網絡殺傷鏈有助于理解和預測網絡攻擊的不同階段。了解黑客的工作方式使公司能夠選擇正確的工具和策略來限制違規行為、應對正在進行的攻擊并最大限度地降低風險。本文解釋了網絡殺傷鏈在網絡安全中的作用。我們檢查攻擊的每一步，并說明為什么殺傷鏈對防御策略至關重要。

什么是網絡殺傷鏈？

網絡殺傷鏈是一種概述網絡攻擊各個階段的安全模型。殺傷鏈涵蓋了網絡入侵的所有階段，從早期計劃和監視到黑客的最終目標。了解攻擊的各個階段使公司能夠規劃預防和檢測惡意入侵者的策略。網絡殺傷鏈有助于為所有常見的在線威脅做好準備，包括：

• 勒索軟件攻擊。
• 網絡漏洞。
• 數據盜竊。
• 高級持續攻擊 (APT)。

• 目標的識別。
• 向目標派遣部隊。
• 打擊目標的命令。
• 目標的消除。

網絡殺傷鏈的另一個術語是?網絡攻擊鏈。

網絡殺傷鏈的 7 個階段

網絡殺傷鏈的七個階段是成功攻擊的不同步驟。安全團隊有機會在每個階段阻止攻擊者，但理想情況下，公司應該在網絡殺傷鏈的前半部分識別并阻止威脅。

第一階段：認可

攻擊者在偵察步驟中收集必要的信息。黑客選擇受害者，對公司進行深入研究，尋找目標網絡中的薄弱環節。

偵察分為兩種：

• 被動偵察：?黑客在不與目標交互的情況下搜索信息。受害者無法知道或記錄攻擊者的活動。
• 主動偵察：?黑客未經授權訪問網絡并直接與系統接觸以收集信息。

在此步驟中，攻擊者評估系統的以下方面：

• 安全漏洞和弱點。
• 雇用內部同謀的可能性。
• 工具、設備、驗證協議和用戶層次結構。

偵察期間的一個常見策略是收集員工電子郵件地址和社交媒體帳戶。如果攻擊者決定使用社會工程來訪問網絡，則此信息很有用?。

偵察階段的防御措施：

• 設置防火墻以加強周邊安全。
• 監控入口點和訪客日志中的可疑行為。
• 確保員工報告可疑的電子郵件、電話和社交媒體消息。
• 優先保護作為偵察主要目標的個人和系統。
• 限制公開可用的公司數據的數量。

第二階段：武器化

攻擊者團隊發現了系統中的一個弱點，并且知道如何創建一個入口點。犯罪團隊現在設計了一種病毒或蠕蟲來針對該弱點。如果攻擊者發現了零日漏洞，他們通常會在受害者發現并修復漏洞之前快速工作。

一旦惡意軟件準備就緒，黑客通常會將惡意軟件放置在普通文檔中，例如 PDF 或 Office 文件。

武器化階段的防御措施：

• 開展安全意識培訓，幫助員工識別武器化測試。
• 分析惡意軟件工件以檢查可疑的時間線和相似之處。
• 為武器制造者構建檢測工具（將惡意軟件與漏洞利用相結合的自動化工具）。

第三階段：交付

犯罪分子向目標環境發起攻擊。感染方法各不相同，但最常見的技術是：

• 網絡釣魚攻擊。
• 受感染的 USB 設備。
• 利用硬件或軟件缺陷。
• 受損的用戶帳戶。
• 與常規程序一起安裝惡意軟件的路過式下載。
• 通過開放端口或其他外部接入點直接入侵。

這一步的目標是突破體制，默默地站穩腳跟。一種流行的策略是同時發起DDoS 攻擊?，以分散防御者的注意力并在不引起安全控制警報的情況下感染網絡。

交付階段的防御措施：

• 防止網絡釣魚攻擊。
• 使用補丁管理工具。
• 使用文件完整性監控 (FIM) 標記和調查對文件和文件夾的更改。
• 監控奇怪的用戶行為，例如奇怪的登錄時間或位置。
• 運行滲透測試以主動識別風險和弱點。

第 4 階段：安裝

惡意軟件在系統內部，管理員不知道威脅。網絡殺傷鏈的第四步是惡意軟件安裝在網絡上。惡意軟件安裝后，入侵者就可以訪問網絡（也稱為后門）?，F在有了開放訪問，入侵者可以自由地：

• 安裝必要的工具。
• 修改安全證書。
• 創建腳本文件。
• 在開始主要攻擊之前尋找進一步的漏洞以獲得更好的立足點。

對他們的存在保密對攻擊者來說至關重要。入侵者通常會擦除文件和元數據，用錯誤的時間戳覆蓋數據，并修改文檔以保持不被發現。

安裝階段的防御措施：

• 使設備保持最新。
• 使用防病毒軟件。
• 設置基于主機的入侵檢測系統以警告或阻止常見的安裝路徑。
• 定期進行漏洞掃描。

第 5 階段：橫向運動

入侵者橫向移動到網絡上的其他系統和帳戶。目標是獲得更高的權限并獲得更多數據。此階段的標準技術是：

• 利用密碼漏洞。
• 蠻力攻擊。
• 憑證提取。
• 針對進一步的系統漏洞。

橫向移動階段的防御措施：

• 實施零信任安全以限制被盜帳戶和程序的范圍。
• 使用網絡分段來隔離各個系統。
• 消除使用共享帳戶。
• 實施密碼安全最佳實踐。
• 審核特權用戶的所有可疑活動。

第 6 階段：指揮與控制 (C2)

復雜的 APT 級惡意軟件需要手動交互才能操作，因此攻擊者需要通過鍵盤訪問目標環境。執行階段之前的最后一步是與外部服務器建立命令和控制通道 (C2)。黑客通常通過外部網絡路徑上的信標來實現 C2。信標通常是基于 HTTP 或 HTTPS 的，并且由于偽造的 HTTP 標頭而顯示為普通流量。如果數據泄露是攻擊的目標，入侵者會在 C2 階段開始將目標數據打包。數據包的典型位置是網絡的一部分，幾乎沒有活動或流量。

指揮控制階段的防御措施：

• 在分析惡意軟件時尋找 C2 基礎設施。
• 所有類型的流量（HTTP、DNS）的需求代理。
• 持續掃描威脅。
• 設置入侵檢測系統以提醒所有與網絡連接的新程序。

第 7 階段：執行

入侵者采取行動來實現攻擊的目的。目標各不相同，但最常見的目標是：

• 數據加密。
• 數據泄露。
• 數據銷毀。

在攻擊開始之前，入侵者會通過在網絡上造成混亂來掩蓋他們的蹤跡。目標是通過以下方式混淆和減緩安全和取證團隊的速度：

• 清除日志以屏蔽活動。
• 刪除文件和元數據。
• 使用不正確的時間戳和誤導性信息覆蓋數據。
• 即使發生攻擊，也可以修改重要數據以使其顯示正常。

一些犯罪分子還在提取數據時發起另一次 DDoS 攻擊，以分散安全控制的注意力。

執行階段的防御措施：

• 創建一個事件響應手冊，概述清晰的溝通計劃和發生攻擊時的損害評估。
• 使用工具來檢測正在進行的數據泄露的跡象。
• 對所有警報運行即時分析師響應。

什么是網絡殺傷鏈的示例？

下面的網絡殺傷鏈示例顯示了安全團隊可以檢測和阻止自定義勒索軟件攻擊的不同階段：

• 第 1 步：?黑客進行偵察操作以發現目標系統中的弱點。
• 第 2 步：?犯罪分子創建一個漏洞利用勒索軟件程序并將其放入電子郵件附件中。然后，黑客向一名或多名員工發送網絡釣魚電子郵件。
• 第 3 步：?用戶錯誤地從收件箱打開并運行程序。
• 第 4 步：?在目標網絡上安裝勒索軟件并創建后門。
• 第 5 步：?程序調用惡意基礎設施并通知攻擊者成功感染。
• 第 6 步：?入侵者在系統中橫向移動以查找敏感數據。
• 第 7 步：?攻擊者實現 C2 控制并開始加密目標文件。

網絡殺傷鏈模型的缺點

網絡殺傷鏈是一個框架，公司可以圍繞該框架設計其安全策略和流程。然而，殺傷鏈也有幾個值得指出的缺陷。

專注于外圍

最初的網絡殺傷鏈出現在大多數威脅來自組織外部的時候。在當今的安全環境中，將邊界視為主要攻擊面存在兩個問題：

• 云和微分段的使用消除了城堡和護城河安全的概念。
• 內部威脅與外部威脅一樣危險。

如何解決這個問題：?通過考慮周界內外的危險來建立一個全面的殺傷鏈。設置云監控以確保您的資產在本地和云端都是安全的。

在第一階段和第二階段識別威脅

網絡殺傷鏈的偵察和武器化階段發生在公司視線之外。在這些階段檢測攻擊是很困難的。即使您確實注意到奇怪的行為，也無法確定威脅的程度。

如何解決此問題：?不要忽略潛在攻擊的早期跡象，將其視為一次性事件。分析顯示為主動偵察或武器測試的每一項活動。

缺乏適應

第一個網絡殺傷鏈出現在 2011 年，當時洛克希德-馬丁公司創建了一個安全模型來保護其網絡。從那時起，網絡攻擊的性質和構成都發生了顯著變化，讓人感覺殺傷鏈無法讓公司為高級威脅做好準備。

如何解決此問題：不要創建網絡殺傷鏈，也不要更新模型。強大的殺傷鏈必須不斷發展，才能有效抵御最新威脅，尤其是 APT。隨著公司的發展，修改鏈以考慮新的攻擊面和潛在危險。

任何安全策略的支柱

雖然不是安全工具或機制，但殺傷鏈有助于選擇正確的策略和技術來阻止不同階段的攻擊。使用殺傷鏈作為有效安全策略的基礎，并繼續發展您的公司，而不必擔心代價高昂的挫折。