作为一名信息安全从业人员你鈳能已经听说过使用 " 网络杀伤链 "（也称为 " 网络攻击生命周期 "）来帮助识别和防止入侵。但是攻击者正在不断发展自身的攻击技能，所以这可能需要我们用辩证的眼光来看待 " 网络杀伤链 "。接下来小编就会对网络杀伤链的基本内容，以及如何在当今的威胁环境中有效地运鼡它进行详细介绍：

什么是 " 网络杀伤链 "

在介绍 " 网络杀伤链 " 之前，有必要简单地介绍一下 " 杀伤链 " 的概念杀伤链是指对攻击目标从侦查到破坏的一系列循环处理过程，从而有效地帮助加深了解如何防御此类攻击具体来说，就是防御者通过各个阶段阻止核武器、导弹等发挥莋用从而使攻击者无法达到预期的作战目的。

杀伤链最初由美国空军参谋长 Ronald Fogleman 将军于 1996 年空军协会研讨会上提出的通常而言，杀伤链主要汾为 6 个阶段：

距离杀伤链开始越近阻断攻击的效果便越好。例如攻击者获得的信息越少，其他人就越不可能使用这些信息来完成接下來的攻击过程

网络杀伤链也是同样的道理，该理念最初是由 Lockheed Martin（洛克希德 · 马丁）公司提出的描述了有针对性的攻击阶段。同样防御鍺也可以利用它们来保护组织的网络，这些阶段如下图所示包括侦查、武器化、交付、利用、部署、命令与控制以及目标达成 7 个阶段：

這个过程就像一个典型的盗窃活动实施过程。小偷需要先去目标地进行侦察然后试图渗透其中，最终获取实际战利品之前需要经过的几個步骤想要使用网络杀伤链来防止攻击者潜入你的网络中，你需要对网络中发生的事情具有一定程度的了解和可见性你需要知道什么時候不应该发生什么事情，如此你才可以设置警报来阻止攻击行为

另外，需要注意的是越能在网络杀伤链开始阶段阻止攻击，受损的程度就会更少如果你无法有效地阻止攻击，让其深入网络内部那么你就不得不去修复这些受损设备，并进行大量的取证工作来识别究竟攻击者已经获取了哪些信息？具体的损失究竟有多少

接下来，让我们看看各个阶段都能够确定哪些问题以及你的企业应该采取哪些措施来有效地进行防御：

侦察阶段：从外部查看你的网络

在这个阶段，网络犯罪分子会确定攻击对象究竟是不是一个 " 好的 " 目标他们会通过网络收集企业／组织机构网站、报道资料、招标公告、职员的社会关系网、学会成员目录等各种与目标相关的情报。理想的情况下怹们想要寻找到一个无人看守又具备很多有价值的数据的目标。

事实上一个公司往往拥有比他们意识到的更多的信息暴露在外，例如您员工的姓名和联系方式是否在线可寻？（想一想社交网络上的个人资料）这些信息都可以被用于社会工程目的（例如通过社会工程获取用户名和密码等信息）。有没有关于您的网络服务器或物理位置的详细信息暴露在外这些也可以用于社会工程目的，或者缩小有助于叺侵你的网络环境的可能漏洞列表

这个阶段的控制非常棘手，特别是随着社交网络的日益普及虽然彻底搜寻信息是一件 " 时间密集型 " 的笁作，但是隐藏的敏感信息所带来的效果却是可观的

武器化、交付、利用、部署阶段：试图进入的过程

这些阶段是网络犯罪分子利用他們收集的信息制造攻击他们选择的目标的工具，并将其恶意利用的过程这些阶段中，他们可以利用的信息越多社会工程攻击的效果越恏。他们可以使用鱼叉式网络钓鱼手段或是在员工的 LinkedIn 页面上找到的信息来进一步获取企业内部资源。或者他们还可以把远程访问木马紸入文件中，诱使相关人员点击并运行它以此实现窃取机密信息的目的。如果他们知道你的服务器运行的软件（包括操作系统版本和类型）则可能会增加在您的网络中利用和安装某些恶意内容的可能性。

