我们一直都处于优势地位，我们拥有端点。

对抗任何对手的一个共同点是什么？在攻击者和防御者间的斗争中，最宝贵的“制胜秘诀”是什么？到目前为止，对手始终拥有的一个优势是什么？SentinelOne 首席安全技术专家 Scott Scheferman 写道，答案就是时间本身。

威胁 (从WannaCry和NotPetya到MegaCortex和RobinHood) 之所以能够取得成功的原因其实并不复杂。它们只是始终走在了我们前面而已，远在我们能够阻止它们之前就成功实现了入侵。威胁正在以 “机器速度” 不断向前发展，然而，我们的防御能力并没有达到这种程度。威胁是高度自动化的，然而，我们的防御并不是！

WannaCry 可以说是有史以来复杂程度最低且写得最差的勒索软件有效载荷之一。但正是由于其惊人的传播速度，最终战胜了企业的防御机制并击溃了反应落后的事件响应团队，为全球企业造成了难以挽回的惨重后果。

确实，这篇文章最重要的一个观点就是 “我们的防御速度滞缓”。大多数威胁并没有极其复杂的技术和战略内容，它们的制胜秘诀就是比我们的防御速度更快！这就是为什么我们今天仍然无法像两年前一样对即将到来的BlueKeep蠕虫做好准备的原因。

我们告诉自己的那些谎言

那么我们如何才能赢得时间呢？答案是，我们可以从揭露并颠覆这些不真实的 “谎言” 开始：“这是一个关于‘何时’ (when) 的问题，如果不是，我们将受到损害” 以及 “攻击者只需要正确一次就能获得成功，而防御者则需要始终保持正确才能阻止一次违规行为。”

事实是，如果我们作为防御者无法控制 “何时”，那么它就只能成为一个 “如果……那就（不）” 的问题。

事实是，我们大多数人在过去的 3 – 4 年中已经建立了庞大的且极度混杂的解决方案堆栈，其中绝大多数只能在事实发生后为我们提供帮助。然后，我们又花了 1 – 2 年的时间试图让所有人能够相互交流，以了解组织究竟发生了什么事情。但结果仍然是太少、太晚！

当我们将最好的（和非常稀有的）人才淹没在繁复的工作中时，对手就会从中受益。跟踪根本原因分析（RCA，一种解决问题的方法，其基于这样的理念：解决问题的最好方法是修正或消除问题产生的根本原因，而不是仅仅消除问题带来的表面上显而易见的不良症状）；审查假阳性警报；不断改进我们的 “剧本” 以适应我们所期待的事件；我们已经完全丧失了对事件整体情节的掌握……而这一切无人可怪，要怪只能怪我们自己。大多数安全供应商只会构建一些他们认为企业感兴趣的东西，而且他们的投资者都希望他们能有涉及 “云” 的项目……希望他们拥有基于订阅的 OPEX 模型，希望他们出售警报量、宽带、数据保留、每秒事件数以及 pew-pew 激光地图等等。

我们站在这里一遍又一遍地做着同样的事情，同时期待获得更好地结果。我们面对数百万的人才缺口，但是我们仍然将无数繁复的任务——事后分析、警报、误报、捕获、根本原因分析活动——压在为数不多的几名疲惫不堪的分析师身上。

端点是网络安全的战场

击败对手的关键是要了解他们的去向，他们到达目标点后会做些什么，然后采取能够预见敌人行动路径的措施，以顺利阻断他们的前行道路。而这场战争的战场就在端点……没错，就是你的端点。这是发起攻击的地方，同时也是获得持久性的地方；这是横向移动来往反复的地方；这是流程被注入的地方，是网络数据包源自的地方，是数据存在的地方也是最终用户创建的地方；这是恶意行为者渗透的入口，而且这几乎总是根本原因分析 (RCA) 最终指向的目标。

我运营了事件响应小组多年，且非常有幸地访问过成千上万的妥协评估报告。我已经可以告诉你你的 RCA 结果将会是什么样；我知道他们是如何侵入的——鱼叉式网络钓鱼、社会工程手段、远程桌面协议 (RDP)、易受攻击的 Web 服务、内部威胁，以及您的托管安全服务提供商 (MSSP) 或第三方/供应链。

