导读

美国国家安全局的核心职能和工作机制

NSA构建了一个独特的"情报-安全"闭环体系：通过信号情报（SIGINT）收集外国威胁情报，再将这些情报用于加强网络安全防御。这种模式使NSA能够"知己知彼"——了解对手的能力和意图，从而更好地保护美国的关键系统。特别值得注意的是，NSA不仅局限于对外的防御任务，还通过与FBI、国土安全部等机构合作，将其专业知识延伸到国内安全领域。这种跨部门合作模式体现了现代网络安全的特点：需要情报收集、技术防御和执法行动的紧密配合。

NSA有两个主要任务：一是信号情报（SIGINT），即从通信和信息系统收集外国情报；二是网络安全。我们的网络安全任务是预防和消除对我国最敏感系统的网络威胁，最初主要关注国防工业基地和武器系统安全。为此，我们通过SIGINT任务了解对手的能力、行动和意图，并将这些威胁情报应用到我们的网络安全任务中。

1.利用组织的"文化盲点"和"沟通缺陷"进行渗透

从一开始，作为攻击者，我们就开始寻找线索，以了解目标的姿态和文化。这种印象会影响我们的决策，并决定我们作为对手的进攻程度。我们经常被注意到，但因为我们的活动通常可以被解释为其他网络操作，所以很少被网络防御者综合分析，因此我们很少被抓获。

这里有一个很好的例子说明我们在攻击过程中如何没有被注意到也没有被抓获：我们窃取了一个目标的VPN配置，但我们唯一拥有VPN权限的账户是一个服务账户，而服务账户通常不使用VPN访问远程网络。这个服务账户来自一个更高级别的网络管理员组织，用于管理子组件。但我们面临截止期限，需要加快速度，所以我们根据对该网络文化的评估承担了风险。

我们不知道的是，直到在行动结束时的技术检查培训中才发现，我们立即就被注意到了。然而，低级别管理员向高级别管理员询问时，问了错误的问题。他们只问是否使用了那个账户，而对方回答说他们一直在使用那个账户，对话就此结束。他们没有进一步询问现在是否正在使用它登录VPN等问题。如果他们多问几个这样的问题，我们就会被抓获。

分析：

攻击者在使用窃取的服务账户通过VPN访问网络时，尽管这种行为明显异常（因为服务账户通常不会使用VPN），但是由于组织内部沟通的不精确性（低级管理员问了模糊的问题："是否使用了该账户？"而不是具体问"是否正在通过VPN使用该账户？"），使得这个明显的异常行为被掩盖过去。

这个案例特别强调了三个关键点：

1. 攻击者会仔细研究目标组织的文化和行为模式来评估风险

2. 组织内部的沟通质量对安全至关重要

3. 在安全事件调查中，提出准确和具体的问题的重要性

这个案例也暗示了组织在网络安全防御中不仅需要技术手段，还需要改进内部沟通流程和培训员工提出更精确的安全问题的能力。

2.攻击者的目标选择逻辑和攻击动机

攻击者选择目标主要基于两个驱动因素：一是"机会导向"，即通过技术手段发现某些组织存在明显的安全漏洞或防护不足，这些脆弱点为攻击者提供了便利的入口；二是"价值导向"，即目标组织本身具有重要的业务价值或包含有价值的资产，这促使攻击者不惜投入资源发起攻击。

在确定目标后，攻击行为又可以分为两种类型：CNE（计算机网络开发）和CNA（计算机网络攻击）。CNE以窃取数据为目的，强调隐蔽性和持续性；CNA则以破坏和瘫痪系统为目的，具有更强的破坏性。值得注意的是，攻击者通常会先进行CNE活动，因为CNA这种破坏性攻击会产生明显的"噪音"，容易暴露自己，使持续访问网络变得困难。这种策略安排反映了攻击者的战术思维：先潜伏收集，再考虑破坏。

