报告称每天至少有4000起勒索软件攻击 如何应对日益猖獗的“黑客”？

如果网络攻击占领了政府的IT网络，将整个国家踩在脚底下呢?这看起来像是一个遥远的场景吗?事实并非如此。 2018年4月，独立小岛国加勒比国家圣马丁岛面临一整天的公共关闭。上个月，亚特兰大市遭受了持续两周的勒索软件攻击，造成近300万美元的损失。

仅在美国，巴尔的摩、夏洛特、达拉斯和旧金山在过去一年中一直是网络攻击的受害者，紧随其后的是(具有讽刺意味的)向智能城市技术的转型。尽管智能城市的概念创造了更多的互联城市，但缺乏网络安全防范往往会造成严重的安全漏洞。那么，在面对日益增长的网络威胁时，那些寻求向智能基础设施、云网络和物联网环境前进的组织能做些什么呢?

图片来源：Reuters

衰落安全边界的成本越来越高

网络威胁环境对安全从业人员来说是一个巨大的挑战。今天的首席信息安全官(CISO)必须在多个方面应对威胁，导致外围规模不断扩大和加深。对于网络攻击是否比核战争对人类更大的威胁，目前还没有定论，但网络无疑比以往任何时候都更加脆弱。美国联邦调查局报告称，每天有超过4000起勒索软件攻击事件发生，而其他研究机构则表示，每天产生23万个新的恶意软件样本。

过去几年臭名昭著的攻击终于将网络安全推向了董事会议程的首位，并将危机程度提升到了新的高度。因此，2017年全球安全支出达到864亿美元，但并没有减少的迹象。相反，Gartner预测2018年该行业支出将达到930亿美元，因为传统的安全措施如防火墙和防病毒软件被证明效果不明显。

网络安全边界的状态

过去一年发生的攻击事件的数量和严重程度意味着，到2018年，组织不再问他们是否会受到攻击;相反，他们在问将如何受到攻击。意识到外围正在迅速消失，组织开始意识到安全战场正在他们的网络中发挥作用。

边界在衰退，加上向云端过渡和部署无数物联网设备，意味着攻击面正在扩大。由于标准和政策无法跟上，组织面临的风险正在大大增加。此时，即使是消费者也在担心。

针对网络的早期病毒和蠕虫病毒已演变得更加强大。这些新的攻击媒介倾向于缓慢低落，在网络内横向移动，并经常滑入和滑出，就好像整个网络没有任何障碍。它们迫使组织加紧对网络攻击的了解，并采用新的工具，策略和流程(TTP)，从内部捍卫他们的网络。

为了应对威胁团队的发展能力，以下是2020年的一些考虑因素：

高级持续威胁(APT)推动边界

今天最致命的攻击媒介通常可归因于APT。 APT是指第三方发起的网络攻击，该攻击获得未经授权的访问，并且长时间未被检测到。 APT以其高水平的复杂性，使用定制软件后门和零日漏洞而闻名。

APT的不祥之处在于它们的“持续性”因素，因为高级黑客试图长时间不被发现，直到达成他们追求的最终目标。今天，由于机构计划，资助和运营机构的战略意图，APT特别危险。

这些威胁行为者在网络上启动APT以访问敏感数据和系统，为其目标创造声誉和操作风险。他们经常利用影子IT漏洞，以及人为错误等。今天，不论网络大小或类型如何，都不会受到这些攻击的影响。

网络安全技能危机

尽管黑客获得了专业知识，APT也变得更加复杂，但现有的安全控制措施并没有跟上。安全人员日益短缺使情况变得更糟。到2018年底，100-200万的网络安全工作可能仍未完成。大约需要600万名网络安全分析师，但只有400万到500万人可用来填补这些职位。

IT安全团队不仅缺乏应对日益复杂甚至自动化攻击的必要技能，但36%的组织表示他们认为安全人员的流动率高于组织中的其他部门。

红队攻击模拟的兴起

为了解决技能差距，组织一直在寻求安全服务提供商来测试其弹性。这些代理进行分级攻击，以了解组织对网络攻击的敏感程度。

通常被称为红队(red team)，他们对组织的应用程序，网络和数据进行集中性攻击。虽然红队进行模拟攻击，但他们通常在单个时间点执行任务。他们还必须与内部安全防御团队(也称为蓝队)高度协调，以修复安全漏洞并缩短时间差距。

尽管训练有素的红队专家可以在揭露安全威胁方面取得成功，但他们仍然是人为因素。不幸的是，运营挫折和组织无效的方法可能会限制他们提供防止APT攻击持续策略的能力。即使是能够负担自己内部红蓝队伍的组织，也难以阻止真实的攻击者。面对代价高昂的时间差距以及协调和预算问题，它们仍然能够使攻击者。

过渡到自动攻击模拟

自动化的攻击模拟，加上快速补救的后续能力，可以收紧围绕APT攻击的绞索并缓解技能短缺。实际上，一个可以随时运行多个攻击活动的网络实际上可以作为一个自动化的红队队伍全天候运行，并使组织始终处于侦察状态。

然而，除非发现的漏洞立即得到纠正，否则攻击行动无法真正发挥作用。这是至关重要的，因为在裂缝之间不存在攻击的机会。在发现每一个盲点和漏洞之后，蓝队的可操作和优先级的补救措施必须立即跟进。它必须形成一个持续快速的攻击和修复循环，且永远不会停止工作。

紫队

红队和蓝队在永久循环中不断合作的任务落在自动紫队上。 一个自动化的紫队将红队发现的攻击媒介和漏洞与蓝队的防御战术相结合，以构建最强大的安全计划。

这种合作行为不仅形成24小时全天候的攻击和补救周期，而且还使攻防队伍能够相互学习并随时改进。 随着紫队不断运行，公司将能够遵循优先的修复指导方针，并确保他们一旦出现就能意识到新的威胁。

最后，组织，城市和国家将能够重新获得网络优势，捍卫关键基础设施，应对技能短缺并立即采取补救攻击载体。