什么是网络杀伤链?一种用于跟踪网络攻击的模型译者|李睿评论|梁策孙淑娟信息安全行业的人可能听说过使用“网络杀伤链”来帮助识别和预防网络攻击。网络攻击者在不断改进他们的方法,这需要以不同的方式看待网络杀伤链。以下是对网络杀伤链以及企业如何在自己的运营环境中使用它的分析。一、网络杀伤链的定义网络杀伤链又称网络攻击生命周期,是美国航空航天制造商洛克希德·马丁公司开发的一种模型,用于描述针对性网络攻击的各个阶段。它分解了防御者可以识别和阻止的恶意软件攻击的每个阶段。用军事术语来说,“杀伤链”是一种基于阶段的模型,用于描述网络攻击的各个阶段,这也有助于提供防止此类攻击的方法。网络攻击离杀伤链的起点越近,就越有可能被阻止。例如,网络攻击者拥有的信息越少,使用该信息完成网络攻击的可能性就越小。Cyber??KillChain将军事模型应用到网络攻击各个阶段的描述中,以便它们可以用来保护企业的网络。各个阶段如下图所示:要记住的一件事是:越接近攻击链的起点,就越能阻止攻击,清理所需的成本和时间就越少。如果企业在网络攻击进入他们的网络之前不阻止他们,他们将不得不修理自己的服务器设备并进行大量取证以查明他们窃取了哪些信息。2.网络杀伤链中描述的步骤网络杀伤链中描述的步骤与传统盗窃非常相似。小偷在试图渗透之前首先会侦察建筑物,然后通过几个步骤来窃取战利品。使用网络杀伤链来防止攻击者潜入网络需要大量的情报和对网络中正在发生的事情的可见性。因此需要知道什么时候不应该出现状态,以便可以设置警报来阻止攻击。下面详细介绍了网络杀伤链的7个步骤,以确定您应该问自己哪些问题,以确定它对您的业务是否可行。(1)侦察(2)武器化(3)交付(4)开发(5)安装(6)命令和控制(7)操作1.侦察在这个阶段,犯罪分子试图确定什么是(或什么不是)理想的目标。从外部来看,他们可以查看公司的资源和网络,以确定付出的努力是否值得。理想情况下,他们希望找到一个相对不设防且拥有有价值数据的目标。犯罪分子可以找到有关目标公司的哪些信息,以及如何使用这些信息,这会让人们大吃一惊。企业通常拥有比他们知道的更多的信息。企业的员工姓名和联系方式可以被网络攻击者用于社会工程目的,例如让他们泄露用户名或密码。那么,是否有关于网络服务器或在线物理位置的详细信息?此信息还可以用于社会工程,或用于识别可能对网络攻击有用的漏洞列表。这是一个难以控制的层面,尤其是随着社交网络的普及。隐藏敏感信息通常是一种成本低廉的更改,即使彻底查找信息可能很耗时。2.武器化、交付、利用和安装的四个阶段是网络犯罪分子利用收集到的信息制作工具来攻击选定目标的阶段。他们掌握的信息越多,社会工程学攻击就越有效。网络攻击者可以使用鱼叉式网络钓鱼方法,通过在其员工的LinkedIn页面上找到的信息来获取对公司内部资源的访问权限。或者他们可以将远程访问特洛伊木马程序放入包含有关即将发生的事件的重要信息的文件中,以诱使接收者运行它。如果网络攻击者知道公司的用户或服务器正在运行什么软件,包括操作系统的版本和类型,他们就可以利用并在公司的网络中安装一些插件。这些防御层是标准安全专家建议的来源。企业使用的软件是最新的吗?每个服务器都有防御层吗?大多数企业的计算机可能仍在运行Windows98操作系统,如果它连接到Internet,就等于为攻击者打开了大门。那么是否使用了电子邮件和网络过滤?电子邮件过滤是阻止攻击中使用的常见文档类型的好方法。如果需要以标准方式发送文件,例如在受密码保护的ZIP存档中,它可以帮助用户知道何时有意发送文件。Web过滤可以帮助防止用户访问已知的不良站点或域。USB设备是否禁用了自动播放?从安全的角度来看,让文件有机会在未经批准的情况下运行并不是一个好主意。最好让用户有机会在发布前停下来思考他们所看到的内容。您是否正在使用具有最新功能的端点保护软件?虽然端点保护软件并非设计用于处理全新的针对性攻击,但有时它们可??以根据已知的可疑行为或已知的软件漏洞捕获威胁。3.指挥与控制威胁一旦进入企业网络,接下来的任务就是等待命令。这可能是为了下载其他组件,但更有可能是通过命令和控制(C&C)通道联系到僵尸程序。无论哪种方式,这都需要网络流量,这意味着这里只有一个问题:是否有入侵检测系统,该系统是否设置为对所有与网络接触的新程序发出警报?如果威胁已经发展到这种地步,它就已经对机器进行了更改,需要IT人员做更多的工作。