网络攻击者通过扫描目标组织的网络和应用（即数字攻击面）来实施攻击，使用多种技术和程序利用已发现的漏洞和零日漏洞发动多步骤攻击。 在本文中，我们考虑了企业必须防御的几类威胁，并强调使用零信任原则来增加遏制对手活动造成损害的机会。 然后，我们简要了解攻击者的策略、技术和程序，这些都已编入 MITRE ATT&CK 框架中。 最后，我们讨论 MITRE D3FEND 框架并将其映射到零信任原则。 

美国国家标准与技术研究所 (NIST) 在其计算机安全资源中心 (CSRC) 词汇表中对“攻击面”给出了抽象的定义，即“系统、系统元素或环境边界上的一组点，攻击者可以尝试进入该系统、系统元素或环境，对其造成影响，或从中提取数据。”

思考“攻击面”的另一种方式是考虑潜伏在数字环境各个组件上的所有已知和未知的漏洞。 这些组件的非详尽列表包括： 

• 物理和虚拟网络、计算和存储资产
  
• 虚拟机管理程序、虚拟机、容器编排系统、服务网格
  
• 在这些资产上运行的软件，例如固件、操作系统、数据库管理软件、应用软件
  
• 容器镜像存储库、VM 镜像存储库、代码存储库
  
• 内部和外部 API、微服务端点、应用门户
  
• 本地环境外部但在本地使用的服务，例如身份验证服务、时间服务器和远程数据存储
  
• 身份存储、用户帐户数据库、业务数据存储

为了最大限度地降低业务风险，组织必须保护自己的数字资产和知识产权以及客户和员工的隐私，同时还要遵守所有监管合规要求。 他们必须这样做，同时确保业务工作流程和数字体验继续可用且可靠。 解决这一挑战的方法是遵守零信任原则：使用最小特权、明确验证、持续评估和承担违约。¹ 通过这样做，组织可以解决许多不同类型的威胁，如下节所述。

数据是现代数字企业的生命线；因此，攻击者窃取组织数据具有强烈的经济动机。 一旦被盗，数据就会在暗网上出售，并被其他方利用对数据所有者造成进一步的伤害。 组织还可能成为勒索软件的受害者，攻击者通过就地加密数据或将数据从组织的基础设施中完全删除，使组织的数据不可用。 然后攻击者可以向受害者要求付款——“赎金”——以恢复数据。 第三类数据攻击是由那些只想造成伤害的行为者使用的，他们巧妙地破坏数据，从而破坏业务流程和依赖于它的数字体验。 

数据泄露或数据泄露是指对手在未经所有者同意的情况下获取保密资料。 除了知识产权影响之外，这些攻击还常常造成品牌损害和信任丧失。 法律要求遭受破坏的组织必须报告任何包含个人身份信息的数据丢失。 网络钓鱼技术、利用面向公众的应用中漏洞以及利用供应链漏洞都是渗透存储数据的数字环境的常用方法。

最近一个值得注意的例子是 SolarWinds 供应链攻击，²攻击者利用该技术侵入了数以千计的公司和政府组织。 此次初始访问通过在数字基础设施中建立持久存在，为后续攻击利用步骤提供了跳板，从而实现跨多个受害者应用和网络的横向移动。 最终，这些策略实现了攻击者的最终目标——窃取凭证/密码并窃取受害者的数据。 

另一种针对数据的攻击形式是“勒索软件”攻击，即黑客部署恶意软件来破坏或完全阻止关键业务流程。 最常见的情况是，关键的业务数据被加密或删除，从而破坏关键的工作流程。 在某些情况下，身份认证数据存储中的数据也会被加密或删除，从而有效地将合法用户完全锁定在系统之外。 只有收到“赎金”后，攻击者才会恢复系统访问权限或解密数据。 2021 年 5 月，一场勒索软件攻击导致 Colonial Pipeline 瘫痪，³该航线负责向美国东南部运送汽油和航空燃料。

一些对手在数据攻击中使用更细致入微的方法。 这些老练的攻击者并不会窃取数据或使其无法使用，而是会对受害组织的原位数据进行少量精心设计的更改，并通过应用程序正常的外部工作流程来实现回报。 例如，增加以折扣价出售的航班座位比例、操纵库存供应数据库以使其看起来有更多或更少的商品在售，或者在电子零售网站上添加特殊的折扣代码。 这些“隐秘”的变化通常在造成损害之前很难被发现，它们利用受害者自己的业务工作流程为攻击者获取价值。 

黑客发起攻击，消耗网络和计算基础设施的资源，导致业务流程陷入停滞或运行效率低下。 此类攻击的目标多种多样，从损害目标组织的品牌到勒索钱财，再到实现特定的业务结果（例如，无法进行网上售票）。 此外，高级攻击者经常使用此类攻击作为烟幕，同时执行更复杂的攻击的其他步骤。 

