網絡攻擊鏈

網絡攻擊鏈是指攻擊者實施網絡攻擊的過程。[2] 洛克希德·馬丁公司將「殺傷鏈」的概念從軍事領域應用於信息安全領域,將其作為一種對計算機網絡入侵進行建模的方法。[3] 網絡攻擊鏈模型在信息安全界得到了一些應用。[4] 然而,它並沒有被普遍接受,批評者指出了他們認為該模型存在的根本缺陷。[5]

信息安全入侵攻擊鏈[1]

攻擊階段與對策

2011年,洛克希德·馬丁公司的計算機科學家描述了一種新的「入侵攻擊鏈」框架或模型,用於防禦計算機網絡。[6] 他們寫道,攻擊可能分階段發生,並且可以通過在每個階段建立的控制措施來阻止。從那時起,數據安全組織就採用了「網絡攻擊鏈」來定義網絡攻擊的各個階段。[7]

網絡攻擊鏈揭示了網絡攻擊的各個階段:從早期的偵察到數據竊取的目標。[8] 攻擊鏈還可以用作管理工具,幫助持續改進網絡防禦。根據洛克希德·馬丁公司的說法,威脅必須經過該模型中的幾個階段,包括:

  1. 偵察:入侵者選擇目標,對其進行研究,並試圖識別目標網絡中的漏洞。
  2. 武器化:入侵者創建針對一個或多個漏洞量身定製的遠程訪問惡意軟體武器,例如病毒或蠕蟲。
  3. 傳遞:入侵者將武器傳輸到目標(例如,通過電子郵件附件、網站或U盤)。
  4. 利用:惡意軟體武器的程序代碼觸發,對目標網絡採取行動以利用漏洞。
  5. 安裝:惡意軟體武器安裝一個入侵者可以使用的訪問點(例如「後門」)。
  6. 命令與控制:惡意軟體使入侵者能夠對目標網絡進行「鍵盤操作」的持續訪問。
  7. 目標行動:入侵者採取行動實現其目標,例如數據竊取數據破壞或加密以進行勒索

可以針對這些階段採取防禦性行動:[9]

  1. 檢測:確定入侵者是否存在。
  2. 拒絕:防止信息洩露和未經授權的訪問。
  3. 中斷:停止或更改出站流量(到攻擊者)。
  4. 降級:反擊命令和控制。
  5. 欺騙:干擾命令和控制。
  6. 遏制:網段更改。

美國參議院對2013年塔吉特公司數據洩露事件的調查包括基於洛克希德·馬丁攻擊鏈框架的分析。它確定了控制措施未能阻止或檢測到攻擊進展的幾個階段。[1]

替代方案

不同的組織已經構建了自己的攻擊鏈,試圖對不同的威脅進行建模。FireEye提出了一種類似於洛克希德·馬丁公司的線性模型。在FireEye的攻擊鏈中,威脅的持久性得到了強調。該模型強調,威脅不會在一個周期後結束。[10]

  1. 偵察:這是攻擊者收集有關目標系統或網絡信息的初始階段。這可能包括掃描漏洞、研究潛在的入口點以及識別組織內的潛在目標。
  2. 初始入侵:一旦攻擊者收集到足夠的信息,他們就會試圖入侵目標系統或網絡。這可能包括利用軟體或系統中的漏洞,利用社會工程技術欺騙用戶,或使用其他方法獲得初始訪問權限。
  3. 建立後門:在獲得初始訪問權限後,攻擊者通常會創建一個後門或一個進入受感染系統的持久入口點。這確保了即使初始入侵被發現和緩解,攻擊者仍然可以重新獲得訪問權限。
  4. 獲取用戶憑據:在系統中立足後,攻擊者可能會試圖竊取用戶憑據。這可能涉及諸如鍵盤記錄、網絡釣魚或利用弱身份驗證機制等技術。
  5. 安裝各種實用程序:攻擊者可能會在受感染的系統上安裝各種工具、實用程序或惡意軟體,以方便進一步的移動、數據收集或控制。這些工具可能包括遠程訪問木馬(RAT)、鍵盤記錄程序和其他類型的惡意軟體。
  6. 權限提升/橫向移動/數據竊取:一旦進入系統,攻擊者就會尋求提升其權限,以獲得對網絡的更多控制權。他們可能會在網絡內橫向移動,試圖訪問更有價值的系統或敏感數據。數據竊取涉及竊取並將有價值的信息傳輸到網絡之外。
  7. 維持持久性:此階段強調攻擊者的目標是在受感染的環境中保持長期存在。他們通過不斷逃避檢測、更新其工具以及適應任何安全措施來做到這一點。

