本章的責任是以攻擊者成本與收益模型補強紅隊判讀,讓服務團隊能先處理最可能被優先利用的缺口。

本章寫作邊界

本章聚焦攻擊成本、操作複雜度、可擴散性與可隱匿性,不討論特定攻擊團體情報。

成本與節奏模型

成本模型的核心責任是把攻擊路徑轉成可排序的防守優先序。

  1. 初始成本:發現入口、取得第一個可用身分或會話的難度。
  2. 維持成本:持續存取與避免被發現所需的代價。
  3. 擴散成本:從單點突破擴大到多資產影響的代價。
  4. 兌現成本:把存取能力轉成資料外送或業務中斷的代價。

行動節奏的核心責任是定義攻擊者如何在時間上壓縮防守反應空間。

  1. 偵察:尋找可枚舉入口與弱邊界。
  2. 利用:快速取得可重放能力或高權限落點。
  3. 站穩:維持存取並降低被偵測機率。
  4. 放大:橫向擴散、資料外送或操作中斷。

判讀流程

判讀流程的責任是把事件訊號轉成防守資源分配。

  1. 先判讀目前異常屬於哪一個攻擊節奏階段。
  2. 再判讀攻擊者在該階段的成本是否偏低。
  3. 接著優先提高對方成本最低的環節。
  4. 最後回寫到控制面,調整下一輪優先序。

問題節點(案例觸發式)

問題節點判讀訊號風險後果對應章節
低成本高回報入口存在可枚舉入口與重放路徑同時存在攻擊者快速重複利用7.R1 + 7.3
擴散成本過低身分與授權邊界過寬橫向擴散效率提升7.2 + 7.6
隱匿成本過低稽核訊號密度不足事件偵測與回查延後7.7 + 7.13
回復成本過高回退與收斂缺乏演練業務中斷時間拉長7.9 + 08

防守方的成本轉移策略

成本轉移策略的責任是讓攻擊者在每個階段都付出更高代價。

  • 提高初始成本:縮減可枚舉入口、強化認證條件、降低重放機會。
  • 提高維持成本:縮短 token 時窗、提升異常活動可見度。
  • 提高擴散成本:強化最小權限與跨邊界隔離。
  • 提高兌現成本:收緊匯出路徑與高風險操作節奏控制。

案例觸發參考

案例觸發的責任是驗證成本模型是否貼近真實攻擊節奏。

下一步路由

  • 身分與會話收斂:7.27.6
  • 偵測與證據強化:7.77.13
  • 事故收斂與復盤:08-incident-response