譯者 | 李睿

審校 | 梁策 孫淑娟

信息安全行業人士可能聽說過使用“網絡殺傷鏈”來幫助識別和防止網絡攻擊。網絡攻擊者正在不斷改進他們的方法，這需要人們以不同的方式看待網絡殺傷鏈。以下是對網絡殺傷鏈的分析，以及企業如何在自己的運營環境中使用它。

一、網絡殺傷鏈的定義

網絡殺傷鏈也稱為網絡攻擊生命周期，是美國航空航天制造商洛克希德·馬丁公司開發的一個模型，用于描述有針對性的網絡攻擊的各個階段。它分解了惡意軟件攻擊的每個階段，防御者可以識別并進行阻止。

采用軍事術語來說，“殺傷鏈”是一種基于階段的模型，用于描述網絡攻擊的各個階段，這也有助于提供防止此類攻擊的方法。網絡攻擊越接近殺傷鏈的起始點，就越有可能被阻止。例如，網絡攻擊者擁有的信息越少，利用這些信息完成網絡攻擊的可能性就越小。

網絡殺傷鏈將軍事模型應用于網絡攻擊各個階段的描述，以便它們可以用于保護企業的網絡。各個階段如下圖所示：

需要記住的一件事是：越是接近攻擊鏈的起點，就越能阻止攻擊，清理的成本和時間就越少。如果企業在網絡攻擊已經進入其網絡之前沒有阻止，將不得不修復自己的服務器設備，并進行大量取證工作以找出它們竊取了哪些信息。

二、網絡殺傷鏈描述的步驟

網絡殺傷鏈中描述的步驟很像傳統的入室盜竊。竊賊會在試圖滲透之前，首先對建筑物進行偵察，然后再經過幾個步驟才能盜走贓物。使用網絡殺傷鏈來防止攻擊者偷偷進入網絡需要大量的情報和對網絡中正在發生的事情的可見性。因此需要知道什么時候不應該出現的狀態，這樣就可以設置警報來阻止攻擊。

以下仔細看看網絡殺傷鏈的7個步驟，以確定自己應該問哪些問題，以決定它對企業是否可行。

(1)偵察

(2)武器化

(3)交付

(4)利用

(5)安裝

(6)命令與控制

(7)行動

1.偵察

在這個階段，犯罪分子正試圖確定哪些是(或者哪些不是)理想的目標。他們從外部可以了解企業的資源和網絡，以確定是否值得付出努力。在理想情況下，他們想要尋找一個相對不設防且擁有有價值數據的目標。犯罪分子可以找到關于目標公司的哪些信息，以及如何使用這些信息，可能會讓人們大吃一驚。

企業通常擁有比他們了解到的更多的信息。而企業的員工姓名和聯系方式可以被網絡攻擊者用于社會工程目的，例如讓他們泄露用戶名或密碼。那么，是否有關于網絡服務器或在線物理位置的詳細信息?這些信息也可以用于社會工程，或者確定可能對網絡攻擊有用的漏洞列表。

這是一個難以控制的層面，尤其是隨著社交網絡的普及。而隱藏敏感信息往往是一種成本很低的更改，盡管徹底查找信息可能會耗費大量時間。

2.武器化、交付、利用、安裝

這四個階段是網絡犯罪分子利用收集到的信息精心設計一種工具來攻擊選擇的目標。他們能使用的信息越多，社會工程攻擊就越有效。

網絡攻擊者可以使用魚叉式網絡釣魚方法，通過某家企業員工的LinkedIn頁面上找到的信息獲取其內部資源。或者他們可以將遠程訪問木馬放入文件中，該文件包含有關即將發生的事件的重要信息，以誘使接收者運行它。

如果網絡攻擊者知道企業的用戶或服務器運行什么軟件，包括操作系統版本和類型，他們就有可能在企業的網絡中利用并安裝一些插件。

這些防御層是標準安全專家建議的來源。企業使用的軟件是最新的嗎?每臺服務器都有防御層嗎?大多數企業可能都有仍在運行Windows98操作系統的電腦，如果它曾經連接到互聯網，這就像為攻擊者打開了大門。

那么是否使用電子郵件和網絡過濾?電子郵件過濾是阻止攻擊中使用的常見文檔類型的好方法。如果要求以標準方式發送文件，例如在受密碼保護的ZIP存檔中，可以幫助其用戶知道何時有意發送文件。Web過濾可以幫助防止用戶訪問已知的不良站點或域。

是否禁用了USB設備的自動播放?從安全的角度來看，讓文件有機會在未經批準的情況下運行不是一個好主意。最好讓用戶有機會在它啟動之前停下來思考他們所看到的內容。

是否使用具有最新功能的端點保護軟件?雖然端點保護軟件并非旨在處理全新的針對性攻擊，但有時它們可以根據已知的可疑行為或已知的軟件漏洞捕獲威脅。

3.命令與控制

一旦威脅進入企業的網絡，它的下一個任務就等待命令。這有可能是為了下載其他組件，但更有可能是通過命令和控制(C&C)渠道聯系僵尸主機。無論哪種方式，這都需要網絡流量，這意味著這里只有一個問題：是否有入侵檢測系統，該系統是否設置為對所有與網絡聯系的新程序發出警報?

