網(wǎng)絡殺傷鏈是由洛克希德·馬丁公司在十多年前提出的。其基本思想是，攻擊者進行偵察以發(fā)現(xiàn)漏洞，開發(fā)漏洞利用程序進入系統(tǒng)，安裝惡意軟件連接到控制服務器(C2)，橫向移動找到目標并盜取數(shù)據(jù)。防御者則根據(jù)這些步驟設置檢測和防護機制以阻止攻擊。

但這個框架并不完善，從設計出來的時候，就不適用于許多種攻擊方法。例如一些直接的攻擊，像非法訪問公開的數(shù)據(jù)庫、DDoS攻擊，或是一些幾乎看不到或根本看不到攻擊者在做什么的第三方攻擊。到了現(xiàn)在，縱深防御和零信任時代，這個框架更是變得無關(guān)緊要。

殺傷鏈正在失去價值

主要是因為許多攻擊類型會跳過這七個上步驟中的某些環(huán)節(jié)。例如，勒索軟件攻擊包括惡意軟件安裝和橫向移動，但除非攻擊者進行二次勒索，否則可以跳過拖走數(shù)據(jù)的步驟。

再比如，一個不安全的API可以允許攻擊者將其所訪問的所有數(shù)據(jù)虹吸出來，API正在為一種常用的攻擊載體，因為可以直接打穿系統(tǒng)，那些針對邊界和區(qū)域的層層防護如同虛設。

最后，攻擊者也可以利用金錢跳過殺傷鏈的環(huán)節(jié)。例如，他們可以在黑市上購買被盜的憑證，并使用這些憑證訪問公司基礎(chǔ)設施。典型的，利用一些從暗網(wǎng)上買來的云端或K8s的憑證，悄悄地用受害者的計算資源挖礦。

最常見的一步到位攻擊，從不安全或安全性差的AWS存儲桶中竊取數(shù)據(jù)。今年1月，Bonobos男裝店的整個客戶數(shù)據(jù)庫，約70GB的個人信息被泄露。該公司在云中存儲了一個備份文件，但沒有正確的保護措施。這些數(shù)據(jù)可以通過互聯(lián)網(wǎng)直接訪問，黑客無需殺傷鏈的大部分步驟，如武器化、交付、安裝或指揮與控制。

去年秋天Emetic專門針對AWS存儲桶的一份調(diào)查顯示，研究人員抽樣調(diào)查的AWS環(huán)境中有70%以上的機器暴露在互聯(lián)網(wǎng)上，并有被入侵并執(zhí)行勒索軟件的風險。事實上，網(wǎng)絡犯罪分子不斷演變的商業(yè)模式是殺傷鏈逐漸失去防御價值的一個重要原因。也就是說，不同的攻擊者專注于自己的專業(yè)領(lǐng)域，然后將結(jié)果出售給他人，不再是由多個鏈接步驟組成的單一攻擊。

供應鏈攻擊顛覆殺傷鏈

針對第三方合作伙伴的攻擊令殺傷鏈毫無意義，通過入侵第三方以獲得進入目標企業(yè)的權(quán)限，典型的如2013年Target事件，是因為其空氣調(diào)節(jié)系統(tǒng)供應商被入侵。更近一些的供應鏈安全事件，如SolarWinds。

入侵可以完全發(fā)生在第三方環(huán)境。例如，第三方服務提供商可以訪問財務數(shù)據(jù)、人事記錄、敏感IP或客戶信息。如果對第三方?jīng)]有可見性，就會造成很大的安全盲點。

隨著API、云應用和系統(tǒng)整合的趨勢，針對第三方的攻擊已成常態(tài)。從業(yè)務方面來看，能夠跨企業(yè)邊界將數(shù)據(jù)和服務連接在一起，無疑會有很大的益處。但同時，安全問題往往被忽略。

