美國軍方率先將“殺傷鏈(cyber kill chain)”概念正式化�,這個概念被寬泛地定義為消滅目標鏈條中的六個階段:發(fā)現(xiàn)(Find)���、定位(Fix)��、跟蹤(Track)�、瞄準(Target)、打擊(Engage)和評估(F2T2EA)���。
創(chuàng)新互聯(lián)為您提適合企業(yè)的網站設計?讓您的網站在搜索引擎具有高度排名,讓您的網站具備超強的網絡競爭力�!結合企業(yè)自身,進行網站設計及把握����,最后結合企業(yè)文化和具體宗旨等,才能創(chuàng)作出一份性化解決方案���。從網站策劃到網站制作����、網站設計�����, 我們的網頁設計師為您提供的解決方案。
2011年��,美國國防承包商洛克希德·馬丁公司(Lockheed Martin)提出了應用到網絡安全威脅的殺傷鏈模型���,即所謂的“網絡殺傷鏈”��,指成功發(fā)起網絡攻擊的七個階段:
- 偵察:收集信息�,偵察目標����。在該階段,可通過收集電子郵箱或社會工程技術來實現(xiàn)����,例如在社交網絡上查找目標,在開放網絡上查找目標相關的任何其他可用信息;或掃描開放的服務器或面向互聯(lián)網的服務器查找可能使用默認憑證的情況(公開可用的信息��,例如通過Shodan搜索)�。
- 武器化:按照洛克希德·馬丁公司的描述,這個階段可將后門與可傳送Payload結合利用�����。換句話講就是構建攻擊系統(tǒng)入侵網絡���,利用合適的惡意軟件(例如遠程訪問木馬)����,以及誘騙目標執(zhí)行惡意軟件的技術。
- 散布:洛克希德·馬丁公司指出�����,該階段可通過電子郵件����、網絡�����、USB 等散布網絡武器�,這就相當于將 Payload 從 A 傳到 B 再到 C。
- 利用:利用目標系統(tǒng)上的漏洞執(zhí)行惡意代碼�。
- 安裝:安裝上述代碼。
- 命令與控制:用于遠程操縱受害者的通信渠道�����。由于目標已被遭受攻擊����,被感染的系統(tǒng)通常會通過僵尸程序��、或其它被感染的系統(tǒng)向攻擊者Ping命令,以進一步掩蓋攻擊者的路徑��。
- 針對目標的行動:攻擊者實現(xiàn)設定的目標����,例如實施間諜活動�、入侵網絡上更底層的系統(tǒng)、竊取憑證���、安裝勒索軟件或造成破壞���。
與軍事殺傷鏈一樣,網絡殺傷鏈條中的所有環(huán)節(jié)環(huán)環(huán)相扣��,一環(huán)脫節(jié)����,全盤皆散,因此要保證每個階段成功才能確保整個攻擊成功實現(xiàn)�����。
目前,大多數攻擊可能都在遵循這些步驟�����, 但更為復雜的攻擊可能正在發(fā)展當中�����,抑或自動化和人工智能將更多地用于攻擊��。
針對網絡殺傷鏈的防御對策
洛克希德·馬丁公司在2015年發(fā)布的白皮書中提出預防措施�����,以降低上述每個階段的損害力���。
一、偵察
偵察很難防御�����,因為它通?�?梢岳瞄_放網絡上的可用信息構造出關于目標的詳細資料����。當數據泄露發(fā)生時��,這些詳細信息通常會被掛在暗網出售���,或免費暴露在開網絡上(例如Pastebin)。針對該階段可采取的對策包括:
- 收集訪客日志���,以便日后在攻擊發(fā)生時搜索這些日志;
- 著眼于瀏覽器分析�����,并探測到攻擊者偵察常見的瀏覽行為�����。
若懷疑發(fā)生偵察企圖�����,該對策可圍繞這些人和技術提供優(yōu)勢來分配防御資源����。
二�����、武器化
武器化在很大程度上發(fā)生在攻擊者身上,因此攻擊之前不太可能對 Payload 本身有所了解����。企業(yè)可在整個組織機構內部實施嚴格的修復規(guī)則,并鼓勵員工培訓����。攻擊者最樂于見到的兩種情況是:差勁的修復/更新合規(guī)以及簡單的人為錯誤。一旦注意到攻擊方式�,那便掌握了資源,從而可在安全的虛擬機中對惡意軟件進行取證分析����。若了解惡意軟件構建的原因及方式,便對漏洞有所了解����。因此,不要放過對任何一個細節(jié)的檢查!
三��、散布
任何對安全最佳實踐有基本了解的組織機構應該部署了適當的邊界保護解決方案(防火墻���、對網絡主動掃描)���。部署強大的防火墻固然重要,但若配置不當可能無法達到效果�。
企業(yè)應對員工開展適量的意識培訓和電子郵件測試,例如可針對員工發(fā)起虛擬的電子郵件攻擊�����,以嘗試了解組織機構的網絡安全情況�。在技術方面,企業(yè)有必要定期執(zhí)行漏洞掃描并讓“紅隊”定期進行滲透測試���。洛克希德·馬丁公司建議使用端點強化措施(例如限制管理員權限)����,使用 Microsoft 增強型緩解體驗工具包(EMET)�����,引入自定義端點規(guī)則阻止執(zhí)行 shellcode�����,檢查所有內容(尤其端點)以試圖找出漏洞利用的根源。
四�、安裝
如果檢測到惡意軟件在網絡上執(zhí)行,可盡最大努力隔離攻擊�����,這意味著可能要減少當天的操作��。檢查端點進程以查找異常的新文件���,并使用 Host Intrusion Prevention System 來警告或阻止常見的安裝路徑�。另外���,還需試圖盡力了解惡意軟件�,確定是否屬于 0Day 漏洞���、是新漏洞還是舊漏洞����、其執(zhí)行需要哪些權限����、所處位置以及運作方式。
五���、命令與控制
洛克希德·馬丁公司將命令與控制描述為“防御者阻止攻擊的最后機會......如果對手無法發(fā)出命令����,防御者便可控制影響”�����。但是�,對于某些惡意軟件而言,尤其對那些旨在自動破壞或引起混亂的惡意軟件而言��,情況并非如此�。該公司指出,可通過惡意軟件分析發(fā)現(xiàn)基礎設施���,整合互聯(lián)網存在點的數量來強化網絡���,并要求將代理用于所有類型的流量,包括 HTTP 和 DNS�。此外,防御者還可引入代理類別塊�、DNS sinkholing 和簡單的研究。
六、針對目標的行動
許多攻擊的潛伏時間為幾天����、幾周、幾個月甚至幾年����。因此,檢測到入侵就意味著成功了一半���。但是���,應盡快采取后續(xù)的緩解措施,包括確定被泄的數據����、惡意軟件的傳播范圍(尤其是橫向移動)、尋找未經授權的憑據����。應急事件響應手冊相關內容將涉及到向公司高管、當地數據當局和警方交談�,可能還需向大眾披露攻擊事件。從公共關系的角度來看����,一開始就向公眾披露的做法比緘口不提更恰當�����。此外,還可以根據攻擊的嚴重程度尋求專家的幫助�。
遭遇攻擊的企業(yè)應從攻擊中吸取教訓,并改進安全流程����,以緩解未來可能會發(fā)生的類似攻擊。
網頁名稱:盯緊攻擊者“網絡殺傷鏈” 簡單防御六步走
當前路徑:
http://uogjgqi.cn/article/dhieggi.html