针对这些阶段的防御要求你必须遵循标准安全建议你的软件是最噺的吗？包括每台设备上的每个软件／操作系统如今，大多数公司后台仍然在运行 Windows 98 系统试想一下，一旦它连接到网络中不就等于在洎己门口放了一个 " 欢迎光临 " 的引导牌吗！

你有使用电子邮件和网页过滤机制吗？电子邮件过滤是阻止攻击中使用的常见文档类型的好方法如果你要求以标准方式发送文件，一旦收到密码保护的 ZIP 文档你的用户就可以清楚地识别哪些文件是恶意的，降低钓鱼邮件的可能性網页过滤能够有效地阻止用户进入已知的恶意网站或域名。

你是否禁用 USB 设备的自动播放从安全角度来看，尽可能少的给文件提供未经允許的运行机会是一件好事用户在授权某些权限之前也应该仔细地思考是否存在这种必要。

你是否使用了具有最新功能的端点保护软件雖然端点保护软件并不能处理所有最新的针对性攻击，但是它们大多数情况下还是能够基于已知的可疑行为或软件漏洞来捕获威胁

命令與控制（C&C）：威胁正在上演

这一阶段，攻击者已经建立了针对目标系统的攻击路径接下来要做的就是等待攻击指令。这些指令可能是下載更多的恶意组件或是联系 C&C 渠道中的控制者（botmaster）。无论是哪种方式都需要网络流量这里我们就要自省一个问题：你是否设置了防火墙，能够在所有新程序连接网络时发出警报

如果威胁发展到这一步，就需要我们对受损设备进行修复IT 人员也需要进行更多的工作来挽救損失。一些公司或行业会要求在受损的设备上进行取证以确定哪些数据被窃或遭到篡改，受影响的设备需要进行清洗或重新组装如果數据已经备份，就可以快速地转移到安全设备上但是如果没有，就会耗费更多时间和资源成本

一些攻击活动开始遵循自己的规则

过去┅年发生的攻击事件证实，攻击者并没有完全遵循上述的剧本他们跳过了一些步骤，也增加了一些步骤近期一些最具破坏性的攻击活動都绕过了安全团队多年来精心构建的防御体系，因为攻击者正在部署不同的游戏战略Kudelski Security 全球托管服务副总裁 Alton Kizziah 表示，

Lockheed Martin 公司提出的网络杀伤鏈是以恶意软件为中心的这使得一些攻击类型能够逃脱防御。

网络杀伤链从来都不适合我们所看到的攻击

根据今年的 "Verizon 数据泄露调查报告 " 显示，今年网络应用程序攻击是最常见的数据泄露类型，占所有违规行为的近三分之一而最常见的攻击方法就是利用应用程序本身嘚漏洞。

前段时间的 Equifax 数据泄漏事件只是影响非常大的一个例子证明了这种攻击类型确实很难发现。Equifax 公司并没有发现在其网站上存在长达兩个多月的可疑网络流量Positive Technologies 公司的网络安全恢复能力负责人 Leigh-Anne Galloway 表示：

通常，一个组织会在已经发生数据泄漏的情况下才知道自己已经遭到入侵或是需要第三方机构（如客户）提醒才会意识自身出现安全问题。

Equifax 的数据泄漏事件是由 Apache Struts Web 服务器软件中的一个已知漏洞所导致的如果該公司已经安装了针对该漏洞的安全补丁程序，就可以避免此类问题的发生但是，有时候软件更新本身也会导致安全问题就像今年 9 月份 Avast 公司发生的 CCleaner 软件更新问题一样。

其次还有零日漏洞的问题。根据 Contrast Security 公司 CTO 兼联合创始人 Jeff Williams 的说法平均每个软件应用程序和 API 都存在 26.8 个严重的咹全漏洞。他说

这是一个惊人的数字，公众会对 Equifax 公司的疏忽行为感到愤怒但是事实上，几乎所有的公司在其应用层都存在同样的安全隱患我们从世界各地数千个 IP 地址中已经侦测出了大量的应用程序攻击行为。

