自其问世以来,网络攻击链框架在识别和抵御复杂的网络威胁方面发挥了关键作用。然而,许多网络安全专家现在认为,在当今不断演变的威胁环境中,网络攻击链的方法在为企业提供充分保护方面存在不足。
那么,什么是网络攻击链框架?它是如何运作的?它的局限性又有哪些? 让我们深入探讨以找出答案。
什么是网络攻击链框架?
网络攻击链框架由洛克希德·马丁公司开发,它借鉴了军事领域的“杀伤链”概念,旨在识别和阻止敌对行动。
它通过详细描述网络攻击的各个阶段,帮助安全团队理解并应对入侵。它还阐明了网络安全专业人员可以识别、检测和阻止攻击者的关键时刻。
网络攻击链有助于防御高级持续威胁(APT),这类威胁行为者通常会花费大量时间监视受害者,并精心策划网络攻击。这些攻击往往会融合恶意软件、木马程序、社会工程攻击等多种手段。
网络攻击链模型通常分为七个步骤:侦察、武器化、投递、利用、安装、命令与控制,以及目标行动。
每个阶段都代表了攻击者在实施攻击过程中的一个关键步骤。
网络攻击链框架的各个阶段
网络攻击链安全框架旨在帮助安全团队预测攻击者的下一步行动,从而实现更快速的拦截。
图片来源: 洛克希德·马丁公司
以下是网络攻击链过程的七个关键步骤。
#1. 侦察
侦察阶段的主要目标是收集有关目标受害者或网络的详细信息。
侦察阶段通常分为两种类型。
被动侦察
在这个阶段,黑客会尝试从公开渠道获取信息。这可能包括检查WHOIS记录、职位列表、LinkedIn个人资料、社交媒体、公司网站等。他们还会利用ARIN、SHODAN和其他工具来查找漏洞和潜在的入口点。
由于被动侦察阶段不涉及与组织的直接互动,黑客在此阶段会尽力收集关于目标的一切可用信息。
主动侦察
在主动侦察阶段,威胁行为者会以某种方式与目标组织进行互动,以获取可以帮助他们入侵公司网络的信息。他们会使用NMAP、漏洞扫描器、端口扫描器以及横幅抓取等工具。
侦察阶段在任何网络攻击中都至关重要。威胁行为者掌握的关于目标网络的详细信息越多,他们就越能更好地策划攻击。
为了防止威胁行为者进行被动和主动侦察,您可以采取以下措施:
- 限制黑客可以用来发起网络钓鱼攻击的公共信息的暴露。
- 制定可接受的社交媒体使用政策。
- 修改服务器错误消息,避免泄露有关您网络的重要信息。
- 禁用未使用的端口和服务。
- 实施具有入侵防御系统(IPS)功能的防火墙。
侦察阶段的主要目标是找到黑客可以利用的薄弱环节,从而进入您的网络。
因此,设置蜜罐和蜜网是发现网络漏洞并加强防御的有效方法。
#2. 武器化
武器化阶段旨在创建一种攻击工具(即攻击向量),用于利用在侦察阶段发现的系统或网络漏洞。
武器化过程可能包括选择或创建合适的远程访问恶意软件、勒索软件或恶意代码,以匹配特定的漏洞。
攻击者会将恶意软件伪装成看似无害的文件格式,如Word文档或PDF,以诱骗目标打开它。
Metasploit、SQLMAP、Exploit-DB和社会工程工具包是武器化阶段常用的工具。
武器化阶段的核心在于黑客选择何种攻击向量来攻击系统和网络。
因此,加强防御是一种可靠的网络安全策略,可以阻止攻击媒介进入您的系统和网络。
以下是一些入门技巧:
- 在公司中积极实施补丁管理。确保软件和操作系统没有漏洞,以减少潜在的攻击面。
- 在所有端点安装有效的防病毒软件。
- 禁用Office宏、JavaScript和不必要的浏览器插件。
- 在公司中实施电子邮件安全工具,并使用浏览器隔离。
- 审计日志,以识别网络中的任何异常情况。
此外,您还应该部署有效的入侵检测和预防系统,并确保公司实施了多因素身份验证。
#3. 投递
