译者 | 李睿
审校 | 梁策 孙淑娟
信息安全行业人士可能听说过使用“网络杀伤链”来帮助识别和防止网络攻击。网络攻击者正在不断改进他们的方法,这需要人们以不同的方式看待网络杀伤链。以下是对网络杀伤链的分析,以及企业如何在自己的运营环境中使用它。
一、网络杀伤链的定义
网络杀伤链也称为网络攻击生命周期,是美国航空航天制造商洛克希德·马丁公司开发的一个模型,用于描述有针对性的网络攻击的各个阶段。它分解了恶意软件攻击的每个阶段,防御者可以识别并进行阻止。
采用军事术语来说,“杀伤链”是一种基于阶段的模型,用于描述网络攻击的各个阶段,这也有助于提供防止此类攻击的方法。网络攻击越接近杀伤链的起始点,就越有可能被阻止。例如,网络攻击者拥有的信息越少,利用这些信息完成网络攻击的可能性就越小。
网络杀伤链将军事模型应用于网络攻击各个阶段的描述,以便它们可以用于保护企业的网络。各个阶段如下图所示:
需要记住的一件事是:越是接近攻击链的起点,就越能阻止攻击,清理的成本和时间就越少。如果企业在网络攻击已经进入其网络之前没有阻止,将不得不修复自己的服务器设备,并进行大量取证工作以找出它们窃取了哪些信息。
二、网络杀伤链描述的步骤
网络杀伤链中描述的步骤很像传统的入室盗窃。窃贼会在试图渗透之前,首先对建筑物进行侦察,然后再经过几个步骤才能盗走赃物。使用网络杀伤链来防止攻击者偷偷进入网络需要大量的情报和对网络中正在发生的事情的可见性。因此需要知道什么时候不应该出现的状态,这样就可以设置警报来阻止攻击。
以下仔细看看网络杀伤链的7个步骤,以确定自己应该问哪些问题,以决定它对企业是否可行。
(1)侦察
(2)武器化
(3)交付
(4)利用
(5)安装
(6)命令与控制
(7)行动
1.侦察
在这个阶段,犯罪分子正试图确定哪些是(或者哪些不是)理想的目标。他们从外部可以了解企业的资源和网络,以确定是否值得付出努力。在理想情况下,他们想要寻找一个相对不设防且拥有有价值数据的目标。犯罪分子可以找到关于目标公司的哪些信息,以及如何使用这些信息,可能会让人们大吃一惊。
企业通常拥有比他们了解到的更多的信息。而企业的员工姓名和联系方式可以被网络攻击者用于社会工程目的,例如让他们泄露用户名或密码。那么,是否有关于网络服务器或在线物理位置的详细信息?这些信息也可以用于社会工程,或者确定可能对网络攻击有用的漏洞列表。
这是一个难以控制的层面,尤其是随着社交网络的普及。而隐藏敏感信息往往是一种成本很低的更改,尽管彻底查找信息可能会耗费大量时间。
2.武器化、交付、利用、安装
这四个阶段是网络犯罪分子利用收集到的信息精心设计一种工具来攻击选择的目标。他们能使用的信息越多,社会工程攻击就越有效。
网络攻击者可以使用鱼叉式网络钓鱼方法,通过某家企业员工的LinkedIn页面上找到的信息获取其内部资源。或者他们可以将远程访问木马放入文件中,该文件包含有关即将发生的事件的重要信息,以诱使接收者运行它。
如果网络攻击者知道企业的用户或服务器运行什么软件,包括操作系统版本和类型,他们就有可能在企业的网络中利用并安装一些插件。
这些防御层是标准安全专家建议的来源。企业使用的软件是最新的吗?每台服务器都有防御层吗?大多数企业可能都有仍在运行Windows98操作系统的电脑,如果它曾经连接到互联网,这就像为攻击者打开了大门。
那么是否使用电子邮件和网络过滤?电子邮件过滤是阻止攻击中使用的常见文档类型的好方法。如果要求以标准方式发送文件,例如在受密码保护的ZIP存档中,可以帮助其用户知道何时有意发送文件。Web过滤可以帮助防止用户访问已知的不良站点或域。
是否禁用了USB设备的自动播放?从安全的角度来看,让文件有机会在未经批准的情况下运行不是一个好主意。最好让用户有机会在它启动之前停下来思考他们所看到的内容。
是否使用具有最新功能的端点保护软件?虽然端点保护软件并非旨在处理全新的针对性攻击,但有时它们可以根据已知的可疑行为或已知的软件漏洞捕获威胁。
3.命令与控制
一旦威胁进入企业的网络,它的下一个任务就等待命令。这有可能是为了下载其他组件,但更有可能是通过命令和控制(C&C)渠道联系僵尸主机。无论哪种方式,这都需要网络流量,这意味着这里只有一个问题:是否有入侵检测系统,该系统是否设置为对所有与网络联系的新程序发出警报?
