网络杀伤链框架已经过时了吗?

自诞生以来,网络杀伤链框架对于识别和消除复杂的网络威胁至关重要。 但现在,许多网络安全专家发现,在当今不断变化的威胁形势下,网络杀伤链方法不足以提供针对网络攻击者的保护。

什么是网络杀伤链框架,它是如何工作的,它有哪些局限性? 请仔细阅读,找出答案。

什么是网络杀伤链框架?

网络杀伤链框架由洛克希德·马丁公司开发,结合​​了军方的杀伤链模型来识别和阻止敌人的活动。

它通过概述网络攻击的各个阶段来帮助安全团队了解和对抗入侵。 它还解释了网络安全专业人员可以识别、检测和拦截攻击者的各个阶段的不同点。

网络杀伤链有助于防范高级持续威胁 (APT),其中威胁行为者花费大量时间跟踪受害者并规划网络攻击。 这些攻击通常混合恶意软件、木马、社会工程攻击等。

网络杀伤链模型有七个步骤:侦察、武器化、交付、利用、安装、命令和控制以及目标行动。

每个阶段代表攻击者旅程中的一个步骤。

网络杀伤链框架的各个阶段

网络杀伤链网络安全框架可帮助安全团队预测攻击者的行动,以实现更快的拦截。

图片来源: 洛克希德·马丁公司

以下是网络杀伤链过程的七个步骤。

#1.侦察

侦察阶段主要是收集有关目标受害者或网络的信息。

侦察阶段有两种类型。

被动侦察

在此阶段,黑客尝试从公开来源收集信息。 这可以包括检查 WHOIS、职位列表、LinkedIn、社交媒体资料、公司网站等。他们还可以利用 ARIN、SHODAN 和其他工具来查找漏洞和潜在的入口点。

由于被动侦察阶段不涉及与组织交互,因此黑客在此阶段尝试收集尽可能多的有关目标的信息。

主动侦察

在主动侦察阶段,威胁行为者会在某种程度上联系您的组织,以收集可以帮助他们进入您的公司网络的信息。 他们使用 NMAP、漏洞扫描器、端口扫描器、横幅抓取等工具。

侦察阶段在任何网络攻击中都起着至关重要的作用。 威胁行为者掌握的有关目标网络的信息越多,他们就越能更好地计划攻击。

要阻止威胁行为者进行被动和主动侦察,您可以采取以下步骤:

  • 限制黑客可用来策划网络钓鱼攻击的公共信息的暴露。
  • 制定可接受的社交媒体使用政策。
  • 修改服务器错误消息,这样它们就不会公开泄露有关您网络的重要信息。
  • 禁用未使用的端口和服务。
  • 实施具有指令预防系统 (IPS) 功能的防火墙。

侦察阶段的主要目标是找到黑客可以利用的弱点进入您的网络。

因此,设置蜜罐和蜜网是查找网络漏洞和加强防御的绝佳方法。

#2.武器化

武器化阶段旨在创建一种攻击工具(攻击向量),可以利用侦察阶段发现的系统或网络漏洞。

武器化过程可以包括选择(或创建)正确的远程访问恶意软件、勒索软件或恶意代码来匹配漏洞。

攻击者将恶意软件包装成看似无害的文件格式。 他们可能使用 Word 文档或 PDF。 目的是诱骗目标打开它。

  Netflix 添加家庭功能是什么?它发生了什么?

Metasploit、SQLMAP、Exploit-DB 和社会工程工具包是武器化阶段常用的工具。

武器化阶段是关于黑客使用哪种攻击向量来攻击系统和网络。

因此,加强防御是一项健全的网络安全策略,可以防止攻击媒介进入您的系统和网络。

以下是一些入门技巧。

  • 在公司中积极进行补丁管理。 如果软件和操作系统没有漏洞,这将减少攻击面。
  • 在所有端点上安装良好的防病毒软件。
  • 禁用 Office 宏、JavaScript 和不必要的浏览器插件。
  • 在公司中实施电子邮件安全工具并使用浏览器隔离。
  • 审核日志以识别网络中的任何异常情况。

您还应该拥有良好的入侵检测和预防系统。 并确保您的公司实施了多重身份验证。

#3。 送货

因此,黑客选择了合适的攻击媒介来利用这些漏洞。 现在到了交付时间,攻击者将尝试渗透您的网络。

根据所使用的攻击媒介的类型,传递方式可能会有所不同。

典型的交付示例包括:

