对于信息安全防御，Mike Hamilton肩负着艰巨的任务。

作为美国西雅图市的首席信息安全官，Hamilton的责任延伸到各种其他部门的网络，例如该市的警察和消防部门。为了保护这些网络，Hamilton不仅需要专注于防御，还需要能给攻击者制造障碍。

在2007年，Hamilton开始与美国国土安全局以及华盛顿大学合作创建了一个系统来收集全球威胁数据，目的是尽可能快地检测出该市的医院、紧急服务和其他重要基础设施的网络中的攻击活动。通过让攻击者没有时间完全利用这些网络中的漏洞，Hamilton试图提高每次攻击的失败率以及让攻击活动变得更加昂贵。并且，由于该市与州和联邦执法的关联，他们还可以试图关闭攻击者的基础设施。（编者按：去年10月，Hamilton已经离任西雅图市的首席信息安全官职务）。

“如果你攻击我们，我们就会追踪你，”他表示，“而且我相信这会提高攻击者攻击我们的成本。”

与Hamilton一样，CISO们在制定战略来保护其网络时，都开始考虑攻击者的成本。很多CISO认识到，攻击者已经找到方法来绕过大多数企业部署的普通防御措施，所以他们开始专注于让黑帽攻击者的整个攻击活动变得更加昂贵、复杂和容易失败。

NSS实验室安全咨询研究副总裁John Pirc表示，在认识到攻击者可以绕过防火墙、终端的防病毒软件以及入侵检测系统后，企业应该加强防御，“纵深防御的整个模式都很好，但是企业需要离开自己的舒适区，让攻击者的工作变得困难。”

事件响应公司Mandiant首席安全官Richard Bejtlich表示，攻击者的成本主要以时间来衡量，因此，提高攻击者完成其任务时间的防御战略可以增加其成本。延迟攻击者的战略也可能给企业更多时间来发现攻击，并挫败攻击者的计划。Bejtlich在2009年创造了“黑帽预算”的术语，当时他试图想象攻击团伙用100万能做什么。

“如果你不能超过攻击者完成其任务的速度，那么，他就赢了，”Bejtlich表示，“如果他不能完成他来这里的目的，那么防御企业就赢了。”

了解你的网络

当攻击者保持隐蔽时，他们只要花最少的精力和时间就能实现攻击目标。出于这个原因，Bejtlich建议，每个企业都应该开始对网络中正在发生的情况进行检测，并获得相关可视性。在攻击者入侵系统时尽快发现攻击者要比当他们访问数据时发现他们更好，他表示：“当他们正在窃取你的数据时，你宁愿没有抓住他们。”

例如，攻击团伙在入侵《纽约时报》后的一个月后才渗出数据，Bejtlich的公司负责调查其中部分攻击。如果该出版公司在攻击者完成其任务前检测到攻击活动，他们可能有时间安装成功的防御技术。

在检测到攻击后，企业需要部署额外的防御措施，或者更改现有防御，迫使攻击者来改变。通过改变防御来对付现有攻击，以及关闭已知攻击途径，企业可以迫使攻击者改变其攻击方法，而这会提高他们的攻击成本。

“培训攻击人员是很难的，”专注于攻击者情报的安全咨询和服务公司CrowdStrike联合创始人兼首席技术官Dmitri Alperovitch表示，“如果每次他们攻击你的时候，你都迫使他们做出一些改变，这必然会提高他们的成本。”

请继续阅读《提高攻击者的成本（二）》