駭客會問的六個問題，精準選定攻擊目標

2021 / 01 / 08

編輯部

在過去的十年左右的時間，資安趨勢已轉向雲端， COVID-19以及居家辦公更加速了雲端需求，迫使藍隊需要更迅速的對應和防範。然而，2010年針對雲端系統的攻擊卻還是增加了250%。

雲端環境對防禦方來說是一種挑戰，不過對於駭客而言，也不代表這是一件輕鬆的事情。駭客亦無法在有限的時間內針對每一項資產進行滲透破解，他們的時間成本極為寶貴，他們必須在有限的預算中執行工作。

藍隊的防禦思維和駭客攻擊策略之間仍有很大的思維差距。因此了解對手－駭客的思維邏輯可以幫助我們提高效率並降低風險。我們可以由6個問題中，站在駭客角度看待其攻擊目標的考量，如果將此邏輯應用於企業，其安全策略將發生轉變。

1. 可列舉性 – 我能從外部找到攻擊對象多少有用的訊息？
攻擊面上的每個目標都有蛛絲馬跡可循，攻擊者只能要蒐集到越多的相關資訊，攻擊成功的把握就會越高，最終他們就可以順利入侵網路。「攻擊目標描述信息可列舉性」指的是攻擊者如何從目標的外部解讀出有效資訊。例如，根據服務及其配置，目標伺服器的報告可以看出從無驗證伺服器和指定的伺服器名稱- “Apache” or “Apache 2.4.33”。當駭客看到正在使用中服務系統的版本和其組成型態，他們就可以更精確的利用漏洞來進行攻擊，在此情況下攻擊的成功性將會大大提升，同時被偵測到的可能性也會降到最低。

2. 關鍵性— 你的資產對於駭客來說價值性多高？
每個舉動對於駭客而言，都是時間、金錢、投入和風險的權衡，針對性價比高的目標對於他們而言遠比隨機選擇目標來得更具合理性。駭客們往往會在採取行動前評估目標的重要和關鍵性，以便他們注入資源專注於達成其攻擊的成效。

VPN、防火牆和一些遠距管理的應用程式是企業的防護重心，一旦其一被攻陷，企業頓時就會門戶洞開。因此，當憑證和認證系統遭受到破壞時，入侵者將獲得更大的訪問權限，駭客往往會優先鎖定定位和訪問權限機制，至於那些保護性較低的資產，對駭客而言，攻擊價值就不高了。

3. 攻擊目標資產弱點的可滲透性？
關於 CVE 漏洞是否會成為被攻擊之弱點，其風險並非單單依賴其漏洞攻擊程式是否曝光或 CVSS 風險分數，來決定該漏洞是否會成為駭客所利用之弱點。

現實中存在著許多不同類型的漏洞，從理論層面和現實層面中看起來都可以從其進行攻擊，但並不是每一個駭客都會這樣做，因為他們必須考量其機會成本。滲透其弱點並不是最困難的部分，困難的是滲透弱點時所耗費的時間成本，若想要減少其時間，駭客可能就會利用市面上既有的工具或是他們能負擔的操作方式來進行著手(Canvas 或 Zerodium)，在一些案件中，駭客也會購買以前被建構的漏洞工具。

4. 選擇攻擊目標的適性與後滲透攻擊的可能性？
適合攻擊的目標往往具有較少的防護機制、容易埋伏、不易被察覺的特點。端點這類具有防護和監控等的技術一般看來就較不具攻擊合適性。但是像桌上型電話、VPN設備和一些未受保護的硬體設備，這類型需要實體插入網路線來連通的設備就具有入侵的合適性。另外一些使用Linux作業系統的設備，因為有完整的使用者空間並且有常見的預設工具，此類具有很高的後滲透攻擊的特性。

5. 利用漏洞獲取系統控制權限需要耗時多久？
有了攻擊的目標，並不代表你就擁有了攻擊和利用漏洞來入侵的機會，在觀察目標時，駭客必須評估他們所需花費的時間成本和能成功利用漏洞的可能性。弱點研究(VR) 不僅用於查找要修補的內容，駭客也會針對目標進行弱點研究，進行弱點研究所耗費的測試、調研、結果推敲和驗證的相關成本是駭客用來評估是否值得攻擊目標的依據之一。易於獲得測試資料、有據可查，研究充分或開源的工具是比較容易被攻擊的目標，反之一些昂貴而特殊的作業系統（通常是VoIP系統之類的硬體或價格昂貴的安全設備）需以特殊的技能和資源來進行攻擊，即使其資產的價值很高，也會因為需要較高的滲透技術而限制了駭客的攻擊意願。

6. 漏洞的利用是否能帶來多重的高投報率？
了解攻擊者的商業模式是從防禦者的心態轉變到駭客的邏輯重要方式之一。駭客也追求最高的投資報酬率，因為他們投入時間，調查和人力。駭客會將攻擊成本分散給眾多企業用受害者，在評估攻擊目標合適性時，駭客會思考他們所創造的漏洞和攻擊技術是否能同樣應用於多個不同的目標族群，從而跨多個目標創造高收益潛力。

還記得Mac被視為無法入侵的時候嗎？當時微軟擁有更多的市占率，因此利用Windows會更有利可圖，隨著Windows成為更難的入侵目標，加上Mac在企業中的用戶激增，這種情況發生了變化。同樣，iOS漏洞比Android錯誤要昂貴得多。但是市場的機制正在促使iOS漏洞變得更加普遍且成本的轉嫁正在相對性的變少。

駭客在評估進攻時並不會只看單一的弱點，而是在一次攻擊中權衡各種衡量與面向，進而從現有的資源中做出最符合自身商業營運價值的攻擊選擇，防禦者也須了解此思維模式。在企業資安的防護層面，我們無法無時無刻在每個領域上都提供堅不可破的防護，因此適度的向現實妥協是無法避免的。在風險管理的操作中，需在企業最大營利化的思維下進行防禦部屬。基於駭客優先攻擊的目標的考量下，針對公司內最具價值和最吸引駭客設備進行重點防護評估。

本文翻譯自threatpost.

可列舉性 CVSS 風險分數 Canvas Zerodium