现在,黑客已经选择了合适的攻击媒介来利用漏洞,接下来就是投递阶段,攻击者会尝试渗透到您的网络中。
根据所使用的攻击媒介类型,投递方式会有所不同。
典型的投递示例包括:
- 网站:威胁行为者可能会感染潜在目标经常访问的第三方网站。
- 电子邮件:攻击者可能会发送包含恶意软件的受感染电子邮件。
- USB:他们可能会将受感染的USB设备留在公共区域,希望用户将其插入自己的系统。
- 社交媒体:网络犯罪分子可能会利用社交媒体进行网络钓鱼攻击,诱骗用户点击受感染的链接。
抵御常见攻击媒介的最佳防御方法是加强员工培训。
您可以采取的其他安全措施包括实施Web过滤、DNS过滤解决方案,以及禁用设备上的USB端口。
#4. 利用
在网络攻击链框架的利用阶段,攻击者会利用其武器来攻击目标系统中的薄弱环节。这标志着在武器投递后,实际攻击的开始。
详细来看:
- 攻击者会定位软件、系统或网络中的漏洞。
- 他们会引入旨在利用这些漏洞的恶意工具或代码。
- 漏洞代码会被激活,从而获得未经授权的访问或权限。
- 通过渗透外围,攻击者可以通过安装恶意工具、执行脚本或修改安全证书,进一步利用目标系统。
这个阶段至关重要,因为它标志着从单纯的威胁到实际安全事件的转变。利用阶段的目的是获取对您的系统或网络的访问权限。
实际的攻击可能采取SQL注入、缓冲区溢出、恶意软件或JavaScript劫持等形式。
他们可能会在网络中横向移动,并在移动的过程中寻找其他的入口点。
在此阶段,黑客已经进入您的网络并开始利用漏洞。 您可以用来保护系统和网络的资源有限。
您可以使用数据执行保护(DEP)、防病毒软件(如果已安装)的功能和反利用功能,以阻止进一步的利用。
一些EDR工具也可以帮助快速检测和响应网络攻击。
#5. 安装
安装阶段,也称为权限提升阶段,主要是安装恶意软件并部署其他恶意工具,以便威胁参与者即使在您修复漏洞并重新启动受感染的系统后,也可以持续访问您的系统和网络。
安装阶段常用的技术包括:
- DLL劫持
- 安装远程访问木马(RAT)
- 修改注册表,使恶意程序能够自动启动
攻击者还可能会尝试创建后门,以便持续访问系统或网络,即使原始的入口点已经被安全专家关闭。
如果网络犯罪分子已经成功到达这个阶段,那么您能采取的保护措施将非常有限。 您的系统或网络已经被感染。
现在,您可以使用用户行为分析(UBA)工具或EDR工具等感染后工具来检查注册表和系统文件是否存在异常活动。 您应该准备好部署事件响应计划。
#6. 命令与控制
在命令与控制阶段,攻击者会与受感染的系统建立连接。 该连接允许对目标进行远程控制。 攻击者现在可以发送命令、接收数据,甚至上传其他恶意软件。
在这个阶段,通常会使用两种策略:混淆和拒绝服务(DoS)。
- 混淆可以帮助攻击者隐藏他们的存在。他们可能会删除文件或修改代码以避免被发现。 本质上,他们正在掩盖自己的踪迹。
- 拒绝服务会转移安全团队的注意力。通过在其他系统中制造问题,他们会将您的注意力从主要目标上转移开。这可能涉及网络中断或系统关闭。
在此阶段,您的系统已经完全被攻陷。您应该专注于限制黑客的控制范围,并检测异常活动。
网络分段、入侵检测系统(IDS)以及安全信息和事件管理(SIEM)可以帮助您减轻损害。
#7. 目标行动
网络攻击链的七个步骤在“目标行动”阶段达到顶峰。在这个阶段,攻击者实现了他们的主要目标。根据早期行动的成功程度,这个阶段可能会持续数周甚至数月。
常见的最终目标包括但不限于数据盗窃、敏感数据加密、供应链攻击等。
通过实施数据安全解决方案、端点安全解决方案和零信任安全措施,您可以限制损害,并阻止黑客实现其目标。
网络攻击链能否应对当今的安全挑战?