  • 网站 – 威胁行为者可以感染潜在目标经常访问的第三方网站。
  • 电子邮件 – 攻击者可以发送装有恶意软件的受感染电子邮件。
  • USB——他们可以将受感染的 USB 留在公共区域,希望用户将这些 USB 插入他们的系统。
  • 社交媒体——网络犯罪分子可以利用社交媒体进行网络钓鱼攻击,引诱用户点击受感染的链接。

抵御常见攻击媒介的最有效防御方法是注重员工培训。

您可以采取的其他安全措施包括实施 Web 过滤、DNS 过滤解决方案以及禁用设备上的 USB 端口。

#4。 开发

在网络杀伤链框架的利用阶段,攻击者利用武器来利用目标系统中的弱点。 这标志着武器交付后实际攻击的开始。

这是更仔细的检查:

  • 攻击者定位软件、系统或网络中的漏洞。
  • 他们引入旨在利用这些漏洞的恶意工具或代码。
  • 漏洞代码被激活,利用漏洞获得未经授权的访问或特权。
  • 通过渗透外围,攻击者可以通过安装恶意工具、执行脚本或修改安全证书来进一步利用目标系统。

此阶段至关重要,因为它从单纯的威胁转变为安全事件。 利用阶段的目标是获取对您的系统或网络的访问权限。

实际的攻击可能以 SQL 注入、缓冲区溢出、恶意软件、JavaScript 劫持等形式出现。

它们可以在网络内横向移动,并在移动时识别其他入口点。

在此阶段,黑客已进入您的网络并利用漏洞。 您保护系统和网络的资源有限。

您可以使用 数据执行预防 (DEP) 防病毒软件(如果有)的功能和反利用功能,以防止被利用。

一些 EDR 工具还可以帮助快速检测和响应网络攻击。

#5。 安装

安装阶段也称为权限升级阶段,主要是安装恶意软件并部署其他恶意工具,以便威胁参与者即使在您修补并重新启动受感染的系统后也可以持续访问您的系统和网络。

安装阶段涉及的标准技术包括:

  • DLL劫持
  • 安装远程访问木马(RAT)
  • 注册表更改使恶意程序可以自动启动

攻击者还可能尝试创建后门来持续访问系统或网络,即使原始入口点已被安全专家关闭。

如果网络犯罪分子已经成功达到这个阶段,那么您所获得的保护就很有限。 您的系统或网络已被感染。

现在,您可以使用用户行为分析 (UBA) 工具或 EDR 工具等感染后工具来检查是否存在与注册表和系统文件相关的任何异常活动。 您应该准备好部署事件响应计划。

#6。 命令与控制

在命令和控制阶段,攻击者与受感染的系统建立连接。 此链接允许对目标进行远程控制。 攻击者现在可以发送命令、接收数据,甚至上传其他恶意软件。

这里经常使用的两种策略是混淆和拒绝服务 (DoS)。

  • 混淆可以帮助攻击者隐藏他们的存在。 他们可能会删除文件或更改代码以避免被发现。 从本质上讲,他们掩盖了自己的踪迹。
  • 拒绝服务会分散安全团队的注意力。 通过在其他系统中引起问题,它们会将您的注意力从其主要目标上转移开。 这可能涉及网络中断或关闭系统。
  数据挖掘与机器学习:技术、应用和协同作用

在此阶段,您的系统已完全受到损害。 您应该专注于限制黑客可以控制的内容并检测异常活动。

网络分段、入侵检测系统 (IDS) 以及安全信息和事件管理 (SIEM) 可以帮助您限制损害。

#7. 目标行动

网络杀伤链的七个步骤在“目标行动”阶段达到顶峰。 在这里,攻击者实现了他们的主要目标。 根据早期的成功,这个阶段可能会持续数周或数月。

典型的最终目标包括但不限于数据盗窃、敏感数据加密、供应链攻击等等。

通过实施数据安全解决方案、端点安全解决方案和零信任安全,您可以限制损害并防止黑客实现其目标。

网络杀伤链能否应对当今的安全挑战?

