网络安全团队，当心：防御者的困境是一个谎言

David J. Bianco贡献者

David J. Bianco 是 Splunk 团队 SURGe 的员工安全策略师。

实际上，每个安全专业人员在其职业生涯中的某个时候都遇到过“防御者困境”。它是这样的：“防守者必须每次都是正确的。攻击者只需要正确一次。”

攻击者拥有所有优势而防御者必须被动等待响应的想法实际上是网络安全的公理。

这也是一个谎言。

围绕防御者困境制定安全策略会损害您的安全计划。从不正确的前提开始会导致错误的决定。您可能会在您并不真正需要的产品、服务或功能上浪费金钱，或者在您真正需要的产品、服务或功能上投资不足。您的安保人员变得不知所措、士气低落，并且难以交付良好的结果。

防御者理所当然地期望攻击者通过撒谎和欺骗来实现他们的目标，但有时我们会忘记撒谎和欺骗可以双向发挥作用。

如果你相信防御者困境的谎言，那么你也必须相信其他谎言，因为防御者困境依赖于它们。让我们详细看看这些谎言中的每一个，并讨论可以用来消除它们的有害影响并将它们转化为团队优势的策略。

谎言一：攻守分离

防御者的困境意味着您的安全团队完全是被动的，坐等攻击发生。但是从“防御”和“进攻”的角度思考是错误的二分法。

痛苦金字塔表明，通过始终如一地检测和响应威胁行为者的活动并以足够快的速度阻止攻击的发生，您可以给该行为者施加成本，将防御转化为进攻。通过将检测开发工作集中在金字塔的上半部分，您可能无法完全防止攻击，但会让参与者更加努力地工作以获得成功。这改变了他们攻击的经济效益，也为您赢得了宝贵的响应时间。

您的防御必须全天候运行，而攻击者可以谨慎选择在晚上、周末或假期发动攻击的时间。不过，这并不意味着人类总是必须参与所有事情。

自动化和 SOAR 技术可以将 IR 剧本变成自动响应。在检测到事件后的几秒或几分钟内将事件控制住，并沿途收集基本的 IR 数据可以缩短控制时间，并显着减少对非工作时间人员的依赖。

还要考虑双方在攻击之间所做的事情。在威胁行为者计划下一次攻击时，您的团队不应闲着。利用事件之间的时间来提升团队能力和个人技能。从过去的事件中吸取教训，以改进检测和行动手册。上课或学习新技能。使用威胁搜寻来识别新的检测或 IR 技术。您昨天可能成为猎物的东西可能是您明天发现并拦截的东西。