网络攻击链模型有助于理解和应对各种网络攻击。 但是,其线性结构可能不足以防御当今复杂的多向量攻击。
以下是传统网络攻击链框架的一些缺点。
#1. 忽略内部威胁
内部威胁来自组织内部的个人,例如员工或承包商,他们可以合法访问您的系统和网络。 他们可能会有意或无意地滥用其访问权限,从而导致数据泄露或其他安全事件。
事实上,74%的公司认为内部威胁越来越频繁。
传统的网络攻击链模型并未考虑内部威胁,因为它主要侧重于跟踪外部攻击者的活动。
在内部威胁的情况下,攻击者不需要经历网络攻击链中概述的许多阶段,例如侦察、武器化或投递,因为他们已经可以访问系统和网络。
该框架的这一重大疏漏使其无法有效检测或减轻内部威胁。 它缺乏监控和分析组织内部人员的行为或访问模式的机制,这是网络攻击链框架的主要局限性。
#2. 攻击检测能力有限
网络攻击链在识别各种网络攻击方面的覆盖范围相对较窄。该框架主要围绕检测恶意软件活动和恶意负载展开,在应对其他形式的攻击时存在明显的不足。
一个典型的例子包括基于Web的攻击,如SQL注入、跨站脚本(XSS)、各种类型的拒绝服务(DoS)攻击和零日攻击。这些类型的攻击很容易逃脱检测,因为它们不遵循网络攻击链旨在检测的典型模式。
此外,该框架在处理未经授权的个人利用被盗凭证发起的攻击方面存在缺陷。
在这种情况下,存在明显的疏漏,因为这些攻击可能会造成重大损害,但由于网络攻击链的检测能力有限,可能会被忽视。
#3. 缺乏灵活性
网络攻击链框架主要针对恶意软件和基于有效负载的攻击,缺乏灵活性。
网络攻击链框架的线性模型与现代威胁的动态特性不符,使其效率较低。
此外,它难以适应新的攻击技术,并且可能忽略关键的入侵后活动,这表明需要一种更具适应性的网络安全方法。
#4. 仅关注外围安全
网络攻击链模型经常因其对外围安全和恶意软件防护的关注而受到批评。随着组织从传统的本地网络转向基于云的解决方案,这成了一个问题。
此外,远程工作、个人设备、物联网技术以及机器人流程自动化(RPA)等高级应用的兴起,扩大了许多企业的攻击面。
这种扩展意味着网络犯罪分子有更多的接入点可供利用,这使得公司保护每个端点的安全变得充满挑战,也暴露了该模型在当今不断变化的威胁形势下的局限性。
阅读更多:如何网络安全网助力防护新时代
网络攻击链模型的替代方案
您可以探索以下网络攻击链模型的一些替代方案,为您的公司选择最佳的网络安全框架之一。
#1. MITRE ATT&CK 框架
MITRE ATT&CK 框架概述了攻击者使用的策略、技术和程序。您可以将其视为理解网络威胁的手册。网络攻击链主要关注攻击的阶段,而ATT&CK则提供了更为详细的视图。它甚至显示了攻击者在入侵后所做的事情,这使其更加全面。
安全专家通常更喜欢MITRE ATT&CK,因为它具有深度。它对于进攻和防御都很有用。
#2. NIST 网络安全框架
NIST网络安全框架为组织管理和减轻网络安全风险提供指导。它强调积极主动的方法。相比之下,网络攻击链侧重于了解攻击者在入侵期间的行为。
该框架概述了五个核心功能:识别、保护、检测、响应和恢复。这些步骤有助于组织了解和管理其网络安全风险。
NIST框架更广泛的范围有助于增强整体网络安全态势,而网络攻击链主要帮助分析和中断攻击序列。
通过从整体上解决安全问题,NIST框架通常可以更有效地促进弹性和持续改进。
结论
网络攻击链最初是一个有效的网络安全框架,可以识别和减轻威胁。但是,随着云、物联网和其他协作技术的使用,网络攻击变得越来越复杂。更糟糕的是,黑客越来越多地实施基于Web的攻击,例如SQL注入。
因此,像MITRE ATT&CK或NIST这样的现代安全框架在当今不断变化的威胁环境中能够提供更好的保护。
此外,您应该定期使用网络攻击模拟工具来评估您的网络安全性。