批評

對洛克希德·馬丁公司的網絡攻擊鏈模型作為威脅評估和預防工具的批評之一是,第一階段發生在被防禦網絡之外,因此難以識別或防禦這些階段的行動。[11] 同樣,據說這種方法強化了傳統的基於邊界和惡意軟體預防的防禦策略。[12] 其他人則指出,傳統的網絡攻擊鏈不適合對內部威脅進行建模。[13] 考慮到成功入侵內部網絡邊界的攻擊的可能性,這一點尤其令人擔憂,這就是為什麼組織「需要制定一項應對防火牆內攻擊者的策略。他們需要將每個攻擊者都視為潛在的內部人員」。[14]

統一攻擊鏈

 
統一攻擊鏈由18個獨特的攻擊階段組成,這些階段可能發生在高級網絡攻擊中。

統一攻擊鏈是由Paul Pols在2017年與Fox-IT和萊頓大學合作開發的,旨在通過整合和擴展洛克希德·馬丁公司的攻擊鏈和MITRE英語Mitre CorporationATT&CK框架(兩者都基於James Tubberville和Joe Vest構建的「進入、停留和行動」模型)來克服對傳統網絡攻擊鏈的常見批評。統一版本的攻擊鏈是由18個獨特的攻擊階段組成的有序排列,這些階段可能發生在端到端的網絡攻擊中,涵蓋了在防禦網絡之外和內部發生的活動。因此,統一攻擊鏈改進了傳統攻擊鏈的範圍限制和MITRE的ATT&CK中戰術的時間不可知性。統一模型可用於分析、比較和防禦高級持續性威脅(APT)發起的端到端網絡攻擊。[15] 2021年,Paul Pols發表了關於統一攻擊鏈的後續白皮書。[16]

參考文獻

  1. ^ 1.0 1.1 U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014 (PDF). (原始內容 (PDF)存檔於October 6, 2016). 
  2. ^ Skopik & Pahi 2020,第4頁.
  3. ^ Higgins, Kelly Jackson. How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack. DARKReading. January 12, 2013 [June 30, 2016]. (原始內容存檔於2024-01-19). 
  4. ^ Mason, Sean. Leveraging The Kill Chain For Awesome. DARKReading. December 2, 2014 [June 30, 2016]. (原始內容存檔於2024-01-19). 
  5. ^ Myers, Lysa. The practicality of the Cyber Kill Chain approach to security. CSO Online. October 4, 2013 [June 30, 2016]. (原始內容存檔於March 19, 2022). 
  6. ^ Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011 (PDF). [2021-08-26]. (原始內容存檔 (PDF)於2021-07-27). 
  7. ^ Greene, Tim. Why the 'cyber kill chain' needs an upgrade. 5 August 2016 [2016-08-19]. (原始內容存檔於2023-01-20). 
  8. ^ The Cyber Kill Chain or: how I learned to stop worrying and love data breaches. 2016-06-20 [2016-08-19]. (原始內容存檔於2016-09-18) (美國英語). 
  9. ^ John Franco. Cyber Defense Overview: Attack Patterns (PDF). [2017-05-15]. (原始內容存檔 (PDF)於2018-09-10). 
  10. ^ Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu. Modified cyber kill chain model for multimedia service environments. Multimedia Tools and Applications. February 2019, 78 (3): 3153–3170. ISSN 1380-7501. doi:10.1007/s11042-018-5897-5  (英語). 
  11. ^ Laliberte, Marc. A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack. DARKReading. September 21, 2016. (原始內容存檔於2023-12-13). 
  12. ^ Engel, Giora. Deconstructing The Cyber Kill Chain. DARKReading. November 18, 2014 [June 30, 2016]. (原始內容存檔於2023-12-15). 
  13. ^ Reidy, Patrick. Combating the Insider Threat at the FBI (PDF). BlackHat USA 2013. [2018-10-15]. (原始內容存檔 (PDF)於2019-08-15). 
  14. ^ Devost, Matt. Every Cyber Attacker is an Insider. OODA Loop. February 19, 2015 [August 26, 2021]. (原始內容存檔於August 26, 2021). 
  15. ^ Pols, Paul. The Unified Kill Chain (PDF). Cyber Security Academy. December 7, 2017 [May 17, 2021]. (原始內容存檔 (PDF)於May 17, 2021). 
  16. ^ Pols, Paul. The Unified Kill Chain. UnifiedKillChain.com. May 17, 2021 [May 17, 2021]. (原始內容存檔於May 17, 2021). 

擴展閱讀