黑客辭典：什麼是「網路殺傷鏈」？為什麼並非適用於所有的網路攻擊？

作為一名信息安全從業人員，你可能已經聽說過使用「網路殺傷鏈」（也稱為「網路攻擊生命周期」）來幫助識別和防止入侵。但是，攻擊者正在不斷發展自身的攻擊技能，所以，這可能需要我們用辯證的眼光來看待「網路殺傷鏈」。接下來，小編就會對網路殺傷鏈的基本內容，以及如何在當今的威脅環境中有效地運用它進行詳細介紹：

什麼是「網路殺傷鏈」？

在介紹「網路殺傷鏈」之前，有必要簡單地介紹一下「殺傷鏈」的概念。殺傷鏈是指對攻擊目標從偵查到破壞的一系列循環處理過程，從而有效地幫助加深了解如何防禦此類攻擊。具體來說，就是防禦者通過各個階段阻止核武器、導彈等發揮作用，從而使攻擊者無法達到預期的作戰目的。

殺傷鏈最初由美國空軍參謀長Ronald Fogleman將軍於1996年空軍協會研討會上提出的。通常而言，殺傷鏈主要分為6個階段：

發現（Find）n鎖定（Fix）n跟蹤（Track）n定位（Target）n交戰（Engage）n評估（Assess）n

距離殺傷鏈開始越近，阻斷攻擊的效果便越好。例如，攻擊者獲得的信息越少，其他人就越不可能使用這些信息來完成接下來的攻擊過程。

網路殺傷鏈也是同樣的道理，該理念最初是由Lockheed Martin（洛克希德·馬丁）公司提出的，描述了有針對性的攻擊階段。同樣，防禦者也可以利用它們來保護組織的網路，這些階段如下圖所示，包括偵查、武器化、交付、利用、部署、命令與控制以及目標達成7個階段：

這個過程就像一個典型的盜竊活動實施過程。小偷需要先去目標地進行偵察，然後試圖滲透其中，最終獲取實際戰利品之前需要經過的幾個步驟。想要使用網路殺傷鏈來防止攻擊者潛入你的網路中，你需要對網路中發生的事情具有一定程度的了解和可見性。你需要知道什麼時候不應該發生什麼事情，如此你才可以設置警報來阻止攻擊行為。

另外，需要注意的是，越能在網路殺傷鏈開始階段阻止攻擊，受損的程度就會更少。如果你無法有效地阻止攻擊，讓其深入網路內部，那麼你就不得不去修復這些受損設備，並進行大量的取證工作，來識別究竟攻擊者已經獲取了哪些信息？具體的損失究竟有多少？

接下來，讓我們看看各個階段都能夠確定哪些問題，以及你的企業應該採取哪些措施來有效地進行防禦：

偵察階段：從外部查看你的網路

在這個階段，網路犯罪分子會確定攻擊對象究竟是不是一個「好的」目標。他們會通過網路收集企業／組織機構網站、報道資料、招標公告、職員的社會關係網、學會成員目錄等各種與目標相關的情報。理想的情況下，他們想要尋找到一個無人看守又具備很多有價值的數據的目標。

事實上，一個公司往往擁有比他們意識到的更多的信息暴露在外，例如，您員工的姓名和聯繫方式是否在線可尋？（想一想社交網路上的個人資料）這些信息都可以被用於社會工程目的（例如，通過社會工程獲取用戶名和密碼等信息）。有沒有關於您的網路伺服器或物理位置的詳細信息暴露在外？這些也可以用於社會工程目的，或者縮小有助於入侵你的網路環境的可能漏洞列表。

這個階段的控制非常棘手，特別是隨著社交網路的日益普及。雖然徹底搜尋信息是一件「時間密集型」的工作，但是隱藏的敏感信息所帶來的效果卻是可觀的。

武器化、交付、利用、部署階段：試圖進入的過程

這些階段是網路犯罪分子利用他們收集的信息製造攻擊他們選擇的目標的工具，並將其惡意利用的過程。這些階段中，他們可以利用的信息越多，社會工程攻擊的效果越好。他們可以使用魚叉式網路釣魚手段，或是在員工的LinkedIn頁面上找到的信息來進一步獲取企業內部資源。或者，他們還可以把遠程訪問木馬注入文件中，誘使相關人員點擊並運行它，以此實現竊取機密信息的目的。如果他們知道你的伺服器運行的軟體（包括操作系統版本和類型），則可能會增加在您的網路中利用和安裝某些惡意內容的可能性。

