网络杀伤链有助于理解和预测网络攻击的不同阶段。了解黑客的工作方式使公司能够选择正确的工具和策略来限制违规行为、应对正在进行的攻击并最大限度地降低风险。本文解释了网络杀伤链在网络安全中的作用。我们检查攻击的每一步,并说明为什么杀伤链对防御策略至关重要。
什么是网络杀伤链?
网络杀伤链是一种概述网络攻击各个阶段的安全模型。杀伤链涵盖了网络入侵的所有阶段,从早期计划和监视到黑客的最终目标。了解攻击的各个阶段使公司能够规划预防和检测恶意入侵者的策略。网络杀伤链有助于为所有常见的在线威胁做好准备,包括:
- 勒索软件攻击。
- 网络漏洞。
- 数据盗窃。
- 高级持续攻击 (APT)。
“杀伤链”一词 具有军事背景。最初的概念定义了军队行动的结构,包括:
- 目标的识别。
- 向目标派遣部队。
- 打击目标的命令。
- 目标的消除。
网络杀伤链的另一个术语是 网络攻击链。
网络杀伤链的 7 个阶段
网络杀伤链的七个阶段是成功攻击的不同步骤。安全团队有机会在每个阶段阻止攻击者,但理想情况下,公司应该在网络杀伤链的前半部分识别并阻止威胁。
第一阶段:认可
攻击者在侦察步骤中收集必要的信息。黑客选择受害者,对公司进行深入研究,寻找目标网络中的薄弱环节。
侦察分为两种:
- 被动侦察: 黑客在不与目标交互的情况下搜索信息。受害者无法知道或记录攻击者的活动。
- 主动侦察: 黑客未经授权访问网络并直接与系统接触以收集信息。
在此步骤中,攻击者评估系统的以下方面:
- 安全漏洞和弱点。
- 雇用内部同谋的可能性。
- 工具、设备、验证协议和用户层次结构。
侦察期间的一个常见策略是收集员工电子邮件地址和社交媒体帐户。如果攻击者决定使用社会工程来访问网络,则此信息很有用 。
侦察阶段的防御措施:
- 设置防火墙以加强周边安全。
- 监控入口点和访客日志中的可疑行为。
- 确保员工报告可疑的电子邮件、电话和社交媒体消息。
- 优先保护作为侦察主要目标的个人和系统。
- 限制公开可用的公司数据的数量。
第二阶段:武器化
攻击者团队发现了系统中的一个弱点,并且知道如何创建一个入口点。犯罪团队现在设计了一种病毒或蠕虫来针对该弱点。如果攻击者发现了零日漏洞,他们通常会在受害者发现并修复漏洞之前快速工作。
一旦恶意软件准备就绪,黑客通常会将恶意软件放置在普通文档中,例如 PDF 或 Office 文件。
武器化阶段的防御措施:
- 开展安全意识培训,帮助员工识别武器化测试。
- 分析恶意软件工件以检查可疑的时间线和相似之处。
- 为武器制造者构建检测工具(将恶意软件与漏洞利用相结合的自动化工具)。
第三阶段:交付
犯罪分子向目标环境发起攻击。感染方法各不相同,但最常见的技术是:
- 网络钓鱼攻击。
- 受感染的 USB 设备。
- 利用硬件或软件缺陷。
- 受损的用户帐户。
- 与常规程序一起安装恶意软件的路过式下载。
- 通过开放端口或其他外部接入点直接入侵。
这一步的目标是突破体制,默默地站稳脚跟。一种流行的策略是同时发起DDoS 攻击 ,以分散防御者的注意力并在不引起安全控制警报的情况下感染网络。
交付阶段的防御措施:
- 防止网络钓鱼攻击。
- 使用补丁管理工具。
- 使用文件完整性监控 (FIM) 标记和调查对文件和文件夹的更改。
- 监控奇怪的用户行为,例如奇怪的登录时间或位置。
- 运行渗透测试以主动识别风险和弱点。
第 4 阶段:安装
恶意软件在系统内部,管理员不知道威胁。网络杀伤链的第四步是恶意软件安装在网络上。恶意软件安装后,入侵者就可以访问网络(也称为后门)。现在有了开放访问,入侵者可以自由地:
- 安装必要的工具。
- 修改安全证书。
- 创建脚本文件。
- 在开始主要攻击之前寻找进一步的漏洞以获得更好的立足点。
对他们的存在保密对攻击者来说至关重要。入侵者通常会擦除文件和元数据,用错误的时间戳覆盖数据,并修改文档以保持不被发现。
安装阶段的防御措施:
- 使设备保持最新。
- 使用防病毒软件。
- 设置基于主机的入侵检测系统以警告或阻止常见的安装路径。
- 定期进行漏洞扫描。
第 5 阶段:横向运动
