小安在过去的二十年里,网络攻击发生了巨大的变化。社会工程、内部威胁和云技术改变了我们看待信息安全边界的方式,并且在许多人看来,边界变得无关紧要。网络杀伤链是一种传统的安全模型,它描述了一种老式场景——外部攻击者采取措施渗透网络并窃取其数据——并分解攻击步骤以帮助组织做好准备。尽管如此,它在描述当今组织面临的威胁媒介和攻击方面仍然非常成功。
什么是网络杀伤链?
网络杀伤链(CKC)是洛克希德·马丁公司计算机安全事件响应团队(CSIRT)开发的经典网络安全模型。该模型的目的是更好地了解执行攻击所需的阶段,并帮助安全团队在每个阶段阻止攻击。
CKC 模型描述了外部攻击者试图访问安全边界内的数据或资产的攻击。攻击者执行侦察、入侵安全边界、利用漏洞、获取和升级权限、横向移动以访问更有价值的目标、试图混淆他们的活动,最后从组织中窃取数据。
网络杀伤链模型主要描述高级持续威胁(APT),即复杂的恶意行为者针对特定公司发起有组织的攻击活动。
网络杀伤链模型主要描述高级持续威胁(APT),即复杂的恶意行为者针对特定公司发起有组织的攻击活动。
网络杀伤链的 8 个阶段
下面,我们根据洛克希德·马丁公司 CIRT CKC模型简要解释攻击的各个阶段。对于每个阶段,您都会看到取自MITRE ATT&CK框架的攻击简短列表,该框架是基于现实世界观察的对手战术和技术的全球可访问知识库。
1. 侦察
在侦察阶段,攻击者收集有关目标组织的信息。他们可以使用自动扫描仪来查找可能被渗透的漏洞和弱点。攻击者将尝试识别和调查现有的安全系统,例如防火墙、入侵防御系统和身份验证机制。
2. 入侵
在入侵阶段,攻击者试图进入安全范围。攻击者通常会将恶意软件注入系统以获取立足点。恶意软件可能通过社会工程电子邮件、受损的系统或帐户、代表安全漏洞的“敞开的门”(例如开放端口或不安全的端点)或内部同谋来传播。
入侵阶段的攻击示例:
- 外部远程服务
- 鱼叉式网络钓鱼附件
- 供应链妥协
3. 剥削
在利用阶段,攻击者会寻找可在组织系统内部利用的其他漏洞或弱点。例如,从外部来看,攻击者可能无法访问组织的数据库,但在入侵后,他们可以看到数据库使用旧版本并暴露于众所周知的漏洞。
利用阶段的攻击示例:
- 电源外壳
- 本地作业调度
- 脚本编写
- 动态数据交换
4. 权限提升
在权限提升阶段,攻击者的目标是获得其他系统或帐户的权限。攻击者可能会尝试暴力攻击、寻找不安全的凭据存储库、监视未加密的网络流量以识别凭据,或更改现有受感染帐户的权限。
提权阶段的攻击示例:
- 访问令牌操作
- 路径拦截
- 须藤攻击
- 进程注入
5. 横向运动
在横向移动阶段,攻击者连接到其他系统并试图找到组织最有价值的资产。攻击者从一个系统横向移动到另一个系统,以获得对特权帐户、敏感数据或关键资产的访问权限。横向移动是一项可能跨越多个用户帐户和 IT 系统的协调工作。
横向移动阶段的攻击示例:
- SSH 劫持
- 内部鱼叉式网络钓鱼
- 共享网络根目录
- Windows 远程管理
6. 混淆
在混淆阶段,攻击者试图掩盖他们的踪迹。他们可能会尝试删除或修改日志、伪造时间戳、篡改安全系统以及采取其他操作来隐藏 CKC 中的先前阶段,并使敏感数据或系统看起来没有被触及。
混淆阶段的攻击示例:
- 二进制填充
- 代码签名
- 文件删除
- 隐藏用户
- 工艺镂空
7. 拒绝服务
在拒绝服务 (DoS) 阶段,攻击者试图破坏组织的运营。通常,其目的是分散安全和运营人员的注意力,使恶意行为者能够实现他们的真正目标,即数据泄露。DoS 可以针对网络和生产系统,包括网站、电子邮件服务器或面向客户的应用程序。
DoS 阶段的攻击示例:
- 端点拒绝服务
- 网络拒绝服务
- 资源劫持
- 服务站
- 系统关闭
8. 渗漏
