公司进攻性操作指南

从低复杂性、低业务风险和移动性出发，我们有：

• 本地欺骗操作：所有可以在公司环境内部实施的网络欺骗，例如蜜币、蜜罐、蜂蜜网络、金丝雀代币、欺骗/假冒网络等，以引诱对手进入高度受控的环境并监控他们的行为。活动，和/或快速检测和拒绝/中断其操作。
  • 进攻性行动：诱使对手采取行动，为您提供检测和响应战术优势。
  • 复杂度：低/中
  • 业务风险：轻微（由于对所有这些欺骗操作保密，这可能导致员工产生负面影响/感知，以及安全团队内的复杂流程）
• 基础设施拆除：即通过服务提供商或直接通过托管公司报告和请求拆除恶意基础设施。这包括请求删除网络钓鱼域、恶意软件托管服务器、电子邮件帐户等。
  • 进攻性行动：根据拆除情况，这可能是针对对手基础设施的降级、拒绝、中断或破坏行动，从而导致他们重新建立基础设施的成本。
  • 复杂度：低/中
  • 商业风险：中等。流程需要明确定义，以避免出现任何问题，例如要求删除合法基础设施、让受影响公司提出法律问题、避免泄露有关删除请求的敏感信息等。
• 间接公开披露：一些威胁情报供应商和国家 CERT 允许匿名报告/公开披露情报报告。此功能允许公司公开披露细节，否则这些细节可能会带来后面提到的“公开披露”操作的风险。
  • 进攻性行动：迫使对手改变他们的 TTP（从而导致成本和运营延迟），让全球知道对手做了什么以及如何做，这可以使民族国家行为者或其他公司使用这些公开材料作为支持性证据在更具侵略性的进攻行动中。
  • 复杂度：低
  • 业务风险：谨慎进行匿名化时较小。
• 主动暗网监控：我所说的这个术语是指任何类型的操作，以获取访问权限和监控对手的通信渠道（例如 Telegram 群组、暗网论坛等），以尽早了解针对您的业务的任何攻击行为并采取适当措施. 对于大多数公司来说，这通常是通过威胁情报供应商实现的。
  • 进攻性行动：渗透到对手的通信平台并收集有关其活动的情报。
  • 复杂度：低/中
  • 业务风险：通过供应商完成时较小。内部开发时为中等，因为它需要严格的纪律、流程、OPSEC 措施、法律和隐私签核等。
• 与当局合作：即主动联系与网络行动相关的执法和/或情报机构，以帮助他们针对特定对手采取行动。例如，向他们提供证据、只有您公司拥有的信息等。
  • 进攻性行动：针对您的对手采取民族国家行动的可能性，例如起诉、外交/对外行动、制裁、秘密行动等。
  • 复杂度：中等
  • 商业风险：这会带来明显的风险，即企业与特定政府和/或政党有联系，意外卷入无关的政府问题，成为与您合作的当局的“代理人”，被视为民族国家的代理人其他国家/政府等
• 法律行动：这涉及贵公司可能对对手采取的任何类型的法律行动，例如停止和终止信函、扣押恶意基础设施、对特定对手的刑事投诉、制裁等。
  • 进攻性行动：通过合法手段破坏和摧毁对抗性活动的积极和公开的方法。
  • 复杂度：中/高
  • 商业风险：中/高。这将需要经验丰富的调查人员、具有实际法律/起诉经验的数字取证专家、建立刑事案件和管理证据的流程、经验丰富的法律资源、对公众曝光的兴趣，当然，还需要接受现在你的对手知道你所知道的，并且您总是有可能在案件到达法庭时败诉。
• 公开披露：这是许多民族国家行为者的外交政策工具，也可以在私营公司实施。通过让每个人都知道是谁针对你，尤其是民族国家行为者，向全世界提供弹药，让任何其他民族国家使用这些信息来对付你的对手，而无需你直接参与。
  • 进攻性行动：揭露一项旨在隐蔽的行动，促使对手改变策略，并让对手有机会使用已披露的材料对付他们。
  • 复杂度：中/高