入侵者横向移动到网络上的其他系统和帐户。目标是获得更高的权限并获得更多数据。此阶段的标准技术是:
- 利用密码漏洞。
- 蛮力攻击。
- 凭证提取。
- 针对进一步的系统漏洞。
横向移动阶段的防御措施:
- 实施零信任安全以限制被盗帐户和程序的范围。
- 使用网络分段来隔离各个系统。
- 消除使用共享帐户。
- 实施密码安全最佳实践。
- 审核特权用户的所有可疑活动。
第 6 阶段:指挥与控制 (C2)
复杂的 APT 级恶意软件需要手动交互才能操作,因此攻击者需要通过键盘访问目标环境。执行阶段之前的最后一步是与外部服务器建立命令和控制通道 (C2)。黑客通常通过外部网络路径上的信标来实现 C2。信标通常是基于 HTTP 或 HTTPS 的,并且由于伪造的 HTTP 标头而显示为普通流量。如果数据泄露是攻击的目标,入侵者会在 C2 阶段开始将目标数据打包。数据包的典型位置是网络的一部分,几乎没有活动或流量。
指挥控制阶段的防御措施:
- 在分析恶意软件时寻找 C2 基础设施。
- 所有类型的流量(HTTP、DNS)的需求代理。
- 持续扫描威胁。
- 设置入侵检测系统以提醒所有与网络连接的新程序。
第 7 阶段:执行
入侵者采取行动来实现攻击的目的。目标各不相同,但最常见的目标是:
- 数据加密。
- 数据泄露。
- 数据销毁。
在攻击开始之前,入侵者会通过在网络上造成混乱来掩盖他们的踪迹。目标是通过以下方式混淆和减缓安全和取证团队的速度:
- 清除日志以屏蔽活动。
- 删除文件和元数据。
- 使用不正确的时间戳和误导性信息覆盖数据。
- 即使发生攻击,也可以修改重要数据以使其显示正常。
一些犯罪分子还在提取数据时发起另一次 DDoS 攻击,以分散安全控制的注意力。
执行阶段的防御措施:
- 创建一个事件响应手册,概述清晰的沟通计划和发生攻击时的损害评估。
- 使用工具来检测正在进行的数据泄露的迹象。
- 对所有警报运行即时分析师响应。
什么是网络杀伤链的示例?
下面的网络杀伤链示例显示了安全团队可以检测和阻止自定义勒索软件攻击的不同阶段:
- 第 1 步: 黑客进行侦察操作以发现目标系统中的弱点。
- 第 2 步: 犯罪分子创建一个漏洞利用勒索软件程序并将其放入电子邮件附件中。然后,黑客向一名或多名员工发送网络钓鱼电子邮件。
- 第 3 步: 用户错误地从收件箱打开并运行程序。
- 第 4 步: 在目标网络上安装勒索软件并创建后门。
- 第 5 步: 程序调用恶意基础设施并通知攻击者成功感染。
- 第 6 步: 入侵者在系统中横向移动以查找敏感数据。
- 第 7 步: 攻击者实现 C2 控制并开始加密目标文件。
网络杀伤链模型的缺点
网络杀伤链是一个框架,公司可以围绕该框架设计其安全策略和流程。然而,杀伤链也有几个值得指出的缺陷。
专注于外围
最初的网络杀伤链出现在大多数威胁来自组织外部的时候。在当今的安全环境中,将边界视为主要攻击面存在两个问题:
- 云和微分段的使用消除了城堡和护城河安全的概念。
- 内部威胁与外部威胁一样危险。
如何解决这个问题: 通过考虑周界内外的危险来建立一个全面的杀伤链。设置云监控以确保您的资产在本地和云端都是安全的。
在第一阶段和第二阶段识别威胁
网络杀伤链的侦察和武器化阶段发生在公司视线之外。在这些阶段检测攻击是很困难的。即使您确实注意到奇怪的行为,也无法确定威胁的程度。
如何解决此问题: 不要忽略潜在攻击的早期迹象,将其视为一次性事件。分析显示为主动侦察或武器测试的每一项活动。
缺乏适应
第一个网络杀伤链出现在 2011 年,当时洛克希德-马丁公司创建了一个安全模型来保护其网络。从那时起,网络攻击的性质和构成都发生了显着变化,让人感觉杀伤链无法让公司为高级威胁做好准备。
如何解决此问题:不要创建网络杀伤链,也不要更新模型。强大的杀伤链必须不断发展,才能有效抵御最新威胁,尤其是 APT。随着公司的发展,修改链以考虑新的攻击面和潜在危险。
任何安全策略的支柱
虽然不是安全工具或机制,但杀伤链有助于选择正确的策略和技术来阻止不同阶段的攻击。使用杀伤链作为有效安全策略的基础,并继续发展您的公司,而不必担心代价高昂的挫折。