Cyber-Kill-Chain-網絡殺傷鏈
“網絡殺傷鏈”,是美國國防承包商洛克希德·馬丁公司(Lockheed Martin)提出的網絡安全威脅的殺傷鏈模型(普遍適用的網絡攻擊流程與防御概念,參考軍事上的殺傷鏈(Kill Chain)概念)。
內容包括成功的網絡攻擊所需的七個階段:偵察跟蹤、武器構建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成。
針對網絡殺傷鏈的防御對策
洛克希德·馬丁公司在2015年發布的白皮書中提出預防措施,以降低上述每個階段的影響程度。
1、偵察跟蹤
描述:攻擊者進行探測、識別及確定攻擊對象(目標)的階段。信息一般通過互聯網進行收集(內容包括網站、郵箱、電話、社會工程學等一切可能相關的情報)
預防:偵察跟蹤階段往往是防守方感知比較少的階段;應關注於日常異常流量、日志和數據(特別是已經泄露的數據),將其存儲備查是必要的,更重要的是建立和優化分析模型。
2、武器構建
描述:攻擊者通過偵察跟蹤階段確定目標、收集足夠的信息后,准備網絡武器的階段。網絡武器一般由攻擊者直接構建或使用自動化工具構建等。
預防:武器構建行為本身對於防守方來說幾乎無感知,但又與防守方的“資源”密切相關,武器的構建需要基於“資源”的漏洞或缺陷(包括操作系統、應用軟件、甚至社會工程);應關注“資產”相關漏洞、補丁、修復流程是否完備。
3、載荷投遞
描述:攻擊者將構建完成的網絡武器向目標投遞的階段。投遞方式一般包括釣魚郵件、物理USB投遞等。
預防:防護策略在該階段尤為重要,雲防護、邊界防護、區域防護、系統防護、應用防護等,應關注是否具備且有效防護措施,另外安全意識也同樣重要,人的弱點往往比設備的弱點更容易被利用。
4、漏洞利用
描述:攻擊者將網絡武器投遞到目標系統后,啟動惡意代碼的階段。一般會利用應用程序或操作系統的漏洞或缺陷等。
預防:安全檢測、安全監測、阻斷+審計,這就是日常的安全監控工作(看大門的工作,重要!)
5、安裝植入
描述:攻擊者在目標系統設置木馬、后門等,一定期限內在目標系統營造活動環境的階段。
預防:在最短的時間內發現並隔離,關注終端/服務器安全管理策略、防病毒。
6、命令與控制
描述:攻擊者建立目標系統攻擊路徑的階段。一般使用自動和手工相結合的方式進行,一旦攻擊路徑確立后,攻擊者將能夠控制目標系統。
預防:洛克希德·馬丁公司描述此階段為“防御者阻止攻擊的最后機會......如果對手無法發出命令,防御者便可控制影響”,此階段正是考驗響應策略的最后一次嘗試,所以更應關注訪問控制。
7、目標達成
描述:攻擊者達到預期目標的階段。攻擊目標呈現多樣化,可能包括偵察、敏感信息收集、數據破壞、系統摧毀等。
預防:雖然木已成舟,但仍需要集中精力把損失降低到最小,吸取教訓、改進措施,才能避免在同一個地方摔倒兩次。
總結:現階段大部分的攻擊者可能都在遵循上述的步驟, 但APT(高級可持續攻擊)趨勢正在迅速增長,甚至未知威脅,所以防御對策也必須要不斷的更新迭代來應對這潛移默化的威脅。
【參考】
- https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf