网络攻击链
网络攻击链是指攻击者实施网络攻击的过程。[2] 洛克希德·马丁公司将“杀伤链”的概念从军事领域应用于信息安全领域,将其作为一种对计算机网络入侵进行建模的方法。[3] 网络攻击链模型在信息安全界得到了一些应用。[4] 然而,它并没有被普遍接受,批评者指出了他们认为该模型存在的根本缺陷。[5]
攻击阶段与对策
2011年,洛克希德·马丁公司的计算机科学家描述了一种新的“入侵攻击链”框架或模型,用于防御计算机网络。[6] 他们写道,攻击可能分阶段发生,并且可以通过在每个阶段建立的控制措施来阻止。从那时起,数据安全组织就采用了“网络攻击链”来定义网络攻击的各个阶段。[7]
网络攻击链揭示了网络攻击的各个阶段:从早期的侦察到数据窃取的目标。[8] 攻击链还可以用作管理工具,帮助持续改进网络防御。根据洛克希德·马丁公司的说法,威胁必须经过该模型中的几个阶段,包括:
- 侦察:入侵者选择目标,对其进行研究,并试图识别目标网络中的漏洞。
- 武器化:入侵者创建针对一个或多个漏洞量身定制的远程访问恶意软件武器,例如病毒或蠕虫。
- 传递:入侵者将武器传输到目标(例如,通过电子邮件附件、网站或U盘)。
- 利用:恶意软件武器的程序代码触发,对目标网络采取行动以利用漏洞。
- 安装:恶意软件武器安装一个入侵者可以使用的访问点(例如“后门”)。
- 命令与控制:恶意软件使入侵者能够对目标网络进行“键盘操作”的持续访问。
- 目标行动:入侵者采取行动实现其目标,例如数据窃取、数据破坏或加密以进行勒索。
可以针对这些阶段采取防御性行动:[9]
- 检测:确定入侵者是否存在。
- 拒绝:防止信息泄露和未经授权的访问。
- 中断:停止或更改出站流量(到攻击者)。
- 降级:反击命令和控制。
- 欺骗:干扰命令和控制。
- 遏制:网段更改。
美国参议院对2013年塔吉特公司数据泄露事件的调查包括基于洛克希德·马丁攻击链框架的分析。它确定了控制措施未能阻止或检测到攻击进展的几个阶段。[1]
替代方案
不同的组织已经构建了自己的攻击链,试图对不同的威胁进行建模。FireEye提出了一种类似于洛克希德·马丁公司的线性模型。在FireEye的攻击链中,威胁的持久性得到了强调。该模型强调,威胁不会在一个周期后结束。[10]
- 侦察:这是攻击者收集有关目标系统或网络信息的初始阶段。这可能包括扫描漏洞、研究潜在的入口点以及识别组织内的潜在目标。
- 初始入侵:一旦攻击者收集到足够的信息,他们就会试图入侵目标系统或网络。这可能包括利用软件或系统中的漏洞,利用社会工程技术欺骗用户,或使用其他方法获得初始访问权限。
- 建立后门:在获得初始访问权限后,攻击者通常会创建一个后门或一个进入受感染系统的持久入口点。这确保了即使初始入侵被发现和缓解,攻击者仍然可以重新获得访问权限。
- 获取用户凭据:在系统中立足后,攻击者可能会试图窃取用户凭据。这可能涉及诸如键盘记录、网络钓鱼或利用弱身份验证机制等技术。
- 安装各种实用程序:攻击者可能会在受感染的系统上安装各种工具、实用程序或恶意软件,以方便进一步的移动、数据收集或控制。这些工具可能包括远程访问木马(RAT)、键盘记录程序和其他类型的恶意软件。
- 权限提升/横向移动/数据窃取:一旦进入系统,攻击者就会寻求提升其权限,以获得对网络的更多控制权。他们可能会在网络内横向移动,试图访问更有价值的系统或敏感数据。数据窃取涉及窃取并将有价值的信息传输到网络之外。
- 维持持久性:此阶段强调攻击者的目标是在受感染的环境中保持长期存在。他们通过不断逃避检测、更新其工具以及适应任何安全措施来做到这一点。
批评
对洛克希德·马丁公司的网络攻击链模型作为威胁评估和预防工具的批评之一是,第一阶段发生在被防御网络之外,因此难以识别或防御这些阶段的行动。[11] 同样,据说这种方法强化了传统的基于边界和恶意软件预防的防御策略。[12] 其他人则指出,传统的网络攻击链不适合对内部威胁进行建模。[13] 考虑到成功入侵内部网络边界的攻击的可能性,这一点尤其令人担忧,这就是为什么组织“需要制定一项应对防火墙内攻击者的策略。他们需要将每个攻击者都视为潜在的内部人员”。[14]
统一攻击链
统一攻击链是由Paul Pols在2017年与Fox-IT和莱顿大学合作开发的,旨在通过整合和扩展洛克希德·马丁公司的攻击链和MITRE的ATT&CK框架(两者都基于James Tubberville和Joe Vest构建的“进入、停留和行动”模型)来克服对传统网络攻击链的常见批评。统一版本的攻击链是由18个独特的攻击阶段组成的有序排列,这些阶段可能发生在端到端的网络攻击中,涵盖了在防御网络之外和内部发生的活动。因此,统一攻击链改进了传统攻击链的范围限制和MITRE的ATT&CK中战术的时间不可知性。统一模型可用于分析、比较和防御高级持续性威胁(APT)发起的端到端网络攻击。[15] 2021年,Paul Pols发表了关于统一攻击链的后续白皮书。[16]
参考文献
- ^ 1.0 1.1 U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014 (PDF). (原始内容 (PDF)存档于October 6, 2016).
