洛克希德·马丁定义的“杀伤链”
作者: 日期:2017年11月13日 阅:32,094

对信息安全专家来说,用洛克希德-马丁公司的网络杀伤链(Kill Chain,也称网络攻击生命周期)来识别和防止入侵的方法可能并不陌生。然而,攻击者始终在改进攻击手段,这可能要求企业重新审视网络杀伤链。本文将回顾杀伤链模型对网络安全的意义,以及怎样在今天的威胁环境中使用它。

杀伤链模型可以拆分恶意软件的每个攻击阶段,从而实现识别和阻止功能,但是请注意,攻击策略是可以改变的。

什么是网络杀伤链?

“杀伤链”这个概念源自军事领域,它是一个描述攻击环节的六阶段模型,该理论也可以用来反制此类攻击(即反杀伤链)。杀伤链共有“发现-定位-跟踪-瞄准-打击-达成目标”六个环节。

在越早的杀伤链环节阻止攻击,防护效果就越好。例如,攻击者取得的信息越少,这些信息被第三人利用来发起进攻的可能性也会越低。

洛克希德-马丁公司提出的网络空间杀伤链与此类似,本质是一种针对性的分阶段攻击。同样,这一理论可以用于网络防护,具体阶段如下图所示:

“什么是杀伤链?”信息图

这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑,一步步实行盗窃计划最终卷赃逃逸。要利用网络杀伤链来防止攻击者潜入网络环境,需要足够的情报和可见性来明了网络的风吹草动。当不该有的东西出现后,企业需要第一时间获悉,为此企业可以设置攻击警报。

另一个需要牢记的点是:在越早的杀伤链环节阻止攻击,修复的成本和时间损耗就越低。如果攻击直到进入网络环境才被阻止,那么企业就不得不修理设备并核验泄露的信息。

要想明确杀伤链技术是否适合自己的企业,不妨通过杀伤链模型的几个阶段入手,来发现企业应当核实的问题。

侦查阶段:从外部观察网络

在这个阶段,犯罪分子试图确定目标的好坏。他们从外部了解企业的资源和网络环境,并确定是否值得攻击。最理想的情况是,攻击者希望目标防备薄弱、数据值钱。罪犯可以找到的信息门类,以及这些信息如何被使用,可能会让企业大吃一惊。

企业的信息价值往往超出他们想象。雇员的姓名和详细信息(不仅是企业网站,而且包括社交网站的信息)是否在网端存储?这些信息可以用来进行社会工程用途,比如,让人们透露用户名或密码。企业的网站服务器或物理位置是否接入网络吗?这些也可以用于社会工程,或帮助攻击者缩小企业环境漏洞的寻找范围。

这个层面上的问题很难处理,社交网络的普及让它变得尤为棘手。将敏感信息隐藏起来是一个廉价的改善方式,虽然这也增加信息调用的时间成本。

武器化、散布、恶用、设置阶段:试图进入

这些阶段是攻击者用工具攻击被选目标的具体过程,他们收集的信息将被用于恶意行为。他们手头的信息越多,社会工程攻击就越无缝可击。通过员工在LinkedIn上的信息,他们可以用鱼叉式钓鱼获得公司内部资源。或者,他们可以把远程访问木马提前嵌入可能会录入重要信息的文件里,以诱使接收者运行它。如果他们知道用户或服务器运行的软件信息,比如操作系统版本和类型,他们在企业网络里渗透和布置的把握就大大增加。

就这些阶段的防御而言,企业应当参照标准安全专家的建议去做。

企业的软件是否达到最新?这需要具体到每台终端上的每个应用。大多数公司都有某个小角落还用着老式台式机,系统仍然用的是Windows 98。如果这台设备接入网络,无异于对攻击者门洞大开。

企业使用电子邮件和网页过滤功能吗?电子邮件过滤可以有效阻止攻击中常用的文档类型。如果企业的文件必须用某种标准发送,比如密码保护的ZIP文件,这可以让用户了解文件是否无误。网页过滤则可以防止用户访问已知的不良网站或域名。

企业禁用USB设备吗?从安全的角度来看,让文件不需许可就运行绝非什么好主意。最好在运行前,确保给用户有时间暂停和思考他们所看到的情况。

企业使用端点保护软件的最新功能吗?虽然端点保护软件不是为了应对新型针对性攻击而设计,但是它们常常根据已知的可疑行为或软件漏洞来捕捉威胁。

命令与控制阶段(C&C):威胁已将变成现实

一旦威胁在企业的网络环境里扎根,它的下一个任务是给老窝打电话并等待指示。它可能下载额外的组件,更有可能的是通过C&C通道联系一个僵尸网络主控机。无论哪种方式,这都要求网络流量,这意味着企业必须扪心自问:防火墙是否设置了新项目进行网络通信的警报?