攻击者利用僵尸网络将攻击流量导向目标资源，以发起分布式拒绝服务 (DDoS) 攻击。 大容量 DDoS 攻击会使目标网络流量泛滥，消耗所有可用带宽。 协议 DDoS 攻击发送专门的流量来填充状态网络设备（例如防火墙）上的连接表，从而断开合法连接。 applicationDDoS攻击通过非法请求消耗服务器的资源。 

攻击者可以未授权访问计算资源，以攻击者的名义执行计算，然后将计算结果报告给命令和控制服务器。 这样做通常是为了在计算机所有者不知情的情况下在后台运行加密挖掘代码。 网络钓鱼和驱动下载是在计算机上部署加密挖掘代码的典型方法。 黑客使用 MITRE ATT&CK 横向移动策略来增加其窃取的 CPU 容量，并使用持久性策略来维持其运行未经授权的计算的能力。

怀有恶意的行为者会滥用所需的工作流程或用户体验，对组织造成危害。 这些威胁可能导致收入损失、品牌受损以及处理欺诈的运营成本增加。

黑客受到个人利益的驱使，利用合法的业务流程来损害组织。 例如，他们可能会使用自动化方式购买大量热门活动的门票，使其他人无法购买，然后以更高的价格出售。 

商业信息可以从组织的公共网站上抓取或从内部系统中窃取，然后以对组织有害的方式使用。 例如，竞争对手可能会抓取价格信息并降低自己的价格来吸引客户。 

黑客可以修改面向公众的网站的内容并对其进行破坏，以使组织蒙羞。 他们还可以更改内容，向网站用户传递不正确的信息。 

欺诈者想方设法以其他用户的名义进行金融交易，以便从交易中获利。 他们使用窃取的凭证来接管帐户或诱骗毫无戒心的用户访问看起来像他们通常使用的网站并放弃他们的帐户凭证。 这种欺诈行为通常发生在电子商务网站或金融机构门户网站上。 在新冠疫情期间，许多诈骗者从事失业欺诈行为，他们利用窃取的身份提交虚假的失业救济金申请，并将救济金归自己所有。⁴

对组织发起威胁的持久对手是耐心、有组织且技术高超的。 为了造成伤害，攻击者必须实现几个战术目标，例如收集情报、获得初步访问权、建立滩头阵地、窃取信息、泄露数据等等。 MITRE ATT&CK 框架⁵列出战术目标、实现战术目标的技术以及实施这些技术的程序。 防御者可以使用该框架将任何攻击剖析为其一系列策略、技术和程序 (TTP)，这些可以在MITRE ATT&CK 框架站点上找到。 我们注意到，对于每种策略及其相关技术，在数字环境中遵守零信任原则会降低攻击者成功的概率，并增加早期发现其活动的概率，如图 1 所示。 

D3FEND 框架提供了一个对策知识库和知识图谱，“包含语义上严格的类型和关系，定义了网络安全对策领域中的关键概念以及将这些概念相互链接所需的关系。”⁷ 该框架可帮助安全从业者考虑需要哪些能力来防御与其数字环境相关的威胁。

此外，可以通过评估执行 D3FEND 框架中列出的相关对策的能力，从针对 MITRE ATT&CK 框架中列举的各种 TTP 的准备程度来考虑安全风险。 两个框架之间的连接组织是“数字工件”抽象。 当攻击者采用一组 TTP 进行攻击时，他们的活动会产生可观察的数字工件。 D3FEND 框架帮助从业者特别注意如何寻找对手活动产生的数字产物，并有助于制定可行的防御计划。

我们注意到，MITRE D3FEND 对策的类别与基于零信任原则的零信任安全技术完美对应，如图 2 所示。 

当今的应用和数字体验是由企业渴望与更广泛的目标客户（包括人类和智能设备）进行更丰富的互动所驱动，在互联互通的数字企业生态系统的大背景下，满足日益增长的移动劳动力和客户群的需求。 同时，对业务灵活性和效率不断提高的要求使得应用架构在更大程度上利用开源和 SaaS 组件。 因此，当今的核心应用比以前更加依赖于更深层次且控制更少的基础设施。 现代业务需求推动了应用程序架构的复杂性增加，从而暴露出更广泛、更动态的威胁面，而资金更充足、动机更强的复杂对手正在利用这些威胁。

MITRE ATT&CK 框架为恶意行为者用来发动复杂攻击的策略、技术和程序提供了有组织的命名法。 MITRE D3FEND 框架指定了对策知识图，组织可以使用它来检测攻击中使用的 TTP 产生的可观察的数字工件。 MITRE D3FEND 对策可以与零信任的各种原则相关联，遵守这些原则使得实施对策的具体机制更加有效。 

下载报告