譯者 | 李睿

審校 | 梁策 孫淑娟

信息安全行業(yè)人士可能聽說過使用“網(wǎng)絡殺傷鏈”來幫助識別和防止網(wǎng)絡攻擊。網(wǎng)絡攻擊者正在不斷改進他們的方法，這需要人們以不同的方式看待網(wǎng)絡殺傷鏈。以下是對網(wǎng)絡殺傷鏈的分析，以及企業(yè)如何在自己的運營環(huán)境中使用它。

一、網(wǎng)絡殺傷鏈的定義

網(wǎng)絡殺傷鏈也稱為網(wǎng)絡攻擊生命周期，是美國航空航天制造商洛克希德·馬丁公司開發(fā)的一個模型，用于描述有針對性的網(wǎng)絡攻擊的各個階段。它分解了惡意軟件攻擊的每個階段，防御者可以識別并進行阻止。

采用軍事術語來說，“殺傷鏈”是一種基于階段的模型，用于描述網(wǎng)絡攻擊的各個階段，這也有助于提供防止此類攻擊的方法。網(wǎng)絡攻擊越接近殺傷鏈的起始點，就越有可能被阻止。例如，網(wǎng)絡攻擊者擁有的信息越少，利用這些信息完成網(wǎng)絡攻擊的可能性就越小。

網(wǎng)絡殺傷鏈將軍事模型應用于網(wǎng)絡攻擊各個階段的描述，以便它們可以用于保護企業(yè)的網(wǎng)絡。各個階段如下圖所示：

需要記住的一件事是：越是接近攻擊鏈的起點，就越能阻止攻擊，清理的成本和時間就越少。如果企業(yè)在網(wǎng)絡攻擊已經(jīng)進入其網(wǎng)絡之前沒有阻止，將不得不修復自己的服務器設備，并進行大量取證工作以找出它們竊取了哪些信息。

二、網(wǎng)絡殺傷鏈描述的步驟

網(wǎng)絡殺傷鏈中描述的步驟很像傳統(tǒng)的入室盜竊。竊賊會在試圖滲透之前，首先對建筑物進行偵察，然后再經(jīng)過幾個步驟才能盜走贓物。使用網(wǎng)絡殺傷鏈來防止攻擊者偷偷進入網(wǎng)絡需要大量的情報和對網(wǎng)絡中正在發(fā)生的事情的可見性。因此需要知道什么時候不應該出現(xiàn)的狀態(tài)，這樣就可以設置警報來阻止攻擊。

以下仔細看看網(wǎng)絡殺傷鏈的7個步驟，以確定自己應該問哪些問題，以決定它對企業(yè)是否可行。

(1)偵察

(2)武器化

(3)交付

(4)利用

(5)安裝

(6)命令與控制

(7)行動

1.偵察

在這個階段，犯罪分子正試圖確定哪些是(或者哪些不是)理想的目標。他們從外部可以了解企業(yè)的資源和網(wǎng)絡，以確定是否值得付出努力。在理想情況下，他們想要尋找一個相對不設防且擁有有價值數(shù)據(jù)的目標。犯罪分子可以找到關于目標公司的哪些信息，以及如何使用這些信息，可能會讓人們大吃一驚。

企業(yè)通常擁有比他們了解到的更多的信息。而企業(yè)的員工姓名和聯(lián)系方式可以被網(wǎng)絡攻擊者用于社會工程目的，例如讓他們泄露用戶名或密碼。那么，是否有關于網(wǎng)絡服務器或在線物理位置的詳細信息?這些信息也可以用于社會工程，或者確定可能對網(wǎng)絡攻擊有用的漏洞列表。

這是一個難以控制的層面，尤其是隨著社交網(wǎng)絡的普及。而隱藏敏感信息往往是一種成本很低的更改，盡管徹底查找信息可能會耗費大量時間。

2.武器化、交付、利用、安裝

這四個階段是網(wǎng)絡犯罪分子利用收集到的信息精心設計一種工具來攻擊選擇的目標。他們能使用的信息越多，社會工程攻擊就越有效。

網(wǎng)絡攻擊者可以使用魚叉式網(wǎng)絡釣魚方法，通過某家企業(yè)員工的LinkedIn頁面上找到的信息獲取其內部資源?；蛘咚麄兛梢詫⑦h程訪問木馬放入文件中，該文件包含有關即將發(fā)生的事件的重要信息，以誘使接收者運行它。