现代网络攻击的一个重要特点：攻击者的行为既讲究机会主义，又充满战略性思考。理解这一点对于组织机构制定防御策略具有重要的指导意义。

3.网络攻击的四个关键阶段及其特点，以及红队模拟攻击与实际黑客攻击的异同

四个阶段依次为：

1. 研究阶段：通过情报收集了解目标组织

2. 初始访问：这是最具挑战性的阶段，需要突破边界防护，往往需要结合近距离物理接触来实现

3. 数据窃取/攻击执行：这是攻击的核心目的，可能是数据窃取或破坏性攻击

4. 清理撤离：抹除痕迹并离开目标网络

特别值得注意的是，红队测试与真实黑客攻击的一个重要区别：时间跨度。真实的攻击者可能会在网络中潜伏多年，耐心等待最佳时机；而红队由于任务性质所限，虽然也会进行一定时间的潜伏，但时间会短得多。这个差异反映了红队测试虽然可以模拟真实攻击的技术路径，但在持续性和耐心程度上还是存在一定局限。这也提醒组织在进行安全防御时，需要考虑比红队测试更长期的威胁存在可能性。

4.情报收集

研究对于建立有效的攻击策略至关重要。爱好、工作类型、会议、观察目标组织的纪律性和安全意识/周边意识等信息可以从多个来源获得，尤其是现在的社交媒体。这些数据的整合会影响我们的初始攻击策略。攻击者能够发现的信息越多，他们的攻击就越有效。社交媒体上的信息使得创建精心设计的定向钓鱼攻击成为可能。仅凭社交媒体上的内容，我们就能多次带着非常准确的伪造文件和证件出现在现场。

5.现代网络安全攻防中的一个核心问题：人为因素在安全防御中的关键弱点

现代社会工程学攻击的完整链条：从观察（工牌暴露）→信息收集（拍照、复制）→物理突破（尾随、密码获取）→最终渗透（网络访问）。其中包含了几个深层的安全启示：

在这里我要强调一下工牌使用规范。如果你不需要展示工牌就能到达你所在的地方，就把它收起来。你不需要在Chipotle（连锁餐厅）露出你的工牌。对我们来说，这是缺乏安全意识文化的一个重要指标，这会让攻击者非常兴奋，开始利用这种缺乏意识的情况，这对目标网络防御来说是很糟糕的。只需要一个相机（手机就很好用），一台可以从网上轻松购买的打印机，以及工牌卡片，就能很快获得。对于近距离感应卡，我们只需要带着装有板子和读卡器的背包走近那个工牌，就能获取工牌信息。

下一步我们需要建筑物的密码，这只需要跟着有工牌的人尾随进入。有几个技巧可以帮助获取密码。其中之一是我们可以用两个操作员，其中一个用白板笔在键盘按钮上做一些小点，然后跟在后面的人可以试图观察数字，如果没有看到全部数字，我们也能看到哪些白板笔标记被擦掉了，这能告诉我们使用了哪些数字，大大减少我们需要猜测的组合数量。

无论是使用近距离接触还是网络方法，这里的目的是获取网络访问权限。物理访问可以提供直接访问数据的机会，比如文件柜等。但现在大多数数据实际上都存在于计算机系统和网络中。所以这是我们的最终目标。初始访问是行动中风险最高的部分，往往比技术攻击更依赖于社会工程学。在这个阶段，攻击者必须找到一种方法穿过或绕过网络中防守最严密和监视最多的部分。如果由于缺乏训练、能力或补丁修复导致边界的某些部分容易受到攻击，那么可以降低我们在这个阶段的暴露和所需时间。

进入网络或建筑物最简单的方法是让某人为你开门。因此，大多数网络和物理渗透攻击都涉及某种社会工程学，或者说服用户/网络防御者让我们进入。使用近距离操作，有时可以直接获得服务器房间或数据中心的访问权限。物理访问通常也不像人们预期的那么危险。我们有一种非常乐于助人的文化。人们喜欢互相帮助。所以如果我能说服某人让我进入某个地方，那就是我的最终目标。

