【原】知己知彼：审视网络攻击者的思想

知彼知己，百战不殆;不知彼而知己，一胜一负;不知彼，不知己，每战必殆。

孙子的简单概念几乎可以应用于任何类型的对抗：知己知彼。无论对抗的类型如何，两方面的知识程度都可以预测结果。法医心理学调查罪犯的动机和思想，并可以预测犯罪行为本来不为人知的情况。有趣的是，网络安全可以遵循类似的路径在任何组织中进行前向防御，但通常不会。

认识自己。最好的网络安全团队会通过艰苦的措施来了解自己。他们实施攻击面发现、资产清点、数据分类、漏洞扫描——这样的例子不胜枚举——而且许多安全团队都有很好的自我意识。根据与业务影响相关的风险做出防御性决策，并相应地进行投资。

了解敌人。虽然了解自己具有挑战性，但在网络安全中了解敌人几乎是不可能的。在一个完美的世界中，您将能够审讯被抓获的网络罪犯，以更好地了解他们如何选择目标和选择技术。我们投资于法医心理学是有原因的——与罪犯的交流让我们知道是什么导致了犯罪背后的原因。

在缺乏这些洞察力的情况下，网络安全团队传统上会转向过去来预测未来。Verizon DBIR 报告和 Ponemon 的数据泄露成本等研究汇总了数千个与过去与对手的危险遭遇相关的数据点。这些报告强调了重要指标的紧迫性，例如不到一天的端到端攻击。更令人担忧的是，超过一半的违规行为的首要“交付方法”是“行为者披露”，本质上是指勒索软件注释，或者在犯罪论坛上提供证据和/或数据以供出售的帖子是提醒安全团队注意违规行为的机制。归根结底，安全团队仍在为检测和响应而苦苦挣扎。

众所周知，攻击者的发展速度快于防御措施的发展速度。当检测措施到位时，攻击者就有了一种新的方法来规避它们。这是一场猫捉老鼠的游戏，攻击者有望获胜。但是，如果我们可以改变对我们有利的知识呢？如果我们比以往任何时候都更了解我们的敌人会怎样？

虽然采访我们的攻击者是不现实的（或者至少几乎是不可能的）……如果我们可以从下一个最好的事情中获得洞察力呢？

我们突然意识到，我们社区中有成千上万的道德黑客在效仿我们的敌人。他们配备了相同的工具、策略、技术和程序；然而，它们只是在道德界限内运作。因此，我们的任务是了解攻击者的思维方式——一个围绕“探索现代对手的思想”的想法而建立的概念。

我们与SANS Institute合作，概述了我们的目标并精心构建了我们的调查，以确保我们的结果不仅代表攻击者社区，而且根据受访者的专业、经验和其他因素阐明目标、趋势和偏好。与其他采取防御者观点并提供更多潜在威胁、攻击和妥协理论模型的调查相比，我们的报告旨在探索对手如何看待特定环境并展示他们在哪里找到最成功的地方。

我们对全球 300 多名道德黑客进行了调查——相信我，结果不仅令人着迷，而且令人恐惧。这里有一些预告片。

在接受调查的道德黑客中，近 64% 的人表示能够在五小时或更短的时间内收集并可能泄露数据，而在两小时或更短的时间内达到惊人的 41%。

接近 75% 的调查受访者表示，只有少数或部分组织具有足够的检测和响应能力来有效阻止攻击。

这些结果只是冰山一角。最喜欢的目标类型、攻击者学习的速度、不同专业和经验的技术差异、最具影响力的防御——所有这些数据点共同为我们提供了我们希望与防御者分享的信息宝库。这就是为什么我们很高兴与 SANS 合作发布第一份就职报告。

读者将找到我们调查的道德黑客的详细信息，包括经验、行业专长、角色等。此人口统计信息是交叉制表响应的关键，最终可以帮助您更准确地预测您所面对的攻击者将做什么以及他们已经做了什么。

希望本次研究及以后的研究能够实现孙子“知己知彼，百战不殆”的等式。

>>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 回看等级保护：重要政策规范性文件43号文（上） 网络安全等级保护实施指南培训PPT 网络安全等级保护安全物理环境测评培训PPT 网络安全等级保护：等级保护测评过程要求PPT 网络安全等级保护：安全管理中心测评PPT 网络安全等级保护：安全管理制度测评PPT 网络安全等级保护：定级指南与定级工作PPT 网络安全等级保护：云计算安全扩展测评PPT 网络安全等级保护：工业控制安全扩展测评PPT 网络安全等级保护：移动互联安全扩展测评PPT 网络安全等级保护：第三级网络安全设计技术要求整理汇总 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：什么是等级保护？ 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 工业控制系统安全：DCS风险与脆弱性检测要求思维导图 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 Mozilla通过发布Firefox 111修补高危漏洞 Meta 开发新的杀伤链理论 最佳CISO如何提高运营弹性 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 低代码/无代码开发对安全性和生产力的影响 源代码泄漏是新的威胁软件供应商应该关心的吗？