洛克希德·馬丁定義的“殺傷鏈”

責(zé)任編輯:editor005

作者:Alfred.N

2017-11-13 14:45:23

摘自:安全牛

殺傷鏈模型可以拆分惡意軟件的每個(gè)攻擊階段,從而實(shí)現(xiàn)識(shí)別和阻止功能,但是請(qǐng)注意,攻擊策略是可以改變的。洛克希德-馬丁公司提出的網(wǎng)絡(luò)空間殺傷鏈與此類似,本質(zhì)是一種針對(duì)性的分階段攻擊。

對(duì)信息安全專家來說,用洛克希德-馬丁公司的網(wǎng)絡(luò)殺傷鏈(Kill Chain,也稱網(wǎng)絡(luò)攻擊生命周期)來識(shí)別和防止入侵的方法可能并不陌生。然而,攻擊者始終在改進(jìn)攻擊手段,這可能要求企業(yè)重新審視網(wǎng)絡(luò)殺傷鏈。本文將回顧殺傷鏈模型對(duì)網(wǎng)絡(luò)安全的意義,以及怎樣在今天的威脅環(huán)境中使用它。

殺傷鏈模型可以拆分惡意軟件的每個(gè)攻擊階段,從而實(shí)現(xiàn)識(shí)別和阻止功能,但是請(qǐng)注意,攻擊策略是可以改變的。

什么是網(wǎng)絡(luò)殺傷鏈?

“殺傷鏈”這個(gè)概念源自軍事領(lǐng)域,它是一個(gè)描述攻擊環(huán)節(jié)的六階段模型,該理論也可以用來反制此類攻擊(即反殺傷鏈)。殺傷鏈共有“發(fā)現(xiàn)-定位-跟蹤-瞄準(zhǔn)-打擊-達(dá)成目標(biāo)”六個(gè)環(huán)節(jié)。

在越早的殺傷鏈環(huán)節(jié)阻止攻擊,防護(hù)效果就越好。例如,攻擊者取得的信息越少,這些信息被第三人利用來發(fā)起進(jìn)攻的可能性也會(huì)越低。

洛克希德-馬丁公司提出的網(wǎng)絡(luò)空間殺傷鏈與此類似,本質(zhì)是一種針對(duì)性的分階段攻擊。同樣,這一理論可以用于網(wǎng)絡(luò)防護(hù),具體階段如下圖所示:

  “什么是殺傷鏈?”信息圖

這就像傳統(tǒng)的盜竊流程。小偷要先踩點(diǎn)再溜入目標(biāo)建筑,一步步實(shí)行盜竊計(jì)劃最終卷贓逃逸。要利用網(wǎng)絡(luò)殺傷鏈來防止攻擊者潛入網(wǎng)絡(luò)環(huán)境,需要足夠的情報(bào)和可見性來明了網(wǎng)絡(luò)的風(fēng)吹草動(dòng)。當(dāng)不該有的東西出現(xiàn)后,企業(yè)需要第一時(shí)間獲悉,為此企業(yè)可以設(shè)置攻擊警報(bào)。

另一個(gè)需要牢記的點(diǎn)是:在越早的殺傷鏈環(huán)節(jié)阻止攻擊,修復(fù)的成本和時(shí)間損耗就越低。如果攻擊直到進(jìn)入網(wǎng)絡(luò)環(huán)境才被阻止,那么企業(yè)就不得不修理設(shè)備并核驗(yàn)泄露的信息。

要想明確殺傷鏈技術(shù)是否適合自己的企業(yè),不妨通過殺傷鏈模型的幾個(gè)階段入手,來發(fā)現(xiàn)企業(yè)應(yīng)當(dāng)核實(shí)的問題。

偵查階段:從外部觀察網(wǎng)絡(luò)

在這個(gè)階段,犯罪分子試圖確定目標(biāo)的好壞。他們從外部了解企業(yè)的資源和網(wǎng)絡(luò)環(huán)境,并確定是否值得攻擊。最理想的情況是,攻擊者希望目標(biāo)防備薄弱、數(shù)據(jù)值錢。罪犯可以找到的信息門類,以及這些信息如何被使用,可能會(huì)讓企業(yè)大吃一驚。

企業(yè)的信息價(jià)值往往超出他們想象。雇員的姓名和詳細(xì)信息(不僅是企業(yè)網(wǎng)站,而且包括社交網(wǎng)站的信息)是否在網(wǎng)端存儲(chǔ)?這些信息可以用來進(jìn)行社會(huì)工程用途,比如,讓人們透露用戶名或密碼。企業(yè)的網(wǎng)站服務(wù)器或物理位置是否接入網(wǎng)絡(luò)嗎?這些也可以用于社會(huì)工程,或幫助攻擊者縮小企業(yè)環(huán)境漏洞的尋找范圍。

這個(gè)層面上的問題很難處理,社交網(wǎng)絡(luò)的普及讓它變得尤為棘手。將敏感信息隱藏起來是一個(gè)廉價(jià)的改善方式,雖然這也增加信息調(diào)用的時(shí)間成本。

武器化、散布、惡用、設(shè)置階段:試圖進(jìn)入

這些階段是攻擊者用工具攻擊被選目標(biāo)的具體過程,他們收集的信息將被用于惡意行為。他們手頭的信息越多,社會(huì)工程攻擊就越無縫可擊。通過員工在LinkedIn上的信息,他們可以用魚叉式釣魚獲得公司內(nèi)部資源?;蛘?,他們可以把遠(yuǎn)程訪問木馬提前嵌入可能會(huì)錄入重要信息的文件里,以誘使接收者運(yùn)行它。如果他們知道用戶或服務(wù)器運(yùn)行的軟件信息,比如操作系統(tǒng)版本和類型,他們?cè)谄髽I(yè)網(wǎng)絡(luò)里滲透和布置的把握就大大增加。

就這些階段的防御而言,企業(yè)應(yīng)當(dāng)參照標(biāo)準(zhǔn)安全專家的建議去做。

企業(yè)的軟件是否達(dá)到最新?這需要具體到每臺(tái)終端上的每個(gè)應(yīng)用。大多數(shù)公司都有某個(gè)小角落還用著老式臺(tái)式機(jī),系統(tǒng)仍然用的是Windows 98。如果這臺(tái)設(shè)備接入網(wǎng)絡(luò),無異于對(duì)攻擊者門洞大開。

企業(yè)使用電子郵件和網(wǎng)頁過濾功能嗎?電子郵件過濾可以有效阻止攻擊中常用的文檔類型。如果企業(yè)的文件必須用某種標(biāo)準(zhǔn)發(fā)送,比如密碼保護(hù)的ZIP文件,這可以讓用戶了解文件是否無誤。網(wǎng)頁過濾則可以防止用戶訪問已知的不良網(wǎng)站或域名。

企業(yè)禁用USB設(shè)備嗎?從安全的角度來看,讓文件不需許可就運(yùn)行絕非什么好主意。最好在運(yùn)行前,確保給用戶有時(shí)間暫停和思考他們所看到的情況。

企業(yè)使用端點(diǎn)保護(hù)軟件的最新功能嗎?雖然端點(diǎn)保護(hù)軟件不是為了應(yīng)對(duì)新型針對(duì)性攻擊而設(shè)計(jì),但是它們常常根據(jù)已知的可疑行為或軟件漏洞來捕捉威脅。

命令與控制階段(C&C):威脅已將變成現(xiàn)實(shí)

一旦威脅在企業(yè)的網(wǎng)絡(luò)環(huán)境里扎根,它的下一個(gè)任務(wù)是給老窩打電話并等待指示。它可能下載額外的組件,更有可能的是通過C&C通道聯(lián)系一個(gè)僵尸網(wǎng)絡(luò)主控機(jī)。無論哪種方式,這都要求網(wǎng)絡(luò)流量,這意味著企業(yè)必須捫心自問:防火墻是否設(shè)置了新項(xiàng)目進(jìn)行網(wǎng)絡(luò)通信的警報(bào)?

如果威脅已經(jīng)實(shí)現(xiàn)了這些,它將對(duì)機(jī)器進(jìn)行更改并將耗費(fèi)IT工作人員對(duì)大量精力。有些公司或行業(yè)要求診斷受影響的機(jī)器上哪些數(shù)據(jù)被竊取或篡改。受影響的機(jī)器需要進(jìn)行清洗或重置。如果數(shù)據(jù)已經(jīng)備份,或者有可以快速加載到機(jī)器的標(biāo)準(zhǔn)企業(yè)模式,修復(fù)工作的成本和時(shí)間損耗就會(huì)有所降低。

有些攻擊會(huì)另辟蹊徑

去年的攻擊狀況已經(jīng)充分證明了一點(diǎn):攻擊者不會(huì)嚴(yán)格按照游戲流程來——他們可能跳過步驟、添加步驟,甚至重復(fù)之前的步驟。最近的一些最具破壞性的攻擊事件都是如此,這些攻擊之所以能繞過安全團(tuán)隊(duì)耗費(fèi)多年精心打造的防御體系,是因?yàn)樗鼈冇胁煌牧鞒贪才拧?/p>

“符合洛克希德-馬丁公司的殺傷鏈的惡意行為被重點(diǎn)關(guān)注,這也讓某些攻擊隱形了。”Kudelski Security的全球管理服務(wù)副總裁Alton Kizziah說。

數(shù)據(jù)中心安全的領(lǐng)軍者Alert Logic的合伙人、產(chǎn)品營銷高級(jí)經(jīng)理Misha Govshteyn指出:“殺傷鏈從來不能徹底符合我們看到的種種攻擊。”

根據(jù)2017年威瑞森的數(shù)據(jù)泄露調(diào)查報(bào)告,今年,網(wǎng)絡(luò)程序攻擊成為了數(shù)據(jù)泄露的最常見形式,在數(shù)據(jù)泄露案例中占到了近三分之一。常見方法是利用應(yīng)用程序自身的漏洞。

最近的Equifax數(shù)據(jù)泄露事件就是典型例子。這種攻擊很難發(fā)現(xiàn)。在兩個(gè)月里,Equifax未在網(wǎng)站上發(fā)現(xiàn)可疑的網(wǎng)絡(luò)流量。“通常到了數(shù)據(jù)外泄的時(shí)候,企業(yè)才能察覺。”Positive Technologies的網(wǎng)絡(luò)安全彈性主管Leigh-Anne Galloway說。“或者,可能需要一個(gè)第三方的實(shí)體,例如某個(gè)客戶,來提醒企業(yè)出了問題。”

Equifax泄露案可以追溯到Apache Struts Web服務(wù)器軟件中的一個(gè)漏洞。如果公司安裝了這個(gè)漏洞的安全補(bǔ)丁,這個(gè)問題可能會(huì)避免,但是有時(shí)軟件更新本身就是惡意攻擊的橋梁,9月發(fā)生的CCleaner被黑事件就是一例。

零日漏洞也是大麻煩。根據(jù)Contrast Security的共同創(chuàng)始人兼首席技術(shù)官杰夫·威廉姆斯的觀點(diǎn),平均每個(gè)軟件應(yīng)用和api擁有26.8個(gè)嚴(yán)重漏洞。“這是一個(gè)驚人的數(shù)字,”他說。“公眾對(duì)Equifax感到憤怒,但事實(shí)是,幾乎所有的公司在應(yīng)用程序?qū)佣际遣话踩摹N覀儼l(fā)現(xiàn),世界各地有成千上萬的IP地址正在進(jìn)行的應(yīng)用攻擊嘗試,這一現(xiàn)象正在擴(kuò)散。”

要抵御這類攻擊,企業(yè)必須縮短補(bǔ)丁的安裝延遲。“過去的時(shí)候,直到應(yīng)用程序漏洞被披露后的數(shù)周或數(shù)月,針對(duì)性的攻擊才會(huì)出現(xiàn),”他說,“但是今天,安全窗口已經(jīng)只有一天左右,而在2018年,這一時(shí)間可能進(jìn)一步縮減到幾個(gè)小時(shí)。”

他補(bǔ)充說,企業(yè)也需要開始將安全控件直接嵌入到應(yīng)用程序里。這被稱為應(yīng)用程序的運(yùn)行自保,Gartner預(yù)測(cè)這一細(xì)分市場(chǎng)的復(fù)合年增長(zhǎng)率為9%。

“安全需要更貼近應(yīng)用程序,需要深入了解程序的核心進(jìn)程和內(nèi)存使用量,”Virsec Systems的創(chuàng)始人和首席技術(shù)官Satya Gupta說。“新的流程控制技術(shù)將嵌入到應(yīng)用程序?qū)用妫芾斫鈶?yīng)用的協(xié)議和環(huán)境,可以將可接受的應(yīng)用程序流程繪制出來(就像谷歌地圖)。如果應(yīng)用程序應(yīng)該從A點(diǎn)走到B點(diǎn),但是卻出現(xiàn)了一段意外的路程,那么肯定出錯(cuò)了。”

攻擊者也可以利用被泄露的身份信息或強(qiáng)度弱的密碼。這一過程不需要安裝惡意軟件,也不用與C&C服務(wù)器通信,不會(huì)產(chǎn)生橫向操作。“尋找一份泄露的數(shù)據(jù)庫或Amazon S3數(shù)據(jù)意味著攻擊可以簡(jiǎn)便完成,從而避免和防御者交鋒。”Obsidian Security的首席技術(shù)官Ben Johnson說。

根據(jù)RedLock本月發(fā)布的一份報(bào)告,53%的組織使用Amazon S3等云存儲(chǔ)服務(wù),這至少導(dǎo)致了一個(gè)意外結(jié)果,即數(shù)據(jù)暴露在公眾面前。今年夏天的早些時(shí)候,Skyhigh Networks報(bào)道稱,7%的企業(yè)使用的所有AWS S3數(shù)據(jù)可以無限制訪問,另有35%的企業(yè)未對(duì)數(shù)據(jù)加密。

由于數(shù)據(jù)是通過合法渠道傳出,數(shù)據(jù)防泄露可能無法檢測(cè)這種行為。Govshteyn說:“企業(yè)需要專門的工具來保護(hù)針對(duì)網(wǎng)絡(luò)應(yīng)用程序的攻擊。”

DOS攻擊也難以被殺傷鏈解釋。“攻擊者仍需選擇目標(biāo),所以必須進(jìn)行偵察階段。”Cybereason的首席安全官Sam Curry說。但是在準(zhǔn)備之后,攻擊者將直接跳轉(zhuǎn)到中斷階段。

他補(bǔ)充說DOS攻擊也可能只是攻擊的第一步,用來掩蓋其他惡意行為。“當(dāng)系統(tǒng)崩潰時(shí),攻擊者可以創(chuàng)建一個(gè)漏洞,”他說,“或者創(chuàng)建一個(gè)高信噪的篩選器,來掩蓋痕跡或破壞系統(tǒng)的信號(hào)發(fā)現(xiàn)能力。”

他說,攻擊者也可以添加步驟到游戲流程里。例如,他們可以花時(shí)間清理痕跡、設(shè)置中斷、傳播虛假數(shù)據(jù),或安裝未來用得上的后門。

他們也可以重新安排各步驟的順序,或者重復(fù)之前的步驟。這不是一個(gè)簡(jiǎn)單的線性過程。

這通常更像樹狀或根系的分支和蔓延,這一過程很復(fù)雜,會(huì)發(fā)生很多事情。

目標(biāo)達(dá)成階段:不達(dá)目標(biāo),攻擊不會(huì)停止

在拒絕服務(wù)攻擊案例中,中斷不一定是攻擊的最后一步。在攻擊者成功地破壞、癱瘓或滲入系統(tǒng)后,攻擊者可以重復(fù)這一過程。也可以轉(zhuǎn)移到另一個(gè)階段——盈利。Preempt Security的首席執(zhí)行官 Ajit Sancheti 認(rèn)為,攻擊者可能采取任意形式的組合。比如,他們可以通過破壞基礎(chǔ)設(shè)施來進(jìn)行廣告欺詐或發(fā)送垃圾郵件、向企業(yè)勒索贖金、出售他們?cè)诤谑猩汐@得的數(shù)據(jù),甚至劫持基礎(chǔ)設(shè)施出租給其他罪犯。“攻擊的盈利已經(jīng)急劇增加。”

他補(bǔ)充說,比特幣的使用讓攻擊者更簡(jiǎn)便、安全地得到錢,這導(dǎo)致了攻擊動(dòng)機(jī)的變化。不同群體的數(shù)量參與也讓黑市上被盜數(shù)據(jù)的消費(fèi)變得更加復(fù)雜。這也為企業(yè)、執(zhí)法部門和其他組織創(chuàng)造了合作破壞這一過程的機(jī)會(huì)。

以被盜的支付卡信息為例。“一旦信用卡數(shù)據(jù)被盜,這些數(shù)據(jù)必須被測(cè)試、出售、用于獲取商品或服務(wù),反過來這些商品或服務(wù)必須轉(zhuǎn)換為現(xiàn)金。”Splunk公司的安全研究主管Monzy Merza說。

這一切都早已超出了傳統(tǒng)網(wǎng)絡(luò)殺傷鏈的范疇。黑市生態(tài)系統(tǒng)也在影響了網(wǎng)絡(luò)攻擊周期中的攻擊準(zhǔn)備環(huán)節(jié)。攻擊者們會(huì)分享身份憑證列表、漏洞或被修改的應(yīng)用程序。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)