針對這些階段的防禦要求你必須遵循標準安全建議。你的軟體是最新的嗎？包括每台設備上的每個軟體／操作系統。如今，大多數公司後台仍然在運行Windows 98系統。試想一下，一旦它連接到網路中，不就等於在自己門口放了一個「歡迎光臨」的引導牌嗎！

你有使用電子郵件和網頁過濾機制嗎？電子郵件過濾是阻止攻擊中使用的常見文檔類型的好方法。如果你要求以標準方式發送文件，一旦收到密碼保護的ZIP文檔，你的用戶就可以清楚地識別哪些文件是惡意的，降低釣魚郵件的可能性。網頁過濾能夠有效地阻止用戶進入已知的惡意網站或域名。

你是否禁用USB設備的自動播放？從安全形度來看，儘可能少的給文件提供未經允許的運行機會是一件好事，用戶在授權某些許可權之前也應該仔細地思考是否存在這種必要。

你是否使用了具有最新功能的端點保護軟體？雖然端點保護軟體並不能處理所有最新的針對性攻擊，但是它們大多數情況下還是能夠基於已知的可疑行為或軟體漏洞來捕獲威脅。

命令與控制（C&C）：威脅正在上演

這一階段，攻擊者已經建立了針對目標系統的攻擊路徑，接下來要做的就是等待攻擊指令。這些指令可能是下載更多的惡意組件，或是聯繫C&C渠道中的控制者（botmaster）。無論是哪種方式都需要網路流量，這裡我們就要自省一個問題：你是否設置了防火牆，能夠在所有新程序連接網路時發出警報？

如果威脅發展到這一步，就需要我們對受損設備進行修復，IT人員也需要進行更多的工作來挽救損失。一些公司或行業會要求在受損的設備上進行取證，以確定哪些數據被竊或遭到篡改，受影響的設備需要進行清洗或重新組裝。如果數據已經備份，就可以快速地轉移到安全設備上，但是如果沒有，就會耗費更多時間和資源成本。

一些攻擊活動開始遵循自己的規則

過去一年發生的攻擊事件證實，攻擊者並沒有完全遵循上述的劇本，他們跳過了一些步驟，也增加了一些步驟。近期一些最具破壞性的攻擊活動都繞過了安全團隊多年來精心構建的防禦體系，因為攻擊者正在部署不同的遊戲戰略。Kudelski Security全球託管服務副總裁Alton Kizziah表示，

Lockheed Martin公司提出的網路殺傷鏈是以惡意軟體為中心的，這使得一些攻擊類型能夠逃脫防禦。

Alert Logic，Inc.聯合創始人兼監控數據中心安全產品和市場部高級副總裁Misha Govshteyn也表示，

網路殺傷鏈從來都不適合我們所看到的攻擊。

根據今年的「Verizon數據泄露調查報告」顯示，今年，網路應用程序攻擊是最常見的數據泄露類型，占所有違規行為的近三分之一。而最常見的攻擊方法就是利用應用程序本身的漏洞。

前段時間的Equifax數據泄漏事件只是影響非常大的一個例子，證明了這種攻擊類型確實很難發現。Equifax公司並沒有發現在其網站上存在長達兩個多月的可疑網路流量。Positive Technologies公司的網路安全恢復能力負責人Leigh-Anne Galloway表示：

通常，一個組織會在已經發生數據泄漏的情況下才知道自己已經遭到入侵，或是需要第三方機構（如客戶）提醒才會意識自身出現安全問題。

Equifax的數據泄漏事件是由Apache Struts Web伺服器軟體中的一個已知漏洞所導致的。如果該公司已經安裝了針對該漏洞的安全補丁程序，就可以避免此類問題的發生。但是，有時候軟體更新本身也會導致安全問題，就像今年9月份Avast公司發生的CCleaner軟體更新問題一樣。

其次，還有零日漏洞的問題。根據Contrast Security公司CTO兼聯合創始人Jeff Williams的說法，平均每個軟體應用程序和API都存在26.8個嚴重的安全漏洞。他說，

這是一個驚人的數字，公眾會對Equifax公司的疏忽行為感到憤怒，但是事實上，幾乎所有的公司在其應用層都存在同樣的安全隱患。我們從世界各地數千個IP地址中已經偵測出了大量的應用程序攻擊行為。