  • 商业风险：中/高。这种披露可能会带来很多负面新闻，也会透露你所知道的。这意味着这些对手下次攻击您的公司时可能会使用更先进的技术。此外，民族国家可能会在法律诉讼中请求您的支持。对于风险较小的方法，请检查“间接公开披露”操作。
• 远程被动 SIGINT（信号情报）：这意味着通过第三方（例如数据经纪人或威胁情报供应商）获取信号（通常是原始网络流量或原始通信），这可以帮助您主动发现对抗活动。
  • 攻击性行动：检查在组织外部收集的数据，以主动发现并拒绝针对您公司的任何对抗性活动。
  • 复杂度：中等
  • 商业风险：轻微。唯一的风险是确保您不使用任何非法或可疑的服务，而是依赖行业标准和知名供应商。
• 远程欺骗操作：此类操作包括创建您公司的虚假资料、虚假公开服务、带有跟踪令牌的虚假泄露文档等。这是稍后讨论的“Sting 操作”的较轻版本。
  • 进攻性行动：通过用虚假目标引诱对手来追捕对手，以便在他们瞄准公司的真实资产之前抓住他们。
  • 复杂度：中等
  • 商业风险：轻微。主要是围绕拥有强大的流程来避免安全错误，这会危及您的安全状况，并保持这些流程的良好管理，但也要在需要知道的基础上运行。
• 数据泄露数据利用：这意味着从数据泄露中获取数据并使用它们来发现对抗性活动或情报，这将帮助您主动保护您的公司。示例包括主动发现用于恶意目的的基础设施、对手使用的帐户、去匿名化等。
  • 进攻性行动：利用原本对拥有这些数据的组织保密的数据，以便更深入地了解您的对手。
  • 复杂度：中等
  • 商业风险：中等。关于数据泄露数据利用存在很多法律和道德争论，这可能对公司产生一些业务影响。此外，此类数据的处理在访问管理、谁做了什么以及为什么做的可审计性、保留策略等方面涉及一些复杂性，这意味着可能需要额外的资源、技术和流程。
• 假旗行动：一种先进的进攻技术，可诱使您的对手进入思考过程以利用他们的行动。例如，让对手看起来像是泄露了有关他们的信息，或者让他们相信对手已经破坏了他们所在的系统。
  • 进攻性行动：通过迫使对手相信正在发生的事情而不是他们所看到的，动态地、积极地改变你的对手的 TTP。
  • 复杂度：中/高
  • 商业风险：中/高。这些行动需要非常仔细的计划和纪律，并且很容易以各种不同的方式适得其反，包括负面媒体关注，使您的对手转向更先进的技术，政府机构采取法律行动，您可能已经干扰了他们的行动，产生了相反的效果， 等等。
• CNA 操作：计算机网络攻击 (CNA) 操作是任何会导致对手基础设施和资源退化、中断或破坏的活动。例子包括拒绝服务攻击、夺取他们的资源、淹没他们的资源（例如群发邮件、自动呼叫等）、在他们的平台上制作无数虚假账户、垃圾邮件、向他们提供虚假数据等。
  • 攻击性行为：使对手将精力集中在响应 CNA 操作上，而不是执行其预期的恶意活动。
  • 复杂度：高
  • 经营风险：高。这是一个非常灰色的区域，可能会使公司被视为犯罪实体。关于这些活动将如何、为何、谁、何时以及何地发生，需要非常彻底的法律和业务一致性，并且在大多数情况下，大多数公司（法律上）不可能执行此类操作。
• 刺痛行动：在这里，防御者可以尝试冒充犯罪分子来渗透一个团体，或者建立一个虚假网站来招募网络犯罪分子，以及其他类似的行动，最终目标是渗透对手的实体。
  • 进攻性行动：主动识别对抗性计划并通过应用适当的安全控制来拒绝它们。
  • 复杂度：高
  • 经营风险：高。对于绝大多数公司来说，合法地这样做是不可能的。但是，有些人可能能够与当局合作实现这一目标。风险很高，涉及多个层面，从公共关系到影响执法行动，再到隐私和法律问题等。