安全领域的一个根本悖论：我们构建了最先进的技术防线，但最终可能被最简单的人性弱点击破。这提醒我们，安全不仅是技术问题，更是一个需要全员参与的文化建设过程。真正的安全，不在于多高的墙，而在于每个人的安全意识。

6.物理安全与社会工程学的结合可以轻易绕过复杂的网络防御系统

结合剪贴板、假发票和基本的IT系统知识，通常就能让你进入管理员所在区域、数据机房，或者仅仅是到达一个随机的桌面，为场外团队启用远程访问以接收植入程序。我们很少观察到网络防御团队和物理安全团队之间的交叉沟通。因此，即使近距离接触团队被抓获，通常也不会提醒网络防御者这是网络攻击的一部分。

在我工作过的一个特别具有挑战性的网络中，需要结合网络和近距离接触工作才能进入该网络。我们在进入网络时遇到困难，但发现他们有一个经常有外部人员访问的设施，也就是说，有很多不在建筑物工作的人。这让我们感到很舒服，因为他们习惯看到陌生人在建筑物里。我们走了进去，带着一个无线接入点、剪贴板和一些其他东西。我们问前台最近几个月是否有任何网络连接问题。当然，每个网络都会有一些问题。他们说确实有过，虽然已经有一段时间了。

于是我们说要安装这个网络监控设备，用来监控网络连接和速度，帮助我们了解是否需要在未来升级他们的网络。他们听到这个消息非常兴奋，还帮我们找到了一个很好的位置。这是一个无线接入点，我们把它放在停车场旁边一个打印机附近的窗户旁。在接下来的一周里，我们只需坐在附近的停车场的车里，就从那个网络上拉取了许多GB的数据，完全绕过了网络防御。

后来我们发现，网络安全团队实际上多次出现，试图找出那个未经授权的无线接入点。然而，大楼里的工作人员对网络升级和改善工作效率如此兴奋，以至于他们为我们隐瞒了这件事，不告诉安全团队它在哪里，也不让他们进入放置设备的房间。正是这种建筑物工作人员与网络安全团队之间的整体沟通不足，以及能够阻止他们进入那个房间，使我们取得了成功。

攻击者通过三个关键步骤实现成功渗透：

1. 利用场所特点：选择了一个经常有外部人员出入的位置作为目标，这种环境天然降低了人们对陌生面孔的警惕性。

2. 巧妙的社会工程学：攻击者通过假扮IT维护人员，抓住了一个普遍存在的痛点（网络问题），提出了一个看似有利于改善工作条件的解决方案（网络监控升级），成功获得了员工的信任和配合。

3. 组织沟通缺陷利用：最致命的是利用了物理安全团队和网络安全团队之间的沟通鸿沟，以及基层员工与安全团队之间的利益冲突（员工因期待网络改善而主动隐瞒），这使得即便安全团队发现异常，也无法有效处置。

这个案例特别说明了为什么网络安全必须是一个整体性的解决方案，仅仅依靠技术防御是远远不够的。它需要组织各个层面的协同配合，包括物理安全、网络安全、员工培训以及部门间的有效沟通机制。

7.钓鱼攻击是网络入侵最有效的方法

迄今为止，获取目标网络访问权限最常见的方法是钓鱼攻击。钓鱼攻击与其说是网络攻击，不如说是一种社会工程攻击，试图说服某人做他们不应该做的事情。我们希望我们的钓鱼攻击故事刚好足够让用户想要做我们要求的事情，但又足够平淡，以至于几小时后他们就不再考虑它了。我们不希望他们对此有任何期待。

钓鱼是渗透目标网络风险最低且最成功的方式，可以在世界上任何地方执行。同时可以使用高级和低级技术。所以我们可以对很多人进行低级类型的攻击，或者对目标用户进行非常具体的、经过充分研究的攻击。经过充分研究的定向攻击需要更多时间来执行。然而，它有时允许我们直接去到我们想去的地方，而不是随机落在网络的某个地方。

对于更广泛的攻击，我们甚至可以在语言中故意加入错误，例如，攻击者经常使用这种技术，故意在邮件中使用糟糕的措辞和一些拼写错误，这样具有网络安全意识的人就不会点击它。但那些不太注意这类事情的人会安装或做我们想要他们做的事。因此，我们希望在社会工程学方面有更高的成功率，让他们做我们需要他们做的事。

攻击者采用了一种非常精妙的策略层级：一是"平淡化"策略，即设计的诱饵既要够吸引人采取行动，又不能太特别以免引起事后怀疑；二是"分层筛选"策略，通过故意在广泛式钓鱼邮件中加入拼写错误等瑕疵，实际上是在进行目标筛选 - 安全意识强的人会因为这些明显的错误而警觉，而安全意识差的人则会忽视这些警示信号。此外，攻击者还可以根据需要选择"广撒网"（低级但覆盖广）或"精准钓鱼"（高级但针对性强）的策略。这种多层次的策略设计显示了社会工程学攻击的精密性，它不是简单的欺骗，而是对人性弱点的精准利用。

8."水坑攻击"（Watering Hole Attack）的两个关键应用场景

这是一种高级的攻击策略，就像捕食者会在野生动物经常饮水的地方设伏一样。在网络安全中，攻击者首先识别并入侵目标组织成员经常访问的内部网站（"水坑"），然后通过这些被感染的网站作为跳板进行攻击。其价值体现在两个方面：1）可以作为初始入侵点，当外部人员访问被攻击者控制的网站时，实现对目标网络的渗透；2）一旦攻击者已经进入网络，还可以利用这种方法在内网中横向移动 - 通过控制内网网站，当组织内部人员访问这些网站时，攻击者可以利用这些人机器上的漏洞（特别是未打补丁的系统），从而扩大在目标网络中的控制范围。这种攻击方法特别危险，因为它利用了人们对内部网站的信任，而且不需要复杂的技术手段就能实现横向移动。

9.通过纯粹的技术漏洞进行外部渗透已经变得越来越困难

虽然红队在每次评估中都会尝试寻找外部系统的配置错误（如错误的服务器设置、不当的权限配置、错误的安全策略等），但这种简单的技术漏洞现在变得非常罕见。即使偶尔能发现一些可利用的目标，但只要组织做好三个基本防护措施：维护好边界防护（如网络边界的访问控制）、正确配置防火墙、及时更新外部系统补丁，通常就能有效阻止攻击者从外部直接入侵。

10.攻击者在成功入侵目标网络后的战术考量和决策逻辑

攻击者会根据目标组织的安全意识和防御文化来调整其攻击策略。具体来说，如果攻击者发现组织的安全文化薄弱（例如员工缺乏安全意识，部门间协作不足，安全措施松散等），他们会采取更激进、更快速的攻击方式，包括大范围扫描和明显的攻击行为；相反，如果发现组织具有强健的安全文化（如员工警惕性高，安全措施完善，监控严格等），攻击者就会采取更谨慎、更隐蔽的方式行动，以避免被发现。这种策略调整反映了攻击者的风险评估能力，也侧面说明了组织安全文化的重要性。

11.零日漏洞

在实际的网络攻击中，攻击者通常不会优先使用高级的零日漏洞来提升权限。这是因为三个主要原因：首先，零日漏洞非常昂贵且难以获取，投资回报比不高；其次，零日漏洞的有效期很短，一旦被发现就会被迅速修补，这使得它们成为一次性的"消耗品"；第三，攻击者通常会将这些珍贵的零日漏洞保留作为最后的手段，只在常规方法都失败且必须突破特定系统时才会使用。

安全启示：组织在做安全防御时，除了关注高级威胁，更应该注重基本的安全实践，因为攻击者往往会先尝试利用这些基本的安全漏洞。