网络杀伤链模型有助于理解和对抗各种网络攻击。 但其线性结构可能无法抵御当今复杂的多向量攻击。

以下是传统网络杀伤链框架的缺点。

#1. 忽略内部威胁

内部威胁来自组织内的个人,例如员工或承包商,他们可以合法访问您的系统和网络。 他们可能有意或无意地滥用其访问权限,这可能导致数据泄露或其他安全事件。

实际上, 74%的公司 相信内部威胁变得更加频繁。

传统的网络杀伤链模型并未考虑这些内部威胁,因为它旨在跟踪外部攻击者的活动。

在内部威胁的情况下,攻击者不需要经历网络杀伤链中概述的许多阶段,例如侦察、武器化或交付,因为他们已经可以访问系统和网络。

该框架中的这种重大监督使其无法检测或减轻内部威胁。 缺乏监控和分析组织内个人行为或访问模式的机制是网络杀伤链框架的一个重大限制。

#2. 攻击检测能力有限

网络杀伤链在识别各种网络攻击时范围相对较窄。 该框架主要围绕检测恶意软件活动和恶意负载进行,在解决其他形式的攻击方面存在巨大差距。

一个典型的例子包括基于 Web 的攻击,例如 SQL 注入、跨站点脚本 (XSS)、各种类型的拒绝服务 (DoS) 攻击和零日攻击。 这些类型的攻击很容易从裂缝中溜走,因为它们不遵循杀伤链旨在检测的典型模式。

此外,该框架在处理未经授权的个人利用受损凭证发起的攻击方面存在缺陷。

在这种情况下,存在明显的疏忽,因为这些攻击可能会造成重大损害,但由于网络杀伤链的检测能力有限,可能会被忽视。

#3。 缺乏灵活性

网络杀伤链框架主要针对恶意软件和基于有效负载的攻击,缺乏灵活性。

网络杀伤链框架的线性模型与现代威胁的动态性质不匹配,使其效率较低。

此外,它很难适应新的攻击技术,并且可能会忽视关键的违规后活动,这表明需要更具适应性的网络安全方法。

#4。 仅关注周边安全

网络杀伤链模型经常因其对外围安全和恶意软件防护的关注而受到批评,随着组织从传统的本地网络转向基于云的解决方案,这成为一个问题。

此外,远程工作、个人设备、物联网技术和机器人流程自动化 (RPA) 等高级应用程序的兴起扩大了许多企业的攻击面。

这种扩展意味着网络犯罪分子有更多的接入点可供利用,这使得公司保护每个端点的安全变得充满挑战,这也暴露了该模型在当今不断变化的威胁形势下的局限性。

阅读更多:如何 网络安全网 助力防护新时代

网络杀伤链模型的替代方案

您可以探索以下网络杀伤链模型的一些替代方案,为您的公司选择最佳的网络安全框架之一。

#1. MITRE ATT&CK 框架

MITRE ATT&CK 框架 概述了攻击者使用的策略、技术和程序。 将其视为了解网络威胁的手册。 网络杀伤链仅关注攻击阶段,而 ATT&CK 则提供详细视图。 它甚至还显示了攻击者进入后所做的事情,使其更加全面。

安全专家通常更喜欢 MITRE ATT&CK,因为它具有深度。 它对于进攻和防守都很有用。

#2. NIST 网络安全框架

NIST 网络安全框架 为组织管理和减轻网络安全风险提供指南。 它强调积极主动的方法。 相比之下,网络杀伤链侧重于了解攻击者在违规期间的行为。

该框架概述了五个核心功能:识别、保护、检测、响应和恢复。 这些步骤可帮助组织了解和管理其网络安全风险。

NIST 框架更广泛的范围有助于增强整体网络安全态势,而网络杀伤链主要帮助分析和中断攻击序列。

  2023 年面向开发人员的 6 个最佳 Ruby IDE

通过从整体上解决安全问题,NIST 框架通常可以更有效地促进弹性和持续改进。

结论

网络杀伤链启动后,是一个很好的网络安全框架,可以识别和减轻威胁。 但现在,由于云、物联网和其他协作技术的使用,网络攻击变得更加棘手。 更糟糕的是,黑客越来越多地实施基于 Web 的攻击,例如 SQL 注入。

因此,像 MITRE ATT&CK 或 NIST 这样的现代安全框架将在当今不断变化的威胁环境中提供更好的保护。

此外,您应该定期使用网络攻击模拟工具来评估您的网络安全性。