• 接管：在接管操作中，私营公司利用他们的知识和资源来控制对手运营的基础设施。这不仅会给对手带来新基础设施的成本，而且还会透露他们的 TTP 的详细信息、将他们与真实身份联系起来的可识别信息等等。
  • 进攻性行动：拒绝与对手接触，破坏或降低他们的行动，并收集他们的大部分数字能力和信息。
  • 复杂度：高
  • 经营风险：高。在过去，这些是很常见的事情，但随着网络越来越成为受监管和控制的空间，进行收购可能会给企业带来非常严重的法律和公关影响。如今，这些通常仅限于在该领域运营的特定公司和政府实体。它们仍然可以由其他人执行，但这是一个复杂的过程，有许多活动部件。
• 在线 HUMINT（人类智能）：这些行动的目的既是通过利用人类弱点（例如社会工程、招募内部人员等）来了解和渗透到对抗性团体/网络中，同时也是从内部扰乱他们的行动。例如，招募（或成为）有影响力的成员并在团队中制造紧张局势，通过争论将团队的重点从运营转移到内部冲突，在成员之间制造分裂等。
  • 进攻性行动：根据级别的不同，从收集有关对手 TTP 的情报到主动保护您的资产，一直到制造内部冲突，最终导致破坏或完全摧毁一个团体。在某些情况下，这些紧张关系可能会导致成员相互向当局报告。
  • 复杂度：高
  • 经营风险：高。这些行动通常仅限于为此类秘密活动拥有专用资源的民族国家参与者。私营公司可以支持这些并非闻所未闻，但由于企业可能受到对手和有关当局的潜在影响，因此风险相当高。
• 3rd/4th Party Collection：简单来说，这可以被认为是之前讨论的“接管”操作的升级。此处的操作不仅涉及接管对手的基础设施，还包括使用它从该基础设施可以访问的地方收集数据。例如，您可能已经接管了一个命令与控制服务器，并在其中找到了威胁参与者使用的服务器的一些 VPN 连接。您使用它们来访问和收集情报和/或破坏其运营。这也可以在另一边进入多个层次。例如，使用 C&C 在受感染的主机上发送命令（如果攻击者系统被感染）并在那里收集数据（或执行其他操作）。
  • 进攻性行动：在多个层面利用对抗性基础设施，使用被接管的系统掩盖您的活动。这可以用于从情报收集到破坏、降级、否认等任何事情。
  • 复杂度：高
  • 经营风险：高。这些行动通常仅限于为此类秘密活动拥有专用资源的民族国家参与者。对于任何私人公司来说，尝试执行此操作将非常复杂且具有风险，因为它涉及在多个级别上闯入系统。
• CNE 操作：这项研究旨在识别和利用漏洞，以便对对手执行计算机网络开发 (CNE) 操作。例如，在他们的恶意软件中找到一个软件漏洞，让你可以接管他们的 C&C，或者在他们的运营主机上发现一个错误配置，让你可以渗透进去等等。这就是通常所说的黑客攻击。
  • 进攻行动：利用对抗性基础设施。这可以用于从情报收集到破坏、降级、否认等任何事情。
  • 复杂度：高
  • 经营风险：高。这些行动通常仅限于为此类秘密活动拥有专用资源的民族国家参与者。对于任何私人公司来说，尝试执行此操作都将是复杂且有风险的，因为它涉及闯入系统。
• 自动化 CNE：即通过自动化开发步骤来扩大“CNE 操作”。也就是说，开发的能力不仅可以利用对抗性基础设施中已识别的漏洞，而且可以自动（或通过自动化按需）利用所有现有和新部署的对抗性基础设施，无需（或最少）人工交互。
  • 进攻行动：利用对抗性基础设施。这可以用于从情报收集到破坏、降级、否认等任何事情。
  • 复杂度：高
  • 经营风险：高。这些行动通常仅限于为此类秘密活动拥有专用资源的民族国家参与者。对于任何私人公司来说，尝试执行此操作都将是复杂且有风险的，因为它涉及闯入系统。