一些行业或企业需要对受到网络攻击的机器进行取证,以确定哪些数据被盗或被篡改。这些受影响的机器要么需要灾难恢复,要么需要重新备份。如果数据已经备份并且可以在机器上快速替换,则可能成本更低,耗时更少。4.操作杀伤链的最后一步是网络攻击本身,例如中断服务或安装恶意软件,但需要记住操作步骤是为了实现预期目标,一旦它们被成功中断、破坏或过滤,网络攻击者可以重新进入并重新做一遍。PreemptSecurity首席执行官AjitSancheti表示,网络攻击的预期目标通常是获利,并且可以采取多种形式。例如,网络攻击者可以使用受损的基础设施进行广告欺诈或垃圾邮件、勒索企业赎金、出售他们在黑市上获得的数据,甚至将被劫持的基础设施出租给其他犯罪分子。“网络攻击变得更有利可图,”他说,并补充说,加密货币的使用使网络攻击者更容易、更安全地获得赎金,这改变了网络攻击背后的动机。参与使用被盗数据的不同群体的数量也变得更加复杂。这可以为企业创造机会与执法部门和其他团体合作来破坏攻击过程。“以被盗的支付卡信息为例,”Splunk安全研究主管MonzyMerza说。“一旦信用卡数据被盗,网络攻击者就会测试这些数字,出售它们,并用它们购买商品或服务。反过来,必须出售服务才能将其转换为现金。”他说,所有这些都在传统的网络攻击杀伤链之外。黑市生态系统影响网络攻击生命周期的另一个领域是,在网络攻击开始之前,攻击者将共享受损凭据、易受攻击的端口和未打补丁的应用程序列表。3.网络杀伤链面临的问题最近的事件充分表明,网络攻击者并不遵守某些规则。他们要么跳过一些步骤,要么添加一些步骤。最近一些最具破坏性的网络攻击绕过了安全团队多年来精心构建的防御措施,因为他们遵循不同的计划。根据AlertLogic2018年的一项调查,88%的攻击将杀伤链的前五个步骤合二为一。近年来,人们还看到了加密货币挖矿恶意软件的兴起。AlertLogic首席威胁研究员MattDowning表示,“他们使用的技术忽略了传统步骤,所有早期缓解和检测技术都不起作用。”此外,网络攻击者不必窃取有价值的数据,然后尝试在黑市上出售。卖。他补充说,“他们可以直接将受损资产货币化。“而且凭据受损的攻击(网络攻击者使用看似合法的数据登录并使用这些帐户窃取数据)也不适合传统的攻击框架。”在这种情况下,洛克希德马丁公司的杀伤链显然符合不适用。“另一种不符合传统模式的攻击类型:Web应用程序攻击。当企业的应用程序暴露在网络上时,任何人都可以访问它,”VirsecSystems的创始人兼首席技术官SatyaGupta说。这就像在你家打开一扇门。“例如,Equifax漏洞被追溯到ApacheStruts网络服务器软件中的一个漏洞。虽然该公司已经为该漏洞安装了安全补丁并且可以避免该问题,但有时软件更新本身会受到损害。”Cyber??ArkLabs网络研究团队负责人LaviLazarovitz表示,物联网、DevOps和机器人过程自动化等其他变革性技术也在以不适合传统网络杀伤链模型的方式增加攻击面。传统的网络攻击生命周期也错过了所有攻击都不涉及企业系统的情况。例如,企业越来越多地使用第三方软件即服务(SaaS)提供商来管理其宝贵数据。Cyber??eason高级总监RossRustici表示:“考虑到登录人数,问题的规模会随着存在的第三方连接数量呈指数级增长。如果核心网络遭到破坏,企业可能面临4.Cyber??KillChainvs.MitreATT&CK网络威胁不断演变的本质让一些企业寻求更灵活、更全面的网络攻击思考方式,业界领先的竞争者是MitreATT&CK框架。Obsidian安全官BenJohnson表示:“这是一场大规模的活动,旨在展示与杀伤链中每一步相关的真实世界攻击技术,并且受到了供应商和社区的热烈欢迎。Jask的安全研究主管RodSoto警告不要过度依赖框架。“对抗漂移本质上是动态的,”他说。随着新的防御措施变得过时,网络攻击者的工具、技术和程序将继续发生变化。像网络杀伤链这样的框架可以成为我们工具包的一部分,但作为安全专业人员,我们有责任继续创造性地思考,以跟上网络攻击者的创新步伐。》原文链接:https://www.csoonline.com/article/2134037/what-is-the-cyber-kill-chain-a-model-for-tracing-cyberattacks.html
