美国军方率先将 "杀伤链 (cyber kill chain)" 概念正式化, 这个概念被宽泛地定义为消灭目标链条中的六个阶段: 发现(Find), 定位(Fix), 跟踪(Track), 瞄准(Target), 打击(Engage) 和评估(F2T2EA).
网络杀伤链概念 2011 年, 美国国防承包商洛克希德. 马丁公司 (Lockheed Martin) 提出了应用到网络安全威胁的杀伤链模型, 即所谓的 "网络杀伤链", 指成功发起网络攻击的七个阶段:
侦察: 收集信息, 侦察目标. 在该阶段, 可通过收集电子邮箱或社会工程技术来实现, 例如在社交网络上查找目标, 在开放网络上查找目标相关的任何其他可用信息; 或扫描开放的服务器或面向互联网的服务器查找可能使用默认凭证的情况(公开可用的信息, 例如通过 Shodan 搜索).
武器化: 按照洛克希德. 马丁公司的描述, 这个阶段可将后门与可传送 Payload 结合利用. 换句话讲就是构建攻击系统入侵网络, 利用合适的恶意软件(例如远程访问木马), 以及诱骗目标执行恶意软件的技术.
散布: 洛克希德. 马丁公司指出, 该阶段可通过电子邮件, 网络, USB 等散布网络武器, 这就相当于将 Payload 从 A 传到 B 再到 C.
利用: 利用目标系统上的漏洞执行恶意代码.
安装: 安装上述代码.
命令与控制: 用于远程操纵受害者的通信渠道. 由于目标已被遭受攻击, 被感染的系统通常会通过僵尸程序, 或其它被感染的系统向攻击者 Ping 命令, 以进一步掩盖攻击者的路径.
针对目标的行动: 攻击者实现设定的目标, 例如实施间谍活动, 入侵网络上更底层的系统, 窃取凭证, 安装勒索软件或造成破坏.
与军事杀伤链一样, 网络杀伤链条中的所有环节环环相扣, 一环脱节, 全盘皆散, 因此要保证每个阶段成功才能确保整个攻击成功实现.
目前, 大多数攻击可能都在遵循这些步骤, 但更为复杂的攻击可能正在发展当中, 抑或自动化和人工智能将更多地用于攻击.
针对网络杀伤链的防御对策
洛克希德. 马丁马丁公司在 2015 年发布的白皮书中提出预防措施, 以降低上述每个阶段的损害力.
一, 侦察
侦察很难防御, 因为它通常可以利用开放网络上的可用信息构造出关于目标的详细资料. 当数据泄露发生时, 这些详细信息通常会被挂在暗网出售, 或免费暴露在开网络上(例如 Pastebin). 针对该阶段可采取的对策包括:
收集访客日志, 以便日后在攻击发生时搜索这些日志;
着眼于浏览器分析, 并探测到攻击者侦察常见的浏览行为.
若怀疑发生侦察企图, 该对策可围绕这些人和技术提供优势来分配防御资源.
二, 武器化
武器化在很大程度上发生在攻击者身上, 因此攻击之前不太可能对 Payload 本身有所了解. 企业可在整个组织机构内部实施严格的修复规则, 并鼓励员工培训. 攻击者最乐于见到的两种情况是: 差劲的修复 / 更新合规以及简单的人为错误. 一旦注意到攻击方式, 那便掌握了资源, 从而可在安全的虚拟机中对恶意软件进行取证分析. 若了解恶意软件构建的原因及方式, 便对漏洞有所了解. 因此, 不要放过对任何一个细节的检查!
三, 散布
任何对安全最佳实践有基本了解的组织机构应该部署了适当的边界保护解决方案(防火墙, 对网络主动扫描). 部署强大的防火墙固然重要, 但若配置不当可能无法达到效果.
企业应对员工开展适量的意识培训和电子邮件测试, 例如可针对员工发起虚拟的电子邮件攻击, 以尝试了解组织机构的网络安全情况. 在技术方面, 企业有必要定期执行漏洞扫描并让 "红队" 定期进行渗透测试. 洛克希德. 马丁公司建议使用端点强化措施 (例如限制管理员权限), 使用 Microsoft 增强型缓解体验工具包(EMET), 引入自定义端点规则阻止执行 shellcode, 检查所有内容(尤其端点) 以试图找出漏洞利用的根源.
四, 安装
如果检测到恶意软件在网络上执行, 可尽最大努力隔离攻击, 这意味着可能要减少当天的操作. 检查端点进程以查找异常的新文件, 并使用 Host Intrusion Prevention System 来警告或阻止常见的安装路径. 另外, 还需试图尽力了解恶意软件, 确定是否属于 0Day 漏洞, 是新漏洞还是旧漏洞, 其执行需要哪些权限, 所处位置以及运作方式.
五, 命令与控制
洛克希德. 马丁公司将命令与控制描述为 "防御者阻止攻击的最后机会...... 如果对手无法发出命令, 防御者便可控制影响". 但是, 对于某些恶意软件而言, 尤其对那些旨在自动破坏或引起混乱的恶意软件而言, 情况并非如此. 该公司指出, 可通过恶意软件分析发现基础设施, 整合互联网存在点的数量来强化网络, 并要求将代理用于所有类型的流量, 包括 HTTP 和 DNS. 此外, 防御者还可引入代理类别块, DNS sinkholing 和简单的研究.
六, 针对目标的行动
许多攻击的潜伏时间为几天, 几周, 几个月甚至几年. 因此, 检测到入侵就意味着成功了一半. 但是, 应尽快采取后续的缓解措施, 包括确定被泄的数据, 恶意软件的传播范围(尤其是横向移动), 寻找未经授权的凭据. 应急事件响应手册相关内容将涉及到向公司高管, 当地数据当局和警方交谈, 可能还需向大众披露攻击事件. 从公共关系的角度来看, 一开始就向公众披露的做法比缄口不提更恰当. 此外, 还可以根据攻击的严重程度寻求专家的帮助.
遭遇攻击的企业应从攻击中吸取教训, 并改进安全流程, 以缓解未来可能会发生的类似攻击.
来源: http://netsecurity.51cto.com/art/201807/579221.htm