网络攻击链

网络攻击链是指攻击者实施网络攻击的过程。[2] 洛克希德·马丁公司将“杀伤链”的概念从军事领域应用于信息安全领域,将其作为一种对计算机网络入侵进行建模的方法。[3] 网络攻击链模型在信息安全界得到了一些应用。[4] 然而,它并没有被普遍接受,批评者指出了他们认为该模型存在的根本缺陷。[5]

信息安全入侵攻击链[1]

攻击阶段与对策

2011年,洛克希德·马丁公司的计算机科学家描述了一种新的“入侵攻击链”框架或模型,用于防御计算机网络。[6] 他们写道,攻击可能分阶段发生,并且可以通过在每个阶段建立的控制措施来阻止。从那时起,数据安全组织就采用了“网络攻击链”来定义网络攻击的各个阶段。[7]

网络攻击链揭示了网络攻击的各个阶段:从早期的侦察到数据窃取的目标。[8] 攻击链还可以用作管理工具,帮助持续改进网络防御。根据洛克希德·马丁公司的说法,威胁必须经过该模型中的几个阶段,包括:

  1. 侦察:入侵者选择目标,对其进行研究,并试图识别目标网络中的漏洞。
  2. 武器化:入侵者创建针对一个或多个漏洞量身定制的远程访问恶意软件武器,例如病毒或蠕虫。
  3. 传递:入侵者将武器传输到目标(例如,通过电子邮件附件、网站或U盘)。
  4. 利用:恶意软件武器的程序代码触发,对目标网络采取行动以利用漏洞。
  5. 安装:恶意软件武器安装一个入侵者可以使用的访问点(例如“后门”)。
  6. 命令与控制:恶意软件使入侵者能够对目标网络进行“键盘操作”的持续访问。
  7. 目标行动:入侵者采取行动实现其目标,例如数据窃取数据破坏或加密以进行勒索

可以针对这些阶段采取防御性行动:[9]

  1. 检测:确定入侵者是否存在。
  2. 拒绝:防止信息泄露和未经授权的访问。
  3. 中断:停止或更改出站流量(到攻击者)。
  4. 降级:反击命令和控制。
  5. 欺骗:干扰命令和控制。
  6. 遏制:网段更改。

美国参议院对2013年塔吉特公司数据泄露事件的调查包括基于洛克希德·马丁攻击链框架的分析。它确定了控制措施未能阻止或检测到攻击进展的几个阶段。[1]

替代方案

不同的组织已经构建了自己的攻击链,试图对不同的威胁进行建模。FireEye提出了一种类似于洛克希德·马丁公司的线性模型。在FireEye的攻击链中,威胁的持久性得到了强调。该模型强调,威胁不会在一个周期后结束。[10]

  1. 侦察:这是攻击者收集有关目标系统或网络信息的初始阶段。这可能包括扫描漏洞、研究潜在的入口点以及识别组织内的潜在目标。
  2. 初始入侵:一旦攻击者收集到足够的信息,他们就会试图入侵目标系统或网络。这可能包括利用软件或系统中的漏洞,利用社会工程技术欺骗用户,或使用其他方法获得初始访问权限。
  3. 建立后门:在获得初始访问权限后,攻击者通常会创建一个后门或一个进入受感染系统的持久入口点。这确保了即使初始入侵被发现和缓解,攻击者仍然可以重新获得访问权限。
  4. 获取用户凭据:在系统中立足后,攻击者可能会试图窃取用户凭据。这可能涉及诸如键盘记录、网络钓鱼或利用弱身份验证机制等技术。
  5. 安装各种实用程序:攻击者可能会在受感染的系统上安装各种工具、实用程序或恶意软件,以方便进一步的移动、数据收集或控制。这些工具可能包括远程访问木马(RAT)、键盘记录程序和其他类型的恶意软件。
  6. 权限提升/横向移动/数据窃取:一旦进入系统,攻击者就会寻求提升其权限,以获得对网络的更多控制权。他们可能会在网络内横向移动,试图访问更有价值的系统或敏感数据。数据窃取涉及窃取并将有价值的信息传输到网络之外。
  7. 维持持久性:此阶段强调攻击者的目标是在受感染的环境中保持长期存在。他们通过不断逃避检测、更新其工具以及适应任何安全措施来做到这一点。

