博客

抢劫是风险还是威胁?

Lori MacVittie 缩略图
洛里·麦克维蒂
2016 年 8 月 12 日发布
f5labs-徽标

安全专业人员的任务是了解风险和威胁之间的区别并采取相应行动。 对于外行人(即我们大多数人)来说,两者之间的差异可能看起来不存在。 毕竟,它们在语义上不是等价的吗? 我们不是经常使用它们来描述漏洞、 DDoS 攻击和最新的零日漏洞吗?

我们可能会,但安全专家通常比这更精确,主要是因为如果他们不这样做,他们的预算将超过所有 IT 支出,因为他们将对日益增多的用于击败其防御的工具、技巧和技术发动数字战争。 这是因为并非所有威胁都具有相同的风险。

安全统计

风险是一种计算测量方法,涉及许多因素,包括发生的可能性和利用后的影响。 我们都知道,今天过马路时可能会被公共汽车撞到并遭受可怕的后果,但发生这种情况的可能性非常低,以至于我们大多数人认为这是一种非常低的风险(如果我们的风险计上有衡量的话)。 相反,在威斯康星州隆冬时节穿没有鞋底的三英寸高跟鞋很可能会摔倒并产生不良后果,因此我个人认为在冬季穿高跟鞋的风险相当高。

这就是风险。

威胁是另外一回事。 还有一些我们无法控制的事情,比如天气、公交路线或攻击者今天决定对我们的网站发起容量耗尽攻击。

安全专家及其组织的目标之一是通过减轻威胁和降低漏洞的可能性来最大限度地降低风险。 如果气温为零下 20 度,且车道上结冰,我就会穿平底、防滑的靴子。 威胁得到减轻(但并未消除),因此风险降低。  如果突然发现新的漏洞,我必须确定这个新威胁对我的组织构成什么风险。

事实上,这是一种被广泛接受的风险评估方法,业界用数学的方式描述它:

A(资产) + V(脆弱性) + T(威胁) = R(风险)

这使得各个组织不仅可以根据其业务需求和风险承受能力加权各个因素,而且可以采取一致的行动。 这可以防止在宣布新的漏洞时出现恐慌和下意识的反应,特别是当评估的风险在组织容忍度以下时。

那么 HEIST 又如何呢?

这让我们想到了 HEIST,它代表 HTTP 加密信息可以通过 TCP-Windows 被窃取。 显然,“抢劫”说起来容易得多,而且听起来很像“不可能完成的任务”,不是吗? 该漏洞是在BlackHat上提出的,并且现在仍在互联网上流传,甚至出现在Ars TechnicaEngadget的文章中。 迄今为止,尚未在野外发现过它。 这不是一个容易利用的漏洞,研究人员(包括我们自己的研究人员)注意到,利用 HEIST 并不是一件容易的事。 它是一种复杂的侧信道攻击,结合了浏览器 API 行为(它观察 TCP 通常与可以计时响应的浏览器 API 一起工作的方式)、Web应用行为、内容压缩、TCP 和加密。

如果需要完成多个请求,这种攻击可能会对网络造成很大影响,但更适合“嘈杂”类别。 对于不想引起注意的坏演员来说,这两者都没有吸引力。 然而,如果它被成功利用,攻击者可以将其与BREACHCRIME结合起来解密有效载荷,并获得所谓的数字大奖,从而暴露敏感的(可能是关键的)个人和商业数据。 在这种情况下,如果他们成功获取个人身份信息(PII),即数字大奖,他们可能不会在意自己有多吵闹。

这是一种威胁。 它可能被用来窃取数据。 这被称为违规,是一件非常糟糕的事情™。 问题是,这种威胁何时会成为真正的风险?

好吧,今天(准确地说,当我写这篇文章时),这种威胁并不存在。 也就是说,它从未在野外被见过。 但这并不意味着它不在野外,只是意味着它没有在野外被见过。 然而。 今天。 现在。

头晕了吗? 现在你知道为什么安全专业人员总是一脸茫然的表情了吧。 因为他们必须一直管理这种思维过程和决策。 

所以问题就是,如果这种威胁真的存在,风险是什么? 要回答这个问题,你必须确定漏洞被利用会产生什么影响。 如果有人设法从您的应用程序或网站窃取数据,会有什么影响? 你的费用是多少? 不要忘记考虑品牌影响力,这是(日益复杂的)等式的一部分。 缓解的成本也是如此。 当缓解成本较高而影响相对较低时,情况就会发生变化。 如果您必须触及数据中心(和云中)的每个 Web 服务器,只为了调整一个设置来减轻威胁,那么对于可能对生存造成威胁的事情来说,这将花费大量的时间(以及随后的金钱)。 如果风险较低,您可能会采取可以理解的“观望”态度,而不是因为男孩喊“狼来了”而手忙脚乱。

如果缓解措施在实施成本方面影响相对较低,比如通过改变返回数据的大小来迷惑攻击者的简单脚本,从而使 HEIST 更难以执行,您可以考虑继续实施它。 毕竟,进一步降低风险的成本微乎其微,而且几乎肯定比将来实施上述抢劫所造成的后果要小得多。

不断的(重新)平衡行为

事实是,安全是一场持续不断的战斗,通过减轻威胁来将风险降至最低,同时还要穿越大多数 IT 组织所面临的政治雷区。 由于 IT 存在于功能孤岛中,安全专家常常决定不针对风险可能性波动的威胁实施哪怕是简单的缓解措施。

他们等待风险上升并被迫做出反应,而不是主动减轻威胁。 例如,过去两年中被谈论最多的许多漏洞都是以应用为中心的。 为了缓解这些影响,需要在应用上游的数据路径中部署解决方案,因为最有效的位置仍然是应用最终聚合以进行扩展和交付的点。 但该战略控制点是由应用交付团队而不是安全团队管理的。 尽早减轻此类威胁所需的努力大于风险。 由于这两组人能否在中间相遇对组织而言始终是一个持续的挑战,因此主动降低风险和减轻应用层的威胁根本无法实现。

目前,HEIST 对于大多数组织来说可能被认为是低风险的。 但毫无疑问,它是一种威胁,因此值得现在就考虑,在它付诸实施之前,我们都已经被告知了它的存在。 需要交叉协调,以便可以在威胁变得存在并且被利用的风险驱使每个人都陷入昂贵的活动和实施的疯狂之中来解决它之前,部署类似这种针对 HEIST 的缓解措施的“无服务器”安全解决方案。