中，我讨论了云提供的两个安全性和法规遵从性规则改变者:

• 应用程序接口(API的威力
• 自动化的优势

通过管理控制台、命令行界面和应用程序与云进行的每一次交互都使用 API。API 为可见性和控制提供了完美的瓶颈。如果组织能够监控他们的 API 调用，并根据发生的情况采取行动，他们将拥有更好的可见性和控制力。为了充分利用 API 的能力，云提供了高度的自动化。除了运行 CLI 命令，您还可以使用脚本、模板、应用程序和云服务来自动化复杂的工作流。云中的自动化可以帮助解决网络安全基础问题，其方式可能比传统 IT 环境更有效。

云足够灵活，可以支持我们在第五章、网络安全策略中讨论的几乎所有网络安全策略。与我们研究的其他网络安全策略相比，DevOps 提供了一种更现代的方法。因为一切都是云中的代码，包括基础设施，了解开发和 IT 基础设施运营的团队可以充分利用云所提供的一切。持续集成(CI)、持续交付和持续部署(CD)管道可以在其中自动进行适当的安全性和合规性检查；比如 OWASP Top 10 (OWASP，2020)。

我希望你发现这本书有时兼具教育性和娱乐性。我坚信，如果我们能够对我们所关心的风险足够具体，并且对我们所采用的缓解措施和策略的有效性足够诚实，网络安全将会成为人们更加关注的焦点。

旅途愉快！

参考

1. AICPA。(2020 年 4 月)。 SOC 2 -服务机构 SOC:信任服务标准。检索自 AICPA:www . AICPA . org/interest areas/frc/assuranceadvisoryservices/aicpaso C2 report . html
2. 亚马逊网络服务。(2020 年 3 月)。采用 AWS 的云计算。从自动气象站检索到:【https://aws.amazon.com/what-is-aws】
3. Ansible。(2020 年 4 月)。红帽 Ansible 。检索自红帽 Ansible:【https://www.ansible.com/】
4. AWS。(2016 年 10 月 20 日)。通过自动扩展简化车队管理。检索自 AWS 计算博客:AWS . Amazon . com/blogs/Compute/fleet-management-made-easy-with-auto-scaling/
5. AWS。(2020 年 4 月)。亚马逊弹性计算云 API 参考。从 AWS 检索:T3】https://docs . AWS . Amazon . com/AWS C2/latest/API reference/API _ run instances . htmlT5】
6. AWS。(2020 年 4 月)。自动气象站云形成。从自动气象站检索到:【https://aws.amazon.com/cloudformation/】
7. AWS。(2020 年 4 月)。 AWS CloudTrail 。从自动气象站检索到:【https://aws.amazon.com/cloudtrail/】
8. AWS。(2020 年 4 月)。 AWS 密钥管理服务(KMS) 。从自动气象站检索到:【https://aws.amazon.com/kms/】
9. AWS。(2020 年 4 月)。 AWS 秘密管理器。从自动气象站检索到:【https://aws.amazon.com/secrets-manager/】
10. AWS。(2020 年 4 月)。用 AWS CloudTrail 记录 AWS 系统管理器 API 调用。从 AWS 检索:docs . AWS . Amazon . com/systems-manager/latest/user guide/monitoring-cloud trail-logs . htmlT5】
11. AWS。(2020 年 4 月)。在 EC2 实例上远程运行命令。从 AWS 检索:AWS . Amazon . com/getting-started/hands-on/remote-run-commands-ec2-instance-systems-manager/
12. AWS。(2020 年 4 月)。使用 AWS CLI 。从 AWS 检索:T3】https://docs . AWS . Amazon . com/CLI/latest/user guide/CLI-chap-using . htmlT5】
13. 主厨。(2020 年 4 月)。厨师。从厨师处取回:T3【https://www.chef.io/products/chef-infra/】T5
14. Eric M. Hutchins，Michael J. Cloppert，Rohan M. Amin，博士(未注明)。情报驱动的计算机网络防御，通过对手活动和入侵杀伤链分析提供信息。检索自洛克希德·马丁:T3【https://Lockheed Martin . com/content/dam/Lockheed-Martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-defense . pdfT5】
15. 西吉布森(2003 年 12 月 4 日)。年度图书。经济学家。
16. 谷歌。(2020 年 4 月)。云审计日志。从谷歌云检索:【https://cloud.google.com/logging/docs/audit】T3T5】
17. 谷歌。(2020 年 4 月)。云密钥管理服务。从谷歌云检索:【https://cloud.google.com/kms/】T3T5】
18. 谷歌。(2020 年 4 月)。云作曲。从谷歌云检索:【https://cloud.google.com/composer】T3T5】
19. 谷歌。(2020 年 4 月)。介绍谷歌云的秘密管理器。检索自谷歌云博客:Cloud . Google . com/Blog/products/identity-security/introducing-Google-clouds-secret-manager
20. 谷歌。(未注明日期)。g 云计算实例创建。从谷歌检索:T3】https://cloud . Google . com/SDK/g cloud/reference/compute/instances/createT5】
21. 哈希公司。(2020 年 4 月)。地形。哈希公司从 Terraform 取回:T3【https://www.terraform.io/】T5
22. 微软公司。(2018 年 10 月 18 日)。Azure 自动化简介。从微软 Azure 检索:T3】https://docs . Microsoft . com/en-us/Azure/automation/automation-introT5】
23. 微软公司。(2019 年 10 月 7 日)。 Azure Monitor 概述。从微软 Azure 检索:docs . Microsoft . com/en-us/Azure/Azure-monitor/overview
24. 微软公司。(2020 年 3 月)。天蓝色产品。从微软 Azure 检索到:【https://azure.microsoft.com/en-us/services/】T3T5】
25. 微软公司。(2020 年 4 月)。密钥库。从微软 Azure 检索到:【https://azure.microsoft.com/en-us/services/key-vault/】T3T5】
26. 微软公司。(2020 年 4 月)。使用 Azure Key Vault 管理服务器应用中的机密。从微软学习检索:docs . Microsoft . com/en-us/Learn/modules/manage-secrets-with-azure-key-vault/
27. 微软公司。(2020 年 4 月)。虚拟机-启动。检索自微软公司:docs . Microsoft . com/en-us/rest/API/compute/virtual machines/start
28. 微软公司。(2020 年 4 月)。什么是 Azure AD 特权身份管理？从微软 Azure 检索:docs . Microsoft . com/en-us/Azure/active-directory/privileged-identity-management/PIM-configure
29. 米特雷。(2019 年 10 月 9 日)。云矩阵。从米特里取回 ATT&CK:T3】https://attack.mitre.org/matrices/enterprise/cloud/T5】
30. OWASP。(2020 年 4 月)。十大 Web 应用安全风险。从 OWASP 检索到:T3【https://owasp.org/www-project-top-ten/】T5】
31. 木偶。(2020 年 4 月)。傀儡企业。从傀儡中取回:T3【https://puppet.com/products/puppet-enterprise/】T5
32. 英国标准协会。(2020 年 4 月)。标准目录 C5 。从联邦信息安全办公室检索:www . BSI . bund . de/EN/Topics/cloud computing/Compliance _ Criteria _ catalog/Compliance _ Criteria _ catalog _ node . html