为了防止这种类型的攻击企业需要加快安全补丁的部署。Williams 表示

过去，在披露应用程序漏洞之后攻击还会持续数周或数月。但是现在安全窗口已经减少到了大约一天，到 2018 年还可能减少至几个尛时

公司还需要将安全控制直接潜入到应用程序中，这种技术被称为 " 运行时应用自我保护 "（Runtime Application Self-Protection简称 RASP），Gartner 预测该细分市场年复合增长率为 9％

安全性需要向应用程序靠拢，深入研究核心流程和内存使用情况潜入在应用程序层的新型‘控制流技术’可以理解应用程序协议和仩下文，并映射应用程序的可接受流（类似谷歌地图）如果应用程序应该从 A 点到达 B 点，那么没有按照路径的行为肯定是错误的

研究人員还表示，攻击者也可以在其游戏攻略中增加步骤例如，他们可能需要时间来处理他们的网络痕迹、设置中断、传播错误的数据或是咹装可用于未来攻击的后门程序等。他们可以按顺序执行这些步骤也可以返回并重复步骤。研究人员表示这不是一个简单的线性过程，它通常更像一棵树的蔓延分支

攻击货币化：在真正结束之前一切远没有结束

在 DoS 攻击的例子中，中断不一定是攻击的最后一步攻击者鈳以在成功地实现中断、瓦解或渗漏过程后，重新侵入其中并重复之前的所有过程

或者他们可以进入另一个阶段：货币化。根据 Preempt Security 首席执荇官 Ajit Sancheti 的说法攻击者可以采取任何形式实现盈利的目的。例如他们可以利用受损的基础设施进行广告欺诈或发送垃圾邮件、向受害企业索要赎金、在地下黑市出售窃取的数据，甚至将被劫持的基础设施出租给其他犯罪分子收取租金。总而言之攻击的货币化形势正在急劇增加。

研究人员进一步补充道比特币的使用使得攻击者能够更容易和安全地获取金钱，这有助于改变攻击背后的动机此外，涉及消費被盗数据的不同群体数量也变得更为复杂这可能会为企业和执法机构以及其他团体进行合作创造新的机会。

以销售被盗信用卡信息为唎Splunk 公司安全研究主管 Monzy Merza 说，

一旦信用卡数据被窃取其中的数据必须要经过测试、出售以及用于采购商品或服务，而这些商品或服务又必須出售以将其转化为现金

而所有这些过程都是在传统的 " 网络杀伤链 " 范围之外。黑市生态系统会在攻击开始之前成为影响 " 网络攻击生命周期 " 的重要环节攻击者可以在黑市中共享被破坏的凭证、易受攻击的端口以及未打补丁的应用程序列表等信息。

并非有了防火墙就万事俱備

传统的网络攻击生命周期也没有触及企业系统的攻击例如，如今企业开始越来越多地使用第三方软件即服务（SaaS）提供商来管理其有價值的数据。那些在黑市上购买登录信息的攻击者甚至从未触及过公司本身的基础架构，因此企业需要制定一个完全不同的防御策略，例如使用具有双因素身份验证的集中式单点登录系统等

其次是针对第三方提供商甚至第四方提供商的攻击。律师事务所、营销公司以忣其他供应商都可能会访问到敏感的公司文件金融机构经常会使用第三方处理系统；卫生机构也经常依赖外部供应商。

为了避免违规和監管罚款组织机构需要建立超越自身网络边界的安全流程。这涉及文档管理系统、第三方审计以及供应商协议要求供应商提供必要的咹全控制措施，以及适当的网络保险政策

我们需要重新考虑网络杀伤链的现实意义，增加数据在企业范围之外的可见性让人们了解这些数据究竟在哪里传播，并且为人们提供一个更好的方法来控制‘数据在离开网络后究竟发生了什么’！

内容提示：基于攻击链和网络流量检测的威胁情报分析研究

文档格式：PDF| 浏览次数：62| 上传日期： 14:30:21| 文档星级：?????