Black Hat：为何预防失效，攻陷后检测才是关键

网络安全行业，正如在Black Hat等主要会议上所展示的，通常呈现出统一的阵线：供应商普遍声称能保护、防御数字资产，并频繁利用人工智能。然而，在相似的信息传递表面之下，对于寻求真正解决方案的组织而言，一个关键挑战浮现：如何辨别哪些产品真正应对了不断演变的威胁格局。深入审视会发现，虽然预防仍然是主导主题，但对现代企业而言，更紧迫的问题在于其检测已发生入侵的能力。

普遍关注“将攻击者拒之门外”无疑是必要的，但这忽略了当今复杂威胁行为者运作方式的根本转变。当代攻击者越来越多地通过不依赖破坏性漏洞或恶意软件来绕过传统防御。相反，像Scattered Spider、Volt Typhoon和Mango Sandstorm等组织通过看似无害的方法获取访问权限并升级控制。这些攻击者将合法工具和凭据武器化，利用被盗的会话令牌或滥用联邦身份系统，以无缝融入授权网络活动。初始攻陷通常始于一个安全工具无法阻止的事件：使用有效凭据成功登录。

一旦进入，这些入侵者利用原生系统工具在环境中导航，通过受信任的身份路径升级权限，通过OAuth应用等看似良性的应用程序建立持久性，并悄悄地窃取敏感数据。至关重要的是，他们的方法不涉及公开的漏洞利用或恶意二进制文件。他们的行为看起来就像“属于”系统。这给传统的安全控制带来了巨大挑战，因为这些控制通常配置为标记外部或明显恶意的活动。由于凭据有效且访问路径被允许，这些操作通常不会生成警报。此外，关键日志（如果未被攻击者删除或更改）往往提供不完整的叙述。大多数现有防御旨在识别异常或明显敌对的行为，而不是合法但被滥用的行为。在许多真实世界的事件中，尽管部署了强大的预防工具，但它们实际上在观察错误的指标。今天的攻击不会显眼地突出，它们会精心融入。

这种不断演变的威胁格局要求对安全策略进行根本性的重新校准，这体现在“假定攻陷”原则中。这不仅仅是一种思维转变；它应该成为评估网络安全供应商的实用过滤器，尤其是在每个解决方案都声称能阻止攻击时。组织无需成为所有可用网络安全产品的专家。相反，重点应放在理解攻击者行为上，然后严格质询供应商检测和响应此类活动的能力。

对供应商的关键问题应深入探究其初始访问后的能力。解决方案如何在攻击者获得立足点之后检测活动？当攻击者使用有效凭据时，有哪些机制可以识别横向移动？当用户在云应用程序中的会话令牌被劫持时，产品如何处理？解决方案能否在各个层面——云环境、身份系统和网络基础设施——全面检测可疑行为，还是其可见性仅限于单一领域？此外，当关键日志被泄露或删除时，供应商提供哪些检测和响应能力？如果供应商的响应主要承诺增加警报噪音或完全依赖于预防和日志分析，这表明他们可能不具备在攻陷已经发生时提供协助的必要工具。

当入侵不可避免地发生时，决定性因素就变成了可见性——不仅仅是对原始系统遥测数据的可见性，更是对攻击者行为细微模式的可见性，这些模式在不同环境中无缝关联。有效的解决方案必须展示在不完全依赖可能被绕过或操纵的代理或日志的情况下检测恶意活动的能力。它们应识别关键的攻击者行为，如侦察、凭据滥用和持久性，并关键地将这些行为与身份系统、网络流量和云环境关联起来，以构建全面的图景。此类平台还应提供可操作的分类，以减少警报疲劳而非加剧疲劳，最终揭示完整的攻击路径而非仅仅是孤立的事件。这些能力不能浮于表面地展示；它们的效力体现在产品如何解释和情境化事件上，明确区分一个仅仅呈现数据的系统和一个能够洞察攻击者意图的系统。

虽然许多供应商继续推销绝对防范入侵的承诺，但现实是现代攻击者不再试图“闯入”；他们正在“登录”。他们利用信任，本质上已经身处其中。对于网络安全买家而言，关键问题不再是能否在边界阻止攻击者，而是在他们获得访问权限后，他们的行为能否被检测和理解。这种范式转变要求将新的重点放在强大、基于行为的检测上，以识别并响应攻陷的微弱信号。