美國軍方率先將“殺傷鏈(cyber kill chain)”概念正式化，這個概念被寬泛地定義為消滅目標(biāo)鏈條中的六個階段：發(fā)現(xiàn)(Find)、定位(Fix)、跟蹤(Track)、瞄準(zhǔn)(Target)、打擊(Engage)和評估(F2T2EA)。

2011年，美國國防承包商洛克希德·馬丁公司(Lockheed Martin)提出了應(yīng)用到網(wǎng)絡(luò)安全威脅的殺傷鏈模型，即所謂的“網(wǎng)絡(luò)殺傷鏈”，指成功發(fā)起網(wǎng)絡(luò)攻擊的七個階段：

• 偵察：收集信息，偵察目標(biāo)。在該階段，可通過收集電子郵箱或社會工程技術(shù)來實(shí)現(xiàn)，例如在社交網(wǎng)絡(luò)上查找目標(biāo)，在開放網(wǎng)絡(luò)上查找目標(biāo)相關(guān)的任何其他可用信息;或掃描開放的服務(wù)器或面向互聯(lián)網(wǎng)的服務(wù)器查找可能使用默認(rèn)憑證的情況(公開可用的信息，例如通過Shodan搜索)。
• 武器化：按照洛克希德·馬丁公司的描述，這個階段可將后門與可傳送Payload結(jié)合利用。換句話講就是構(gòu)建攻擊系統(tǒng)入侵網(wǎng)絡(luò)，利用合適的惡意軟件(例如遠(yuǎn)程訪問木馬)，以及誘騙目標(biāo)執(zhí)行惡意軟件的技術(shù)。
• 散布：洛克希德·馬丁公司指出，該階段可通過電子郵件、網(wǎng)絡(luò)、USB 等散布網(wǎng)絡(luò)武器，這就相當(dāng)于將 Payload 從 A 傳到 B 再到 C。
• 利用：利用目標(biāo)系統(tǒng)上的漏洞執(zhí)行惡意代碼。
• 安裝：安裝上述代碼。
• 命令與控制：用于遠(yuǎn)程操縱受害者的通信渠道。由于目標(biāo)已被遭受攻擊，被感染的系統(tǒng)通常會通過僵尸程序、或其它被感染的系統(tǒng)向攻擊者Ping命令,以進(jìn)一步掩蓋攻擊者的路徑。
• 針對目標(biāo)的行動：攻擊者實(shí)現(xiàn)設(shè)定的目標(biāo)，例如實(shí)施間諜活動、入侵網(wǎng)絡(luò)上更底層的系統(tǒng)、竊取憑證、安裝勒索軟件或造成破壞。

與軍事殺傷鏈一樣，網(wǎng)絡(luò)殺傷鏈條中的所有環(huán)節(jié)環(huán)環(huán)相扣，一環(huán)脫節(jié)，全盤皆散，因此要保證每個階段成功才能確保整個攻擊成功實(shí)現(xiàn)。

目前，大多數(shù)攻擊可能都在遵循這些步驟， 但更為復(fù)雜的攻擊可能正在發(fā)展當(dāng)中，抑或自動化和人工智能將更多地用于攻擊。

針對網(wǎng)絡(luò)殺傷鏈的防御對策

洛克希德·馬丁公司在2015年發(fā)布的白皮書中提出預(yù)防措施，以降低上述每個階段的損害力。

一、偵察

偵察很難防御，因?yàn)樗ǔ？梢岳瞄_放網(wǎng)絡(luò)上的可用信息構(gòu)造出關(guān)于目標(biāo)的詳細(xì)資料。當(dāng)數(shù)據(jù)泄露發(fā)生時，這些詳細(xì)信息通常會被掛在暗網(wǎng)出售，或免費(fèi)暴露在開網(wǎng)絡(luò)上(例如Pastebin)。針對該階段可采取的對策包括：