遗憾的是，我们大多数人可能没有在每个面向外部的应用程序上运行多因素身份验证 (MFA) 机制；或者，我们仍在运行不需要的 RDP 服务，并期待将它们放入VPN中会有所不同；也可能我们仍未修复我们的软件安全开发生命周期（SSDLC），因为我们没有权力或是能力来实现这样做所需的文化变革。而且没错，我们的最终用户仍在点击内容，因为这就是最终用户在用于点击内容的设备上所做的事情！他们不是问题，而且有效地培训他们只是部分解决方案，即使我们对他们的行为有了可衡量的改进。

如果我们想要赢得胜利，就必须控制自己的端点。控制端点与被动地了解端点发生了什么事情并不是一回事，它指的也不是从备份中还原端点的能力。它指的是在流程级别和软件安全开发生命周期上对其进行控制。

如果我们拥有世界上所有的可见性：完全透明的视角，20/20 的视觉（即正常人 20 feet 能看清的东西你在 20 feet 之外也能看清）以及完美的后见之明，但是它却无法在坏事发生之前足够快地通知我们采取行动，那么我们所获得的这些可见性就是对宝贵（人力）资源的无意义浪费，同时也是问题的根源所在。

扭转对抗局面

现在是时候扭转战局，为实现防御者的利益赢得时间了。在前文中，我提出了一个误导性的看法，即我们习惯告诉自己：攻击者只需要正确一次就可以取得成功，而防御者则需要始终（100% 的时间）保持正确才能阻止一次违规行为。

现在，我们重新整理一下这种说法，让它利好于我们：攻击者在取得成功前的每一步都必须是正确的，而防御者只需要正确一次就可以阻止破坏行为的发生。

事实上，我们一直都处于优势地位。我们拥有端点。这是我们的领地。我们能够控制发生了什么，以及没有发生什么。我们只是没有实施足够主动的“机器速度”防御措施来跟上威胁的步伐。

我们可以在恶意行为者行动之前护住内核；我们可以在他们站稳脚跟之前确定合法程序；我们可以知道大多数不良行为者在到达端点之前曾在其中做了什么；我们可以在恶意行为者侵入系统之前，利用神经语言程序学 (NLP) 和机器学习 (ML) 很好地了解潜在的恶意活动的全局；我们可以卸载任何我们认为容易受到攻击或威胁的软件；我们也可以撤销任何未经授权的软件或用户对操作系统所作的更改。

我们完全有能力走在恶意行为者前面。如果我们看到从 Word 文档派生 PowerShell 来获取远程文件，就可以在进程完全在内存中运行之前终止该进程。我们可以实现这一切，因为这是我们的领地，是我们的端点。

如果 MITRE ATT&CK 框架说明了一件事情，那就应该是：我们可以并且需要能够插入一条主动杀伤链。ATT&CK 框架是对抗性的策略、相关技能和共识。框架自身的攻击性质可以让安全工作着从攻击视角，深入了解安全事件。ATT&CK 是不同团队、组织间沟通交流的语言。它的构造依赖攻防策略，以及攻击者可能采用的战术、技术，关注最严重的脆弱点。

大多数攻击是自动化的，但是其自动化并不复杂，适应性也不强。我们完全有能力阻止这些攻击发生在我们控制的领域（端点）中。

因此，应该说 “攻击者在取得成功前的每一步都必须是100%正确的”，如果他们想要成功，他们就必须每一步都做到正确无误。更重要的是，我们能够发挥主动性，以能够预见其行为的方式成功阻止他们！

就是现在！

时间是战斗，端点是战场。为了在 “机器速度” 领域赢得时间的胜利，我们必须实现自动化。为了实现自动化，我们必须确信它不会破坏企业业务或使命。为了足够快地获得信心，我们必须在适当的时间和地点充分利用高可信度的静态规则，以及 NLP 或其他形式的 ML。我们必须能够在主机上快速组合足够的事件，以提供足够的上下文来识别恶意活动并立即对其进行干预。

除此之外，我们的情报必须成为战斗力所在，并允许自动化以机器速度运行。如果我们能够认清重点，并在端点上赢得时间优势，那么我们就有能力领先威胁一步，并解决我们的身份、凭证、物联网、内部威胁、软件安全开发生命周期以及供应链安全问题。