如果威胁已经发展到这一步,它已经对机器进行了更改,并且需要IT人员做更多的工作。一些行业或企业要求对受到网络攻击的机器进行取证,以确定哪些数据被盗或被篡改。这些受影响的机器或者需要进行灾难恢复,或者需要重新备份。
如果数据已经备份并且可以快速替换到机器上,则成本和耗时可能会更低。
4.行动
杀伤链的最后一步是网络攻击本身,例如中断服务或安装恶意软件,但需要记住,行动步骤是为了实现预期目标,一旦他们被成功地中断、破坏或过滤,网络攻击者可以重新进入并重新进行。
Preempt Security公司首席执行官Ajit Sancheti表示,网络攻击的预期目标通常是获利,并且可以采取多种形式。例如,网络攻击者可以使用受损的基础设施进行广告欺诈或发送垃圾邮件、向企业勒索赎金、出售他们在黑市上获得的数据,甚至将被劫持的基础设施出租给其他犯罪分子。他说,“网络攻击的获利程度大幅提高。”
他补充说,加密货币的使用使网络攻击者更容易、更安全地获得赎金,这改变了网络攻击背后的动机。参与消费被盗数据的不同群体的数量也变得更加复杂。这可能会为企业创造机会,与执法部门和其他团体合作,破坏这一攻击过程。
Splunk公司安全研究负责人Monzy Merza说:“以被盗的支付卡信息为例。一旦信用卡数据被盗,网络攻击者就会对这些数字进行测试、出售、用于购买商品或服务,这些商品或服务反过来必须被出售,以将其转换为现金。”他表示,所有这些都不属于网络攻击的传统杀伤链。黑市生态系统影响网络攻击生命周期的另一个领域是在网络攻击开始之前,攻击者将会共享受损凭证、易受攻击的端口、未打补丁的应用程序的列表。
三、网络杀伤链面临的问题
正如最近发生的事件充分表明的那样,网络攻击者并没有遵循一些规则。他们或者跳过一些步骤,或者添加一些步骤。最近一些最具破坏性的网络攻击绕过了安全团队多年来精心建立的防御机制,因为他们遵循不同的计划。根据Alert Logic公司在2018年发布的一份调查报告,88%的攻击将杀伤链的前五个步骤合并为一个步骤。
近年来,人们也看到了加密货币挖掘恶意软件的兴起。Alert Logic公司首席威胁研究员Matt Downing说,“他们使用的技术忽略了传统步骤,所有的早期缓解和检测技术都不起作用。”此外,网络攻击者不必窃取有价值的数据,然后试图在黑市上出售。他补充说,“他们可以直接将受损资产实现货币化。”
而具有泄露凭据的攻击(网络攻击者使用看似合法的数据登录,并使用这些帐户窃取数据)也不适合传统的攻击框架。Downing说,“在这种情况下,洛克希德·马丁公司的杀伤链显然不适用。”
另一种不符合传统模型的攻击类型:Web应用程序攻击。Virsec Systems公司创始人兼首席技术官Satya Gupta说:“当企业的应用程序暴露在网络上时,任何人都可以访问。这就像在家中打开了一扇门一样。”
例如,Equifax漏洞可以追溯到Apache Struts Web服务器软件中的漏洞。尽管该公司已经针对这一漏洞安装了安全补丁,本可以避免该问题,但有时软件更新本身会受到损害。
CyberArk实验室网络研究团队负责人Lavi Lazarovitz表示,物联网、DevOps和机器人过程自动化等其他变革性技术也在以不符合传统网络杀伤链模型的方式增加攻击面。
传统的网络攻击生命周期也错过了根本不涉及企业系统的攻击。例如,企业越来越多地使用第三方软件即服务(SaaS)提供商来管理其有价值的数据。
Cybereason公司的高级总监Ross Rustici说:“考虑到人们的登录数量、SaaS服务的数量以及存在的第三方连接的数量,这个问题的规模呈指数级增长。如果核心网络被入侵,企业可能会遭遇一场终结业务的黑客攻击。”
四、网络杀伤链vs. Mitre ATT&CK
网络威胁不断发展的性质使一些企业寻求一种更灵活、更全面的网络攻击思维方式。
而行业领先的竞争者是Mitre ATT&CK框架。Obsidian Security公司的首席技术官Ben Johnson说:“这是一场展示与杀伤链中的每一步相关的实际攻击技术的大型运动,它受到了供应商和社区难以置信的欢迎和认可。”
Jask公司安全研究主管Rod Soto警告不要过度依赖框架。他说,“对抗性漂移本质上是动态的。网络攻击者的工具、技术和程序将随着新的防御措施过时而不断变化。像网络杀伤链这样的框架可以成为我们工具包的一部分,但这取决于我们作为安全专家继续创造性地思考,以便跟上网络攻击者创新的步伐。”
原文链接:https://www.csoonline.com/article/2134037/what-is-the-cyber-kill-chain-a-model-for-tracing-cyberattacks.html