如果網(wǎng)絡攻擊者知道企業(yè)的用戶或服務器運行什么軟件，包括操作系統(tǒng)版本和類型，他們就有可能在企業(yè)的網(wǎng)絡中利用并安裝一些插件。

這些防御層是標準安全專家建議的來源。企業(yè)使用的軟件是最新的嗎?每臺服務器都有防御層嗎?大多數(shù)企業(yè)可能都有仍在運行Windows98操作系統(tǒng)的電腦，如果它曾經(jīng)連接到互聯(lián)網(wǎng)，這就像為攻擊者打開了大門。

那么是否使用電子郵件和網(wǎng)絡過濾?電子郵件過濾是阻止攻擊中使用的常見文檔類型的好方法。如果要求以標準方式發(fā)送文件，例如在受密碼保護的ZIP存檔中，可以幫助其用戶知道何時有意發(fā)送文件。Web過濾可以幫助防止用戶訪問已知的不良站點或域。

是否禁用了USB設備的自動播放?從安全的角度來看，讓文件有機會在未經(jīng)批準的情況下運行不是一個好主意。最好讓用戶有機會在它啟動之前停下來思考他們所看到的內容。

是否使用具有最新功能的端點保護軟件?雖然端點保護軟件并非旨在處理全新的針對性攻擊，但有時它們可以根據(jù)已知的可疑行為或已知的軟件漏洞捕獲威脅。

3.命令與控制

一旦威脅進入企業(yè)的網(wǎng)絡，它的下一個任務就等待命令。這有可能是為了下載其他組件，但更有可能是通過命令和控制(C&C)渠道聯(lián)系僵尸主機。無論哪種方式，這都需要網(wǎng)絡流量，這意味著這里只有一個問題：是否有入侵檢測系統(tǒng)，該系統(tǒng)是否設置為對所有與網(wǎng)絡聯(lián)系的新程序發(fā)出警報?

如果威脅已經(jīng)發(fā)展到這一步，它已經(jīng)對機器進行了更改，并且需要IT人員做更多的工作。一些行業(yè)或企業(yè)要求對受到網(wǎng)絡攻擊的機器進行取證，以確定哪些數(shù)據(jù)被盜或被篡改。這些受影響的機器或者需要進行災難恢復，或者需要重新備份。

如果數(shù)據(jù)已經(jīng)備份并且可以快速替換到機器上，則成本和耗時可能會更低。

4.行動

殺傷鏈的最后一步是網(wǎng)絡攻擊本身，例如中斷服務或安裝惡意軟件，但需要記住，行動步驟是為了實現(xiàn)預期目標，一旦他們被成功地中斷、破壞或過濾，網(wǎng)絡攻擊者可以重新進入并重新進行。

Preempt Security公司首席執(zhí)行官Ajit Sancheti表示，網(wǎng)絡攻擊的預期目標通常是獲利，并且可以采取多種形式。例如，網(wǎng)絡攻擊者可以使用受損的基礎設施進行廣告欺詐或發(fā)送垃圾郵件、向企業(yè)勒索贖金、出售他們在黑市上獲得的數(shù)據(jù)，甚至將被劫持的基礎設施出租給其他犯罪分子。他說，“網(wǎng)絡攻擊的獲利程度大幅提高?！?/p>

他補充說，加密貨幣的使用使網(wǎng)絡攻擊者更容易、更安全地獲得贖金，這改變了網(wǎng)絡攻擊背后的動機。參與消費被盜數(shù)據(jù)的不同群體的數(shù)量也變得更加復雜。這可能會為企業(yè)創(chuàng)造機會，與執(zhí)法部門和其他團體合作，破壞這一攻擊過程。

Splunk公司安全研究負責人Monzy Merza說：“以被盜的支付卡信息為例。一旦信用卡數(shù)據(jù)被盜，網(wǎng)絡攻擊者就會對這些數(shù)字進行測試、出售、用于購買商品或服務，這些商品或服務反過來必須被出售，以將其轉換為現(xiàn)金?！彼硎?，所有這些都不屬于網(wǎng)絡攻擊的傳統(tǒng)殺傷鏈。黑市生態(tài)系統(tǒng)影響網(wǎng)絡攻擊生命周期的另一個領域是在網(wǎng)絡攻擊開始之前，攻擊者將會共享受損憑證、易受攻擊的端口、未打補丁的應用程序的列表。

