安全工具：首先，它们是好的，然后是坏的

快速阅读: 据《安保大道》最新报道，文章探讨了网络安全工具的双重用途及其潜在风险，强调了防御者需理解工具在不同情境下的作用。Pingree建议通过提升预防措施、采用零信任策略及关注物理安全来遏制工具被恶意利用。

在网络防御的双重生活中探讨了网络安全工具的两面性

在之前的一篇文章中，我们探讨了人工智能在社会工程领域的双重角色及其日益增强的能力。这篇文章引起了我对Lawrence Pingree一篇博客文章的兴趣。在这篇文章中，Dispersive的副总裁Lawrence Pingree更广泛地讨论了网络安全工具的二重性。在题为《当好工具变坏：网络安全中的双重用途》的文章中，Pingree写道，网络防御者必须理解那些旨在保护数字活动的工具如何可能被恶意行为者利用来执行网络攻击。“在正确的手中，它用于防御；在错误的手中，它用于攻击，”他说，并进一步解释道，一些安全工具特别容易拥有双重身份，因为它们本质上具有多功能性。通常，问题的核心在于组织未能正确保护控制台以访问这些工具。Fenix24的创始人兼首席信息安全官John Anthony Smith表示：“由于许多工具是云管理的，而且大多数公司都没有专注于妥善保护其敏感的关键IT控制台免受生产Active Directory（及其他身份平面）和对特定网络和设备的受限访问的影响，这些控制台通常会被访问并用于合法的安全管理。”“用于恶意和破坏性行为的工具——例如端点检测与响应（EDR），对部署它的机器有深入、广泛的访问权限。同样，在大多数组织中，渗透工具的下载、执行和使用没有被阻止、监控和/或阻止。”

当我向Pingree询问哪些工具最有可能转向黑暗面时，他指出，“威胁行为者对工具的重点很大程度上取决于他们所处的攻击阶段。”最关键的阶段是侦察和利用，尽管“所有阶段几乎都可以被认为是平等的，”他说。“但进行枚举/发现/扫描和渗透测试的工具通常对攻击者最有价值”，因为它们“实施漏洞利用，并使执行攻击更容易。”这些工具结合AI与渗透测试，可以让工具自行诊断、规划、分阶段执行，并选择并实施合适的漏洞利用。因此，这些工具往往会产生重大影响。

AI是双方的助推器。在他看来，紧随其后的第二名是结合加密和混淆，“因为这些很容易重新用于防御以及进攻，”他补充道。“但不同之处在于，在防御方面，这些能力可以作为更强有力的预防措施——在自动化预测建模和生成式AI建模的基础上引入随机化将成为必要条件。”Pingree认为，“AI和防御者之间正在出现一种竞争条件。AI工具将超能力利用，因为你只需要对攻击阶段有初步了解就可以执行命令。”因此，防御者必须专注于预防。

为了遏制安全工具的不良倾向，他建议安全团队采取以下措施：

– 重新聚焦于优质品牌，避免追逐那些声称无所不能的炫酷平台。
– 专注于提升预防措施，尝试新概念将带来显著的长期漏洞收益。检测和响应是次要位置。
– 强烈考虑零信任区域以保护数据主权和合规性，特别是对于敏感数据池。通过分割和偏转分散有效载荷以及云地理围栏可以创建一个主权的零信任网络区域。这是通过在云中跨地理位置绑定的位置分布和交付数据来实现的，这隔离了敏感数据并强制执行访问控制。同样的方法也可以应用于云原生应用程序——通过实时调整网络路径和路由来微分割区域，这为微服务和容器提供了适应性安全。这也适用于边缘、物联网和运营技术工作负载。

组织不应忘记在物理安全方面挫败二重性，这通常包括在网络安全评估中。ColorTokens, Inc.的现场首席技术官Venky Raju说：“企业应确保其电子徽章系统不会轻易受到此类攻击。”他还指出了SPAN端口，“设计目的是允许网络管理员通过将监控设备插入单个交换机端口并接收其他端口上的流量副本来监控流量。”然而，恶意内部人员可以通过连接一个过滤和通过蜂窝链路向对手发送流量的恶意设备来“滥用未使用的SPAN端口”，或者“利用漏洞并入侵交换机”，Raju说。“网络和安全管理员应考虑不受这些攻击影响的替代技术，如网络分流器。”尽管如此，他说，安全团队应将重点放在“本地利用攻击向量”上，指出“对手已经滥用了几种基本的系统实用程序和应用二进制文件来进行侦察、权限提升、指挥和控制以及其他攻击。”

最终，尽管如此，安全团队不能在工具二重性方面抱有懒散的态度。他们必须高度重视确保工具按预期用途用于防御。Pingree写道：“在网络安全中认识到双重用途的重要性无论怎么强调都不为过。这需要对进攻和防守视角都有细致的理解，才能有效保护数字资产并减轻日益复杂的网络威胁带来的风险。”

—