為了防止這種類型的攻擊，企業需要加快安全補丁的部署。Williams表示，

過去，在披露應用程序漏洞之後，攻擊還會持續數周或數月。但是現在，安全窗口已經減少到了大約一天，到2018年還可能減少至幾個小時。

公司還需要將安全控制直接潛入到應用程序中，這種技術被稱為「運行時應用自我保護」（Runtime Application Self-Protection，簡稱RASP），Gartner預測該細分市場年複合增長率為9％。

Virsec Systems公司創始人兼首席技術官Satya Gupta表示：

安全性需要嚮應用程序靠攏，深入研究核心流程和內存使用情況。潛入在應用程序層的新型『控制流技術』可以理解應用程序協議和上下文，並映射應用程序的可接受流（類似谷歌地圖）。如果應用程序應該從A點到達B點，那麼沒有按照路徑的行為肯定是錯誤的。

研究人員還表示，攻擊者也可以在其遊戲攻略中增加步驟。例如，他們可能需要時間來處理他們的網路痕迹、設置中斷、傳播錯誤的數據，或是安裝可用於未來攻擊的後門程序等。他們可以按順序執行這些步驟，也可以返回並重複步驟。研究人員表示，這不是一個簡單的線性過程，它通常更像一棵樹的蔓延分支。

攻擊貨幣化：在真正結束之前一切遠沒有結束

在DoS攻擊的例子中，中斷不一定是攻擊的最後一步。攻擊者可以在成功地實現中斷、瓦解或滲漏過程後，重新侵入其中並重複之前的所有過程。

或者他們可以進入另一個階段：貨幣化。根據Preempt Security首席執行官Ajit Sancheti的說法，攻擊者可以採取任何形式實現盈利的目的。例如，他們可以利用受損的基礎設施進行廣告欺詐或發送垃圾郵件、向受害企業索要贖金、在地下黑市出售竊取的數據，甚至將被劫持的基礎設施出租給其他犯罪分子，收取租金。總而言之，攻擊的貨幣化形勢正在急劇增加。

研究人員進一步補充道，比特幣的使用使得攻擊者能夠更容易和安全地獲取金錢，這有助於改變攻擊背後的動機。此外，涉及消費被盜數據的不同群體數量也變得更為複雜，這可能會為企業和執法機構以及其他團體進行合作創造新的機會。

以銷售被盜信用卡信息為例，Splunk公司安全研究主管Monzy Merza說，

一旦信用卡數據被竊取，其中的數據必須要經過測試、出售以及用於採購商品或服務，而這些商品或服務又必須出售以將其轉化為現金。

而所有這些過程都是在傳統的「網路殺傷鏈」範圍之外。黑市生態系統會在攻擊開始之前成為影響「網路攻擊生命周期」的重要環節。攻擊者可以在黑市中共享被破壞的憑證、易受攻擊的埠以及未打補丁的應用程序列表等信息。

並非有了防火牆就萬事俱備

傳統的網路攻擊生命周期也沒有觸及企業系統的攻擊。例如，如今，企業開始越來越多地使用第三方軟體即服務（SaaS）提供商來管理其有價值的數據。那些在黑市上購買登錄信息的攻擊者，甚至從未觸及過公司本身的基礎架構，因此，企業需要制定一個完全不同的防禦策略，例如使用具有雙因素身份驗證的集中式單點登錄系統等。

其次是針對第三方提供商甚至第四方提供商的攻擊。律師事務所、營銷公司以及其他供應商都可能會訪問到敏感的公司文件。金融機構經常會使用第三方處理系統；衛生機構也經常依賴外部供應商。

為了避免違規和監管罰款，組織機構需要建立超越自身網路邊界的安全流程。這涉及文檔管理系統、第三方審計以及供應商協議，要求供應商提供必要的安全控制措施，以及適當的網路保險政策。

哥倫比亞大學計算機科學教授兼Allure Security Technology公司首席技術官Salvatore Stolfo表示，

我們需要重新考慮網路殺傷鏈的現實意義，增加數據在企業範圍之外的可見性，讓人們了解這些數據究竟在哪裡傳播，並且為人們提供一個更好的方法來控制『數據在離開網路後究竟發生了什麼』！

.

本文翻譯自：https://www.csoonline.com/article/2134037/cyber-attacks-espionage/strategic-planning-erm-the-practicality-of-the-cyber-kill-chain-approach-to-security.html?page=2，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8392.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：