7.R9 攻擊者成本與行動節奏
7.R9 攻擊者成本與行動節奏
本章的責任是以攻擊者成本與收益模型補強紅隊判讀,讓服務團隊能先處理最可能被優先利用的缺口。
本章寫作邊界
本章聚焦攻擊成本、操作複雜度、可擴散性與可隱匿性,不討論特定攻擊團體情報。
成本與節奏模型
成本模型的核心責任是把攻擊路徑轉成可排序的防守優先序。
- 初始成本:發現入口、取得第一個可用身分或會話的難度。
- 維持成本:持續存取與避免被發現所需的代價。
- 擴散成本:從單點突破擴大到多資產影響的代價。
- 兌現成本:把存取能力轉成資料外送或業務中斷的代價。
行動節奏的核心責任是定義攻擊者如何在時間上壓縮防守反應空間。
- 偵察:尋找可枚舉入口與弱邊界。
- 利用:快速取得可重放能力或高權限落點。
- 站穩:維持存取並降低被偵測機率。
- 放大:橫向擴散、資料外送或操作中斷。
判讀流程
判讀流程的責任是把事件訊號轉成防守資源分配。
- 先判讀目前異常屬於哪一個攻擊節奏階段。
- 再判讀攻擊者在該階段的成本是否偏低。
- 接著優先提高對方成本最低的環節。
- 最後回寫到控制面,調整下一輪優先序。
問題節點(案例觸發式)
| 問題節點 | 判讀訊號 | 風險後果 | 對應章節 |
|---|---|---|---|
| 低成本高回報入口存在 | 可枚舉入口與重放路徑同時存在 | 攻擊者快速重複利用 | 7.R1 + 7.3 |
| 擴散成本過低 | 身分與授權邊界過寬 | 橫向擴散效率提升 | 7.2 + 7.6 |
| 隱匿成本過低 | 稽核訊號密度不足 | 事件偵測與回查延後 | 7.7 + 7.13 |
| 回復成本過高 | 回退與收斂缺乏演練 | 業務中斷時間拉長 | 7.9 + 08 |
防守方的成本轉移策略
成本轉移策略的責任是讓攻擊者在每個階段都付出更高代價。
- 提高初始成本:縮減可枚舉入口、強化認證條件、降低重放機會。
- 提高維持成本:縮短 token 時窗、提升異常活動可見度。
- 提高擴散成本:強化最小權限與跨邊界隔離。
- 提高兌現成本:收緊匯出路徑與高風險操作節奏控制。
案例觸發參考
案例觸發的責任是驗證成本模型是否貼近真實攻擊節奏。
- 低成本入口到快速擴散: Uber 2022
- 低成本會話劫持到高回報存取: Citrix Bleed 2023
- 供應鏈低成本滲透到高影響傳導: XZ Backdoor 2024
下一步路由
- 身分與會話收斂:
7.2、7.6 - 偵測與證據強化:
7.7、7.13 - 事故收斂與復盤:
08-incident-response