在渗透阶段,高级攻击者最终击中要害,获得了组织最敏感的数据。攻击者会找到一种机制(通常是某种协议隧道)来将数据复制到组织外部。然后,他们可以出售它,将其用于其他攻击(例如,在客户个人数据或付款详细信息的情况下),或公开分发它以损害组织。
渗透阶段的攻击示例:
- 数据压缩
- 数据加密
- 通过替代协议进行渗透
- 通过物理介质渗漏预定传输
可用于阻止网络杀伤链的安全控制
SBS 安全提出了组织可以在每个阶段阻止攻击的五种方法。这些都是:
- 检测– 确定扫描或渗透组织的尝试。
- 拒绝– 在攻击发生时停止攻击。
- 中断– 拦截攻击者进行的数据通信并中断它们。
- 降级——制定限制攻击有效性的措施。
- 欺骗– 通过提供虚假信息或设置诱饵资产来误导攻击者。
以下信息显示了如何使用安全工具将每个安全控制应用于每个杀伤链阶段。
侦察
探测
- 网络分析
- 威胁情报
- 网络入侵检测系统
否定
- 信息共享政策
- 防火墙访问控制列表
武器化
探测:
- 威胁情报
- 网络入侵检测系统
拒绝:网络入侵防御系统
送货
探测:
- 端点恶意软件防护
否定:
- 更换管理层
- 应用程序白名单
- 代理过滤器
- 基于主机的入侵防御系统
破坏:内联防病毒
降级:排队
包含:
- 路由器访问控制列表
- 应用程序感知防火墙
- 信任区
- 域间网络入侵检测系统
开发
探测:
- 端点恶意软件防护
- 基于主机的入侵检测系统
否定:
- 安全密码
- 补丁管理
中断:数据执行预防
包含:
- 应用程序感知防火墙
- 信任区
- 域间网络入侵检测系统
安装
探测:
- 安全信息和事件管理 (SIEM)
- 基于主机的入侵检测系统
否定:
- 权限分离
- 强密码
- 双因素身份验证
中断:路由器访问控制列表
包含:
- 应用程序感知防火墙
- 信任区
- 域间网络入侵检测系统
命令与控制
探测:
- 网络入侵检测系统
- 基于主机的入侵检测系统
否定:
- 防火墙访问控制列表
- 网络分段
破坏:基于主机的入侵防御系统
降级:沥青
欺骗:域名系统重定向
包含:
- 信任区
- 域名系统污水坑
目标行动
检测:端点恶意软件防护
拒绝:静态数据加密
破坏:端点恶意软件防护
降级:服务质量
欺骗:蜜罐
包含:事件响应
渗漏
探测:
- 数据丢失防护 (DLP)
- SIEM
拒绝:出口过滤
破坏:DLP
包含:防火墙访问控制列表
UEBA 技术如何帮助识别和阻止高级持续威胁
网络杀伤链模型主要关注高级持续威胁(APT)。APT 攻击者擅长隐藏他们的活动并掩盖他们的踪迹,一旦他们进入公司网络,就很难被发现。APT 攻击是由一群熟练的黑客发起的,他们通过在几个月内渗透并在组织中横向移动来瞄准企业系统,同时小心翼翼地避免被发现。虽然这些步骤中的每一个都可能逃避传统的检测技术,但它们一起创造了一幅异常的图片。
现代安全工具,例如用户和实体行为分析 ( UEBA ),可以帮助检测现代攻击者使用的各种技术。将机器学习与 UEBA 结合使用可以学习用户行为并将其集成到检测引擎中,从而为分析师节省大量检测时间。
UEBA 动态适应环境,与传统方法不同,它可以检测行为的细微变化。UEBA 可以分析来自不同系统的大量数据,并识别用户、机器、网络和应用程序的异常行为。当出现异常或可疑情况时,UEBA 系统可以识别它并向安全团队发出警报。
为了将行为模式解析为攻击序列,安全分析师需要查看攻击杀伤链的完整情况。UEBA 应该将所有相关事件整合到一个时间线中,以理解这次攻击。这使得在实际违规发生之前尽早检测到 APT 和相关攻击者技术成为可能。例如,UEBA 可以检测侦察活动,这些活动表现为不规则的网络流量;将渗透尝试识别为异常或可疑登录;并在攻击的后续阶段发现受损用户帐户的异常行为。
速度对于发现复杂的攻击序列至关重要。借助 UEBA 等现代工具,安全分析师现在可以跟踪攻击者采取的步骤,并在攻击对组织造成损害之前对其进行检测。
川公网安备 51019002003012号