受到互联设备、云服务、物联网技术和混合工作环境的影响，当今的安全领域领导者必须做好准备应对不断发展的攻击面和动态的威胁环境。面对对手日新月异的攻击技术，并非所有公司都有内部红队（擅长攻击战法的安全团队）或无限安全资源来应对威胁。最重要的是，今天的攻击者目标范围广，所以每个企业，无论大小，都需要做好准备。仅靠安全团队的检测和响应已经不够，还必须做到预测和预防。

当今的安全环境要求防御人员具备敏捷和创新的特质。换言之，就是需要他们掌握攻击者的思维和路径。

学习机会主义攻击者的思维，不仅可以更好地了解潜在漏洞，还能更有效地确定补救工作的优先级。这也有助于安全领域从业人员摆脱错误认知，如认为自身组织架构和规模不足以吸引攻击者。

让我们更深入地探讨一下这些概念。

攻击者的思维与传统的防御者

• 攻击者思维有助于组织更好地了解潜在漏洞。

许多组织采用传统的方法进行漏洞管理，记录他们的资产并识别相关的漏洞。这种管理通常按照严格的时间表进行。但问题是，它迫使防御者借助列表来思考，而攻击者用图表来思考。在攻击者确定目标后，对他们来说重要的就是找到攫取宝藏的路径。与之相反，防御者应该问自己：什么资产连接并信任其他资产？哪些是面向外部的？攻击者能否在非关键系统中建立立足点，并利用它进入另一个更重要的系统？这些都是识别真正风险的关键问题。

• 攻击者思维能使组织更有效地确定补救措施的优先级。

决定哪些问题需要立即采取行动、哪些可以等待是一个复杂的权衡过程。很少有公司有无限的资源来一次性解决其所面临的攻击，但攻击者致力于寻找最简单的方法来获得最大的收益。知晓哪些补救措施可以消除潜在可利用漏洞，可以帮助防御者在与攻击者的较量中占据上风。

• 攻击者思维有助于批判性地评估认知偏差。

小型组织时常错误地认为他们对攻击者来说不具备吸引力。然而，现实表明并非如此。威瑞森2023年数据泄露调查报告在小型企业(员工少于1，000人)中发现了699起安全事件和381起确认的数据泄露，但在大型企业(员工超过1，000人)中仅发现了496起事件和227起确认的数据泄露。自动钓鱼攻击是不分对象的。在这些小型组织中，勒索攻击仍然有利可图。攻击者思维告诉我们，任何组织都可能成为攻击目标。

如何掌握攻击者思维

企业的安全团队可以通过以下四个步骤实现这种思维转变。

• 了解攻击者的战术

采用攻击者的思维方式有助于安全领导者预测潜在的突破点并建立防御。这首先需要对攻击者使用的技术有客观了解。

例如，如今的攻击者尽可能多地使用自动化手段攻击网络上的大量系统。这意味着防御者必须准备好应对暴力攻击、加载器、键盘记录器、漏洞工具包和其他的快速部署策略。

安全团队还必须评估他们在真实场景中对这些策略的响应。诚然在实验室测试是一个不错的想法，但只有直接评估生产系统才能够彻底安心。类似地，模拟可以提供信息，但团队必须更加明确地获知，他们的防御是如何通过渗透测试和强大的模拟攻击的。

秉持这种以攻验防策略的安全厂商宁静之盾自研的虎拨智能渗透测试系统，正是帮助组织了解攻击者的攻击手法和策略的有效工具。

系统通过大数据分析引擎对捕获情报进行智能分析，以攻击者视角进行持续自动化的渗透测试，发现系统薄弱点和可被利用的渗透路径，获取对网络抗风险能力的全面掌控。

系统基于专家知识图谱与动态决策算法构建科学合理的自动化渗透测试模型，与自动执行事先准备好的策略不同， 其核心智能决策引擎根据捕获情报智能推演每一步渗透动作；随着渗透经验的累加， 不断完善渗透测试知识图谱和攻击策略库，持续提升模拟攻击能力。

• 逐步揭示完整的攻击路径

没有孤立存在的弱点。攻击者几乎总是将多个漏洞组合在一起，形成一个完整的攻击路径。因此，安全领导者必须能够看到整体情况并测试整体环境。通过识别攻击者从侦察到利用过程中可能采取的关键路径，防御者可以确定优先级并进行有效补救。

风险管理厂商云科安信基于“防御叠加度量前移”理念，在今年中期推出了「信息图鉴」产品矩阵，依托NIST通用风险模型和风险的优先级技术，构建覆盖攻击源探查、攻击路径发现、攻击者溯源以及叠加防御的全链路数字风险管理体系。

产品矩阵中的朝天数字风险攻击图鉴系统意在解决“谁攻击了我”这一关键问题，通过“数字留痕侧写技术”“攻击者能力画像技术”“全流量隐写技术”，对攻击者进行全面的测绘与度量，从源头上锁定攻击目标。

另一款嘲风数字风险路径图鉴系统，通过实时嗅探等功能，协助用户检测自身已知与未知的敏感脆弱资产，触发API访问、弱口令访问、数据交互访问等场景时，对企业隐性攻击路径进行识别和防护。

• 根据影响确定补救的优先级

攻击者通常会寻找阻力最小的途径。这意味着安全领导者应该首先解决影响最大的可利用路径。由此开始，在资源允许的情况下，从大到小处理潜在漏洞。

领导者还应该考虑需要补救的漏洞的潜在业务影响。例如，单个网络配置错误或单个用户拥有过多权限会衍生出许多潜在攻击途径。对高价值资产和关键安全缺口进行优先级排序有助于避免因资源过度分散而遭遇攻击。

弱点优先级评估技术（VPT）是落地该步骤的有效方法，攻击面管理厂商华云安打造的灵鉴·弱点检测与风险评估系统Ai.Scan可快速发现系统弱点并进行自动化验证。

系统基于深度学习算法和知识图谱技术构建AI指纹检测模型，实现全量资产识别；凭借实时漏洞情报能力，精准检测系统中存在的弱点，支持弱口令、主机、Web、容器、云平台等多种数字资产的漏洞检测与基线核查；将长期漏洞挖掘和攻防实战经验转化为实战检测模型，精准验证系统中存在的漏洞；结合华云安红队经验快速响应新爆发0day、1day漏洞。帮助安全领导者将安全工作聚焦在最具价值的漏洞上。

• 验证安全投资的有效性

测试安全产品和程序的真实效果至关重要。例如，所用EDR是否能准确检测到可疑活动？SIEM是否按预期发送警报？SOC反应有多快？最重要的是，安全堆栈中的所有工具如何有效地合作？衡量安全成果时，这些测试是必要的。

传统的攻击模拟工具可以测试已知的场景，并测试针对已知威胁的现有防御措施。但是如何针对未知攻击进行测试呢？对抗性视角允许对所有场景和威胁进行自主测试，它可以揭示隐藏的错误配置，隐藏IT或关有关控制的错误假设。

验证测试的结果需要侧面展示其业务影响，并将之传达给CEO和董事会。报告已修补漏洞的百分比（或其他类似的虚荣心指标）并不能真正显示出安全计划的有效性。因此，必须采用更有效的途径来展现安全成果。