如果威脅已經發展到這一步，它已經對機器進行了更改，并且需要IT人員做更多的工作。一些行業或企業要求對受到網絡攻擊的機器進行取證，以確定哪些數據被盜或被篡改。這些受影響的機器或者需要進行災難恢復，或者需要重新備份。

如果數據已經備份并且可以快速替換到機器上，則成本和耗時可能會更低。

4.行動

殺傷鏈的最后一步是網絡攻擊本身，例如中斷服務或安裝惡意軟件，但需要記住，行動步驟是為了實現預期目標，一旦他們被成功地中斷、破壞或過濾，網絡攻擊者可以重新進入并重新進行。

Preempt Security公司首席執行官Ajit Sancheti表示，網絡攻擊的預期目標通常是獲利，并且可以采取多種形式。例如，網絡攻擊者可以使用受損的基礎設施進行廣告欺詐或發送垃圾郵件、向企業勒索贖金、出售他們在黑市上獲得的數據，甚至將被劫持的基礎設施出租給其他犯罪分子。他說，“網絡攻擊的獲利程度大幅提高?！?/p>

他補充說，加密貨幣的使用使網絡攻擊者更容易、更安全地獲得贖金，這改變了網絡攻擊背后的動機。參與消費被盜數據的不同群體的數量也變得更加復雜。這可能會為企業創造機會，與執法部門和其他團體合作，破壞這一攻擊過程。

Splunk公司安全研究負責人Monzy Merza說：“以被盜的支付卡信息為例。一旦信用卡數據被盜，網絡攻擊者就會對這些數字進行測試、出售、用于購買商品或服務，這些商品或服務反過來必須被出售，以將其轉換為現金?！彼硎荆羞@些都不屬于網絡攻擊的傳統殺傷鏈。黑市生態系統影響網絡攻擊生命周期的另一個領域是在網絡攻擊開始之前，攻擊者將會共享受損憑證、易受攻擊的端口、未打補丁的應用程序的列表。

三、網絡殺傷鏈面臨的問題

正如最近發生的事件充分表明的那樣，網絡攻擊者并沒有遵循一些規則。他們或者跳過一些步驟，或者添加一些步驟。最近一些最具破壞性的網絡攻擊繞過了安全團隊多年來精心建立的防御機制，因為他們遵循不同的計劃。根據Alert Logic公司在2018年發布的一份調查報告，88%的攻擊將殺傷鏈的前五個步驟合并為一個步驟。

近年來，人們也看到了加密貨幣挖掘惡意軟件的興起。Alert Logic公司首席威脅研究員Matt Downing說，“他們使用的技術忽略了傳統步驟，所有的早期緩解和檢測技術都不起作用。”此外，網絡攻擊者不必竊取有價值的數據，然后試圖在黑市上出售。他補充說，“他們可以直接將受損資產實現貨幣化。”

而具有泄露憑據的攻擊(網絡攻擊者使用看似合法的數據登錄，并使用這些帳戶竊取數據)也不適合傳統的攻擊框架。Downing說，“在這種情況下，洛克希德·馬丁公司的殺傷鏈顯然不適用?！?/p>

另一種不符合傳統模型的攻擊類型：Web應用程序攻擊。Virsec Systems公司創始人兼首席技術官Satya Gupta說：“當企業的應用程序暴露在網絡上時，任何人都可以訪問。這就像在家中打開了一扇門一樣。”

例如，Equifax漏洞可以追溯到Apache Struts Web服務器軟件中的漏洞。盡管該公司已經針對這一漏洞安裝了安全補丁，本可以避免該問題，但有時軟件更新本身會受到損害。

CyberArk實驗室網絡研究團隊負責人Lavi Lazarovitz表示，物聯網、DevOps和機器人過程自動化等其他變革性技術也在以不符合傳統網絡殺傷鏈模型的方式增加攻擊面。

傳統的網絡攻擊生命周期也錯過了根本不涉及企業系統的攻擊。例如，企業越來越多地使用第三方軟件即服務(SaaS)提供商來管理其有價值的數據。

Cybereason公司的高級總監Ross Rustici說：“考慮到人們的登錄數量、SaaS服務的數量以及存在的第三方連接的數量，這個問題的規模呈指數級增長。如果核心網絡被入侵，企業可能會遭遇一場終結業務的黑客攻擊?！?/p>

四、網絡殺傷鏈vs. Mitre ATT&CK

網絡威脅不斷發展的性質使一些企業尋求一種更靈活、更全面的網絡攻擊思維方式。

而行業領先的競爭者是Mitre ATT&CK框架。Obsidian Security公司的首席技術官Ben Johnson說：“這是一場展示與殺傷鏈中的每一步相關的實際攻擊技術的大型運動，它受到了供應商和社區難以置信的歡迎和認可?！?/p>

Jask公司安全研究主管Rod Soto警告不要過度依賴框架。他說，“對抗性漂移本質上是動態的。網絡攻擊者的工具、技術和程序將隨著新的防御措施過時而不斷變化。像網絡殺傷鏈這樣的框架可以成為我們工具包的一部分，但這取決于我們作為安全專家繼續創造性地思考，以便跟上網絡攻擊者創新的步伐?！?/p>

原文鏈接：https://www.csoonline.com/article/2134037/what-is-the-cyber-kill-chain-a-model-for-tracing-cyberattacks.html