大多數安全人員對殺傷鏈模型并不陌生。該模型由洛克希德馬丁公司于2011年創建，描述了壞人偷盜敏感信息通常會經歷的7個階段：偵察、武器化、投放、漏洞利用、安裝、命令與控制、在目標上操作。安全分析師和調查人員的目標，就是要盡早趕在敏感數據被帶出門前撕裂這個鏈條。該模型對某些攻擊類型有效，但并不適用于其他多種攻擊類型。

[[237093]]

現代攻擊方式更為高端復雜，攻擊者可能來自內部和外部，或許是心懷惡意的雇員，可能是被感染的用戶，又或者是徹底的外部黑客。經典殺傷鏈模型是為公司企業對抗外部威脅準備的，一些公司企業試圖將該模型套用到其他類型的威脅上，比如內部人威脅，但因內部人威脅的行為模式與外部人不同，該經典模型完全沒有效果。

被動vs主動

殺傷鏈模型從本質上就是被動型的。該模型的目標是在傷害造成前阻止正在進行中的潛在攻擊。傳統殺傷鏈與該目標一致，但用于惡意內部人之類威脅的模型還有其他樣式，也符合被動網絡風險模型。對抗威脅特別有效的另一網絡風險模型是主動式的。該模型突破傳統思路，尋求在攻擊發生前就減小攻擊界面。我們可以首先看幾個被動網絡風險模型，主要分為兩大類：

(1) 離職風險：準備離職的員工會提升數據丟失風險。他們看起來不甚高明，離職過程中也不會表現出太多引人注意的行為。殺傷鏈風格的被動風險模型從檢測早期指標開始，比如說，某雇員表現與平時有異，經常訪問求職網站什么的。不過，即便雇員訪問此類網站，也不一定就代表著他們已對公司構成威脅。只有當他們進入下一階段，比如在奇怪工作時間上傳較大加密文件到云存儲空間，才會轉變為潛在威脅。

這兩個階段的結合——反復訪問求職網站+在奇怪的工作時間上傳大文件，就是該員工已成離職風險需要密切關注的指征了。下一階段涉及該員工積極嘗試從公司網絡中拉出敏感數據。他可能會試圖將敏感數據用電子郵件發送到外部地址，被封之后還繼續嘗試其他方法，直到達成目的。

該殺傷鏈風格風險模型的目標，是在數據滲漏發生前識別出成為離職風險的人并著手處理。或者，即便他們真的滲漏數據了，也要在對公司造成真正傷害前發現滲漏行為并加以阻止。

(2) 長期內鬼：與離職風險不同，長期內鬼是更加復雜的一類內部人，他們沒有離開公司的意愿，會反復找尋任何他們能染指的敏感數據，用以出售盈利抑或危害公司。公司企業看不到這些員工登錄求職網站，但他們會訪問能讓他們規避網絡代理的那些網站。此類網站能讓他們隱蔽地跳轉到暗網，繞開安全控制，轉移數據。

該殺傷鏈的下一階段，是長期內鬼持續嘗試登錄自己通常不具有權限的那些系統。他們靜靜地搖晃不應打開的門，探查不屬于自己/自己同事/所處團隊的角色應該知道的敏感數據。

訪問可疑網站+嘗試登錄權限范圍外的系統，就是該員工可能是長期內鬼的良好指標了。下一階段就到了這名員工真正展開數據滲漏的時候。比如說，經常性加密少量敏感數據并滲漏到外部網絡。將數據分散成小量多批滲漏的做法旨在規避檢測，而加密數據則是為了讓公司更難以看出里面到底隱藏了什么。

顯然，公司的目標是要在內鬼進行到最后的滲漏階段之前就加以阻止。該殺傷鏈顯示出了事件的發展進程，讓公司企業可以在傷害造成前扼住威脅。

內部人威脅模型是一連串被動事件的例子。很多公司嘗試將之套入最初的經典殺傷鏈連模型中，但往往發現自己需要跳過幾個階段，就好像是在把方形的楔子硬敲入原型的孔洞似的，根本不合套。利用殺傷鏈概念無可厚非，但成功的關鍵在于要足夠靈活，適應當前復雜的威脅態勢。

想要跨越到主動網絡風險管理，不妨考慮用對抗勒索軟件的預測模型。該鏈不去查找正在進行中的威脅的各項指標，而是先識別出哪些機器、應用和系統易遭受勒索軟件攻擊，然后確定出其中哪些存有敏感數據。此后，公司企業就能很容易地了解哪些資產需要更好地修復或應用更嚴密的安全控制措施了，而最終將會識別出到底哪臺機器正被攻擊，他們的響應效果又如何。綜合起來，這種做法能夠很有遠見地減小攻擊界面，領先攻擊者一步。

被動式殺傷鏈模型是要在為時已晚之前發現威脅并阻止之;主動式模型則是在攻擊襲來前減少攻擊機會。如果公司企業在應用經典殺傷鏈模型之外還能采納其他模型，將能以更少的人力和時間成本取得更大的威脅追捕成果，在攻擊者造成傷害前預先束縛住他們的手腳。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文