批评

对洛克希德·马丁公司的网络攻击链模型作为威胁评估和预防工具的批评之一是,第一阶段发生在被防御网络之外,因此难以识别或防御这些阶段的行动。[11] 同样,据说这种方法强化了传统的基于边界和恶意软件预防的防御策略。[12] 其他人则指出,传统的网络攻击链不适合对内部威胁进行建模。[13] 考虑到成功入侵内部网络边界的攻击的可能性,这一点尤其令人担忧,这就是为什么组织“需要制定一项应对防火墙内攻击者的策略。他们需要将每个攻击者都视为潜在的内部人员”。[14]

统一攻击链

 
统一攻击链由18个独特的攻击阶段组成,这些阶段可能发生在高级网络攻击中。

统一攻击链是由Paul Pols在2017年与Fox-IT和莱顿大学合作开发的,旨在通过整合和扩展洛克希德·马丁公司的攻击链和MITRE英语Mitre CorporationATT&CK框架(两者都基于James Tubberville和Joe Vest构建的“进入、停留和行动”模型)来克服对传统网络攻击链的常见批评。统一版本的攻击链是由18个独特的攻击阶段组成的有序排列,这些阶段可能发生在端到端的网络攻击中,涵盖了在防御网络之外和内部发生的活动。因此,统一攻击链改进了传统攻击链的范围限制和MITRE的ATT&CK中战术的时间不可知性。统一模型可用于分析、比较和防御高级持续性威胁(APT)发起的端到端网络攻击。[15] 2021年,Paul Pols发表了关于统一攻击链的后续白皮书。[16]

参考文献

  1. ^ 1.0 1.1 U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014 (PDF). (原始内容 (PDF)存档于October 6, 2016). 
  2. ^ Skopik & Pahi 2020,第4页.
  3. ^ Higgins, Kelly Jackson. How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack. DARKReading. January 12, 2013 [June 30, 2016]. (原始内容存档于2024-01-19). 
  4. ^ Mason, Sean. Leveraging The Kill Chain For Awesome. DARKReading. December 2, 2014 [June 30, 2016]. (原始内容存档于2024-01-19). 
  5. ^ Myers, Lysa. The practicality of the Cyber Kill Chain approach to security. CSO Online. October 4, 2013 [June 30, 2016]. (原始内容存档于March 19, 2022). 
  6. ^ Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011 (PDF). [2021-08-26]. (原始内容存档 (PDF)于2021-07-27). 
  7. ^ Greene, Tim. Why the 'cyber kill chain' needs an upgrade. 5 August 2016 [2016-08-19]. (原始内容存档于2023-01-20). 
  8. ^ The Cyber Kill Chain or: how I learned to stop worrying and love data breaches. 2016-06-20 [2016-08-19]. (原始内容存档于2016-09-18) (美国英语). 
  9. ^ John Franco. Cyber Defense Overview: Attack Patterns (PDF). [2017-05-15]. (原始内容存档 (PDF)于2018-09-10). 
  10. ^ Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu. Modified cyber kill chain model for multimedia service environments. Multimedia Tools and Applications. February 2019, 78 (3): 3153–3170. ISSN 1380-7501. doi:10.1007/s11042-018-5897-5  (英语). 
  11. ^ Laliberte, Marc. A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack. DARKReading. September 21, 2016. (原始内容存档于2023-12-13). 
  12. ^ Engel, Giora. Deconstructing The Cyber Kill Chain. DARKReading. November 18, 2014 [June 30, 2016]. (原始内容存档于2023-12-15). 
  13. ^ Reidy, Patrick. Combating the Insider Threat at the FBI (PDF). BlackHat USA 2013. [2018-10-15]. (原始内容存档 (PDF)于2019-08-15). 
  14. ^ Devost, Matt. Every Cyber Attacker is an Insider. OODA Loop. February 19, 2015 [August 26, 2021]. (原始内容存档于August 26, 2021). 
  15. ^ Pols, Paul. The Unified Kill Chain (PDF). Cyber Security Academy. December 7, 2017 [May 17, 2021]. (原始内容存档 (PDF)于May 17, 2021). 
  16. ^ Pols, Paul. The Unified Kill Chain. UnifiedKillChain.com. May 17, 2021 [May 17, 2021]. (原始内容存档于May 17, 2021). 

扩展阅读