• 收集訪客日志，以便日后在攻擊發(fā)生時搜索這些日志;
• 著眼于瀏覽器分析，并探測到攻擊者偵察常見的瀏覽行為。

若懷疑發(fā)生偵察企圖，該對策可圍繞這些人和技術(shù)提供優(yōu)勢來分配防御資源。

二、武器化

武器化在很大程度上發(fā)生在攻擊者身上，因此攻擊之前不太可能對 Payload 本身有所了解。企業(yè)可在整個組織機(jī)構(gòu)內(nèi)部實(shí)施嚴(yán)格的修復(fù)規(guī)則，并鼓勵員工培訓(xùn)。攻擊者最樂于見到的兩種情況是：差勁的修復(fù)/更新合規(guī)以及簡單的人為錯誤。一旦注意到攻擊方式，那便掌握了資源，從而可在安全的虛擬機(jī)中對惡意軟件進(jìn)行取證分析。若了解惡意軟件構(gòu)建的原因及方式，便對漏洞有所了解。因此，不要放過對任何一個細(xì)節(jié)的檢查!

三、散布

任何對安全最佳實(shí)踐有基本了解的組織機(jī)構(gòu)應(yīng)該部署了適當(dāng)?shù)倪吔绫Ｗo(hù)解決方案(防火墻、對網(wǎng)絡(luò)主動掃描)。部署強(qiáng)大的防火墻固然重要，但若配置不當(dāng)可能無法達(dá)到效果。

企業(yè)應(yīng)對員工開展適量的意識培訓(xùn)和電子郵件測試，例如可針對員工發(fā)起虛擬的電子郵件攻擊，以嘗試了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全情況。在技術(shù)方面，企業(yè)有必要定期執(zhí)行漏洞掃描并讓“紅隊(duì)”定期進(jìn)行滲透測試。洛克希德·馬丁公司建議使用端點(diǎn)強(qiáng)化措施(例如限制管理員權(quán)限)，使用 Microsoft 增強(qiáng)型緩解體驗(yàn)工具包(EMET)，引入自定義端點(diǎn)規(guī)則阻止執(zhí)行 shellcode，檢查所有內(nèi)容(尤其端點(diǎn))以試圖找出漏洞利用的根源。

四、安裝

如果檢測到惡意軟件在網(wǎng)絡(luò)上執(zhí)行，可盡最大努力隔離攻擊，這意味著可能要減少當(dāng)天的操作。檢查端點(diǎn)進(jìn)程以查找異常的新文件，并使用 Host Intrusion Prevention System 來警告或阻止常見的安裝路徑。另外，還需試圖盡力了解惡意軟件，確定是否屬于 0Day 漏洞、是新漏洞還是舊漏洞、其執(zhí)行需要哪些權(quán)限、所處位置以及運(yùn)作方式。

五、命令與控制

洛克希德·馬丁公司將命令與控制描述為“防御者阻止攻擊的最后機(jī)會......如果對手無法發(fā)出命令，防御者便可控制影響”。但是，對于某些惡意軟件而言，尤其對那些旨在自動破壞或引起混亂的惡意軟件而言，情況并非如此。該公司指出，可通過惡意軟件分析發(fā)現(xiàn)基礎(chǔ)設(shè)施，整合互聯(lián)網(wǎng)存在點(diǎn)的數(shù)量來強(qiáng)化網(wǎng)絡(luò)，并要求將代理用于所有類型的流量，包括 HTTP 和 DNS。此外，防御者還可引入代理類別塊、DNS sinkholing 和簡單的研究。

六、針對目標(biāo)的行動

許多攻擊的潛伏時間為幾天、幾周、幾個月甚至幾年。因此，檢測到入侵就意味著成功了一半。但是，應(yīng)盡快采取后續(xù)的緩解措施，包括確定被泄的數(shù)據(jù)、惡意軟件的傳播范圍(尤其是橫向移動)、尋找未經(jīng)授權(quán)的憑據(jù)。應(yīng)急事件響應(yīng)手冊相關(guān)內(nèi)容將涉及到向公司高管、當(dāng)?shù)財(cái)?shù)據(jù)當(dāng)局和警方交談，可能還需向大眾披露攻擊事件。從公共關(guān)系的角度來看，一開始就向公眾披露的做法比緘口不提更恰當(dāng)。此外，還可以根據(jù)攻擊的嚴(yán)重程度尋求專家的幫助。

遭遇攻擊的企業(yè)應(yīng)從攻擊中吸取教訓(xùn)，并改進(jìn)安全流程，以緩解未來可能會發(fā)生的類似攻擊。