如何像威脅行為者一樣地思考
我的團隊講述了 端對端攻擊 的案例。我們將攻擊者攻擊鍵不同階段的點連接起來,更深入地了解攻擊的根本原因,以便攻擊再發生時一目了然。
我們還複製攻擊者的技術和思維。
攻擊者根據目標和活動順序接近世界。它們將不同的技術連結在一起,並採用最有利的途徑進行,這就是為什麼我們將這些攻擊案例稱為「攻擊鍵」。這不是一個線性的流程。我們稱它為圖形思維。
作為防禦者,我們必須採取同樣的心態。我們不能譴責自己像清單一樣地思考,在攻擊進行時,我們試圖重新組合整個拼圖。我們腦海中要有一個概覽,必須知道攻擊者如何獲得存取權限、如何橫向移動,以及他們正在朝什麼方向努力。
當防禦者也了解惡意活動的順序時,便會更準確地識別惡意活動,而不僅僅是孤立地識別個別技術。
有一個很好的例子,我們分析了最近一系列的金融欺詐攻擊,我們注意到攻擊者使用反向 Proxy 設定來繞過多重要素驗證 (MFA)。我們注意到了 MFA 旁路訊號,並與出現新興技術的其他執行個體進行了通訊。我們從連接這些點的能力中學到了認證收集的知識,使我們能夠在攻擊的早期做出反應。它協助我們成為更好的防禦者。
當被問到做些什麼可以進一步保護組織時,我總是說同樣的話:持續地利用 MFA 至關重要。這是我們提供最重要建議中的一個。這是企業為了更好保護自己而能做到最重要的事情中的一個,努力實現無密碼環境,因為這能防禦所有新興的攻擊者技術。正確使用 MFA 會使得攻擊者更加努力地工作並無功而返。如果他們無法存取身分識別並進入您的組織,發起攻擊就會變得更加複雜。
關注 Microsoft