- ^ Skopik & Pahi 2020,第4页.
- ^ Higgins, Kelly Jackson. How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack. DARKReading. January 12, 2013 [June 30, 2016]. (原始内容存档于2024-01-19).
- ^ Mason, Sean. Leveraging The Kill Chain For Awesome. DARKReading. December 2, 2014 [June 30, 2016]. (原始内容存档于2024-01-19).
- ^ Myers, Lysa. The practicality of the Cyber Kill Chain approach to security. CSO Online. October 4, 2013 [June 30, 2016]. (原始内容存档于March 19, 2022).
- ^ Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011 (PDF). [2021-08-26]. (原始内容存档 (PDF)于2021-07-27).
- ^ Greene, Tim. Why the 'cyber kill chain' needs an upgrade. 5 August 2016 [2016-08-19]. (原始内容存档于2023-01-20).
- ^ The Cyber Kill Chain or: how I learned to stop worrying and love data breaches. 2016-06-20 [2016-08-19]. (原始内容存档于2016-09-18) (美国英语).
- ^ John Franco. Cyber Defense Overview: Attack Patterns (PDF). [2017-05-15]. (原始内容存档 (PDF)于2018-09-10).
- ^ Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu. Modified cyber kill chain model for multimedia service environments. Multimedia Tools and Applications. February 2019, 78 (3): 3153–3170. ISSN 1380-7501. doi:10.1007/s11042-018-5897-5 (英语).
- ^ Laliberte, Marc. A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack. DARKReading. September 21, 2016. (原始内容存档于2023-12-13).
- ^ Engel, Giora. Deconstructing The Cyber Kill Chain. DARKReading. November 18, 2014 [June 30, 2016]. (原始内容存档于2023-12-15).
- ^ Reidy, Patrick. Combating the Insider Threat at the FBI (PDF). BlackHat USA 2013. [2018-10-15]. (原始内容存档 (PDF)于2019-08-15).
- ^ Devost, Matt. Every Cyber Attacker is an Insider. OODA Loop. February 19, 2015 [August 26, 2021]. (原始内容存档于August 26, 2021).
- ^ Pols, Paul. The Unified Kill Chain (PDF). Cyber Security Academy. December 7, 2017 [May 17, 2021]. (原始内容存档 (PDF)于May 17, 2021).
- ^ Pols, Paul. The Unified Kill Chain. UnifiedKillChain.com. May 17, 2021 [May 17, 2021]. (原始内容存档于May 17, 2021).
扩展阅读
- Skopik, Florian; Pahi, Timea. Under false flag: using technical artifacts for cyber attack attribution. Cybersecurity. 2020, 3 (1): 8. ISSN 2523-3246. doi:10.1186/s42400-020-00048-4 (英语).