网络杀伤链是洛克希德·马丁公司十多年前提出的。基本思路是,攻击者通过侦察发现漏洞,开发漏洞进入系统,安装恶意软件连接控制服务器(C2),横向移动寻找目标并窃取数据。防御者按照这些步骤设置检测和保护机制以阻止攻击。但是这个框架并不完美,从设计之初就不适用于很多攻击手段。例如,一些直接攻击,如非法访问公共数据库、DDoS攻击,或一些第三方攻击,很少或根本看不到攻击者在做什么。现在,在纵深防御和零信任的时代,这个框架更加无关紧要。杀伤链正在失去价值,主要是因为许多攻击类型跳过了上述七个步骤中的一些步骤。例如,勒索软件攻击涉及恶意软件安装和横向移动,但可以跳过拖走数据的步骤,除非攻击者进行二次勒索。再举一个例子,一个不安全的API可以让攻击者窃取它访问的所有数据。API正在成为一种常见的攻击媒介,因为它可以直接渗透到系统中,而那些边界和区域的保护层就像假货一样。.最后,攻击者还可以用金钱来跳转杀伤链中的链接。例如,他们可以在黑市上购买被盗的凭据并使用这些凭据来访问公司基础设施。通常,一些从暗网购买的云或K8s证书被用来悄悄地使用受害者的计算资源进行挖矿。最常见的一步攻击,用于从不安全或安全性差的AWS存储桶中窃取数据。今年1月,Bonobos男装店的整个客户数据库,约70GB的个人信息被泄露。该公司在没有适当保护的情况下将备份文件存储在云端。这些数据可以通过互联网直接访问,黑客不需要杀伤链中的大多数步骤,例如武器化、交付、安装或命令和控制。Emetic去年秋天专门针对AWS存储桶进行的一项调查显示,在研究人员抽样的AWS环境中,超过70%的机器都暴露在Internet中,并且有被入侵和执行勒索软件的风险。事实上,网络犯罪分子不断发展的商业模式是杀伤链失去防御价值的一个重要原因。也就是说,不同的攻击者专注于自己擅长的领域,然后将结果卖给其他人,不再是由多个链式步骤组成的单一攻击。供应链攻击颠覆杀伤链对第三方合作伙伴的攻击让杀伤链失去意义,通过黑客攻击第三方获得目标公司的访问权限,典型的例子是2013年的Target事件,因为其空调系统供应商被黑客入侵。最近发生的供应链安全事件,例如SolarWinds。入侵可能完全发生在第三方环境中。例如,第三方服务提供商可以访问财务数据、人事记录、敏感IP或客户信息。在第三方不可见的情况下,这会造成很大的安全盲点。随着API、云应用和系统集成的趋势,针对第三方的攻击成为常态。从业务角度来看,能够跨企业边界连接数据和服务无疑具有巨大的优势。但与此同时,安全问题往往被忽视。攻击者考虑的是图表,而不是链接标准的网络杀伤链可能具有误导性,因为认为攻击者遵循一组特定的步骤来破坏目标。但这远非事实,攻击者没有固定的规则。相反,攻击者会尝试一切可行的方法。一次成功的网络攻击与其说是一条从侦察到目标的直线,不如说是一棵树或一张有节点和边的图。边是攻击者从一个节点到另一个节点的路径,但存在多个边,而不是单个链接。杀伤链之外的ATT&CK与MITREATT&CK框架进行比较可以看出杀伤链的不足之处。ATT&CK非常详细,包括超过200种不同类型的攻击者可能采取的TTP(战术、技术和程序)。它涵盖了攻击者使用的方法,是攻击活动的百科全书。尤其是基于杀伤链思想很难发现的攻击方式有很多,比如前面提到的S3桶攻击、拒绝服务攻击、供应链攻击等。现实情况是存在多个杀伤链(攻击路径),而不仅仅是一个。而且ATT&CK并不完美,攻击者总会想出新的攻击方法。但有一点,至少目前许多成功的入侵都是由于未能保护ATT&CK框架中现有的TTP。换句话说,如果我们保护MITRE框架中的所有内容,即使使用零日漏洞也很难造成巨大破坏。一个结合杀伤链和ATT&CK特点的“统一杀伤链”会更有效。首先,它比传统的killchain更深入、更细粒度,同时还具有关注攻击者动作顺序的特点。最后,它会不断更新和修订,包括缓解和检测,以跟上不断变化的威胁。新攻击的零信任在适应新的攻击方法时,零信任是一个好主意。“不断验证,永远怀疑”是当前网络安全领域的流行语。似乎只要没有信任,一切问题都能迎刃而解。但从目前的实施情况来看,理论是好的,实践是难的。尽管如此,至少零信任理念可以帮助组织摆脱传统的杀伤链背后的外围或城堡防御方法。众所周知,边防的弱点是突破就是自由。打个形象的比喻,就是外面是坚硬厚实的铠甲,里面是柔软脆弱的躯体。零信任并非如此。每个应用程序,每个数据节点都有自己的“盔甲”。这可以防止攻击者获得立足点以横向移动并进入信息系统的核心。Killchain仍有价值虽然killchain已经不适合现在的攻击环境,但是它还是有一定的价值的,比如在威胁建模方面非常有用。还是以上面的S3bucket为例。站在攻击者的角度思考,如何发现存储桶中的敏感数据,如何实施入侵,最终获取数据?这就是威胁建模,了解风险在哪里,潜在的漏洞在哪里,以及攻击者是如何实施的,每一步,这就是威胁建模。然后采取相应的安全措施,保证攻击者无法成功完成这些步骤,杀伤链模型帮助完成了这个过程。对于目前的很多攻击方式,尤其是第三方攻击,killchain确实已经不适用了。但攻击者仍然需要建立C2、横向移动并拖走数据,而杀伤链仍然是分析这些威胁的有效框架。安全团队需要扩展他们的传统模型以包括,例如,供应商或源代码妥协。