三、網(wǎng)絡殺傷鏈面臨的問題

正如最近發(fā)生的事件充分表明的那樣，網(wǎng)絡攻擊者并沒有遵循一些規(guī)則。他們或者跳過一些步驟，或者添加一些步驟。最近一些最具破壞性的網(wǎng)絡攻擊繞過了安全團隊多年來精心建立的防御機制，因為他們遵循不同的計劃。根據(jù)Alert Logic公司在2018年發(fā)布的一份調查報告，88%的攻擊將殺傷鏈的前五個步驟合并為一個步驟。

近年來，人們也看到了加密貨幣挖掘惡意軟件的興起。Alert Logic公司首席威脅研究員Matt Downing說，“他們使用的技術忽略了傳統(tǒng)步驟，所有的早期緩解和檢測技術都不起作用?！贝送猓W(wǎng)絡攻擊者不必竊取有價值的數(shù)據(jù)，然后試圖在黑市上出售。他補充說，“他們可以直接將受損資產(chǎn)實現(xiàn)貨幣化?！?/p>

而具有泄露憑據(jù)的攻擊(網(wǎng)絡攻擊者使用看似合法的數(shù)據(jù)登錄，并使用這些帳戶竊取數(shù)據(jù))也不適合傳統(tǒng)的攻擊框架。Downing說，“在這種情況下，洛克希德·馬丁公司的殺傷鏈顯然不適用?！?/p>

另一種不符合傳統(tǒng)模型的攻擊類型：Web應用程序攻擊。Virsec Systems公司創(chuàng)始人兼首席技術官Satya Gupta說：“當企業(yè)的應用程序暴露在網(wǎng)絡上時，任何人都可以訪問。這就像在家中打開了一扇門一樣?！?/p>

例如，Equifax漏洞可以追溯到Apache Struts Web服務器軟件中的漏洞。盡管該公司已經(jīng)針對這一漏洞安裝了安全補丁，本可以避免該問題，但有時軟件更新本身會受到損害。

CyberArk實驗室網(wǎng)絡研究團隊負責人Lavi Lazarovitz表示，物聯(lián)網(wǎng)、DevOps和機器人過程自動化等其他變革性技術也在以不符合傳統(tǒng)網(wǎng)絡殺傷鏈模型的方式增加攻擊面。

傳統(tǒng)的網(wǎng)絡攻擊生命周期也錯過了根本不涉及企業(yè)系統(tǒng)的攻擊。例如，企業(yè)越來越多地使用第三方軟件即服務(SaaS)提供商來管理其有價值的數(shù)據(jù)。

Cybereason公司的高級總監(jiān)Ross Rustici說：“考慮到人們的登錄數(shù)量、SaaS服務的數(shù)量以及存在的第三方連接的數(shù)量，這個問題的規(guī)模呈指數(shù)級增長。如果核心網(wǎng)絡被入侵，企業(yè)可能會遭遇一場終結業(yè)務的黑客攻擊。”

四、網(wǎng)絡殺傷鏈vs. Mitre ATT&CK

網(wǎng)絡威脅不斷發(fā)展的性質使一些企業(yè)尋求一種更靈活、更全面的網(wǎng)絡攻擊思維方式。

而行業(yè)領先的競爭者是Mitre ATT&CK框架。Obsidian Security公司的首席技術官Ben Johnson說：“這是一場展示與殺傷鏈中的每一步相關的實際攻擊技術的大型運動，它受到了供應商和社區(qū)難以置信的歡迎和認可?！?/p>

Jask公司安全研究主管Rod Soto警告不要過度依賴框架。他說，“對抗性漂移本質上是動態(tài)的。網(wǎng)絡攻擊者的工具、技術和程序將隨著新的防御措施過時而不斷變化。像網(wǎng)絡殺傷鏈這樣的框架可以成為我們工具包的一部分，但這取決于我們作為安全專家繼續(xù)創(chuàng)造性地思考，以便跟上網(wǎng)絡攻擊者創(chuàng)新的步伐?！?/p>

原文鏈接：https://www.csoonline.com/article/2134037/what-is-the-cyber-kill-chain-a-model-for-tracing-cyberattacks.html