攻擊者是圖形思考而不是鏈路思考

標準的網(wǎng)絡殺傷鏈會讓人誤解，即認為攻擊者在入侵目標時會遵循一組特定的步驟。但這與事實相差甚遠，攻擊者是沒有固定規(guī)則的。相反，攻擊者會嘗試任何有效的方法。成功的網(wǎng)絡攻擊與其說是從偵察到目標的一條直線，不如說更像一棵樹，或者像一張圖形，有節(jié)點和邊。邊是攻擊者從一個節(jié)點到另一個節(jié)點的路徑，但邊有多條，并非一條單一的鏈路。

超越殺傷鏈的ATT&CK

明顯可以看出殺傷鏈不足之處的一個方法是，與MITRE ATT&CK框架做比較。ATT&CK非常詳細，包括攻擊者可能采取的200多個不同類型的TTP(戰(zhàn)術(shù)、技術(shù)與步驟)。它囊括了攻擊者所使用的方法，堪稱攻擊活動的百科全書。尤其是許多基于殺傷鏈的思路很難發(fā)現(xiàn)的攻擊方法，如上文中所講的S3存儲桶攻擊、拒絕服務攻擊和供應鏈攻擊。

真實的情況是，有多種殺傷鏈(攻擊路徑)，而不是只有一條。而且，ATT&CK也不是完美的，攻擊者總是會想出新的攻擊方法。但是有一點，至少目前許多入侵成功的事件，都是由于未能針對ATT&CK框架中現(xiàn)有的TTP進行保護。換句話說，如果我們對MITRE框架中所有的內(nèi)容都做出了相應防護，那么即使是在使用零日漏洞的情況下，也很難造成巨大的損失。

結(jié)合了殺傷鏈和ATT&CK特點的“統(tǒng)一殺傷鏈”會加更有效。首先，它比傳統(tǒng)殺傷鏈更加深入、細化，再者還具備了關(guān)注攻擊者行動順序的特性。最后，它會不斷更新和修訂，包括緩解和檢測，以緊密跟上不斷變化的威脅。

零信任應對新型攻擊

在適應新的攻擊方法時，零信任是一個不錯的理念。“持續(xù)驗證，永遠懷疑”是當下網(wǎng)絡安全領(lǐng)域的流行語。似乎只要不信任，就能解決一切問題。但從目前的落地情況來看，理論不錯，實踐很難。盡管如此，至少零信任理念有助于企業(yè)擺脫殺傷鏈背后的邊界或說城堡防御的傳統(tǒng)方法。

眾所周知，邊界防御的弱點在于，突破即自由。用一個形象的比喻來說，就是外面是堅硬厚實的盔甲，里面是柔軟脆弱的身體。

零信任則不然。每個應用程序、每個數(shù)據(jù)節(jié)點都擁有自己的“盔甲”。從而讓攻擊者無法獲得立足點，進而不能實施橫向移動，并進入信息系統(tǒng)的核心。

殺傷鏈依然還有價值

雖然殺傷鏈已經(jīng)不適用于當今的攻擊環(huán)境，但也依然有著一定的價值，比如在進行威脅建模時就非常有用。

仍然用上文中的S3存儲桶舉例。從攻擊者的角度來思考，如何發(fā)現(xiàn)存儲桶中的敏感數(shù)據(jù)，又將如何實施入侵，并最終獲取數(shù)據(jù)?這就是威脅建模，了解風險在哪里，潛在的脆弱在哪里，攻擊者又如何實施每一步，這就是威脅建模。然后采取相應的安全措施，確保攻擊者不能順利的完成這些步驟，而殺傷鏈模型則有助于完成這一過程。

現(xiàn)在的許多攻擊方法，尤其是第三方攻擊，殺傷鏈的確已不適用。但攻擊者仍然需要建立C2，橫向移動和拖走數(shù)據(jù)，殺傷鏈仍然是分析這些威脅的有效框架。安全團隊需要擴展他們的傳統(tǒng)模型，如將供應商或源代碼被入侵的模型包括在內(nèi)。