如果威胁已经实现了这些,它将对机器进行更改并将耗费IT工作人员对大量精力。有些公司或行业要求诊断受影响的机器上哪些数据被窃取或篡改。受影响的机器需要进行清洗或重置。如果数据已经备份,或者有可以快速加载到机器的标准企业模式,修复工作的成本和时间损耗就会有所降低。

有些攻击会另辟蹊径

去年的攻击状况已经充分证明了一点:攻击者不会严格按照游戏流程来——他们可能跳过步骤、添加步骤,甚至重复之前的步骤。最近的一些最具破坏性的攻击事件都是如此,这些攻击之所以能绕过安全团队耗费多年精心打造的防御体系,是因为它们有不同的流程安排。

“符合洛克希德-马丁公司的杀伤链的恶意行为被重点关注,这也让某些攻击隐形了。”Kudelski Security的全球管理服务副总裁Alton Kizziah说。

数据中心安全的领军者Alert Logic的合伙人、产品营销高级经理Misha Govshteyn指出:“杀伤链从来不能彻底符合我们看到的种种攻击。”

根据2017年威瑞森的数据泄露调查报告,今年,网络程序攻击成为了数据泄露的最常见形式,在数据泄露案例中占到了近三分之一。常见方法是利用应用程序自身的漏洞。

最近的Equifax数据泄露事件就是典型例子。这种攻击很难发现。在两个月里,Equifax未在网站上发现可疑的网络流量。“通常到了数据外泄的时候,企业才能察觉。”Positive Technologies的网络安全弹性主管Leigh-Anne Galloway说。“或者,可能需要一个第三方的实体,例如某个客户,来提醒企业出了问题。”

Equifax泄露案可以追溯到Apache Struts Web服务器软件中的一个漏洞。如果公司安装了这个漏洞的安全补丁,这个问题可能会避免,但是有时软件更新本身就是恶意攻击的桥梁,9月发生的CCleaner被黑事件就是一例。

零日漏洞也是大麻烦。根据Contrast Security的共同创始人兼首席技术官杰夫·威廉姆斯的观点,平均每个软件应用和api拥有26.8个严重漏洞。“这是一个惊人的数字,”他说。“公众对Equifax感到愤怒,但事实是,几乎所有的公司在应用程序层都是不安全的。我们发现,世界各地有成千上万的IP地址正在进行的应用攻击尝试,这一现象正在扩散。”

要抵御这类攻击,企业必须缩短补丁的安装延迟。“过去的时候,直到应用程序漏洞被披露后的数周或数月,针对性的攻击才会出现,”他说,“但是今天,安全窗口已经只有一天左右,而在2018年,这一时间可能进一步缩减到几个小时。”

他补充说,企业也需要开始将安全控件直接嵌入到应用程序里。这被称为应用程序的运行自保,Gartner预测这一细分市场的复合年增长率为9%。

“安全需要更贴近应用程序,需要深入了解程序的核心进程和内存使用量,”Virsec Systems的创始人和首席技术官Satya Gupta说。“新的流程控制技术将嵌入到应用程序层面,能理解应用的协议和环境,可以将可接受的应用程序流程绘制出来(就像谷歌地图)。如果应用程序应该从A点走到B点,但是却出现了一段意外的路程,那么肯定出错了。”

攻击者也可以利用被泄露的身份信息或强度弱的密码。这一过程不需要安装恶意软件,也不用与C&C服务器通信,不会产生横向操作。“寻找一份泄露的数据库或Amazon S3数据意味着攻击可以简便完成,从而避免和防御者交锋。”Obsidian Security的首席技术官Ben Johnson说。

根据RedLock本月发布的一份报告,53%的组织使用Amazon S3等云存储服务,这至少导致了一个意外结果,即数据暴露在公众面前。今年夏天的早些时候,Skyhigh Networks报道称,7%的企业使用的所有AWS S3数据可以无限制访问,另有35%的企业未对数据加密。

由于数据是通过合法渠道传出,数据防泄露可能无法检测这种行为。Govshteyn说:“企业需要专门的工具来保护针对网络应用程序的攻击。”

DOS攻击也难以被杀伤链解释。“攻击者仍需选择目标,所以必须进行侦察阶段。”Cybereason的首席安全官Sam Curry说。但是在准备之后,攻击者将直接跳转到中断阶段。

他补充说DOS攻击也可能只是攻击的第一步,用来掩盖其他恶意行为。“当系统崩溃时,攻击者可以创建一个漏洞,”他说,“或者创建一个高信噪的筛选器,来掩盖痕迹或破坏系统的信号发现能力。”

他说,攻击者也可以添加步骤到游戏流程里。例如,他们可以花时间清理痕迹、设置中断、传播虚假数据,或安装未来用得上的后门。

他们也可以重新安排各步骤的顺序,或者重复之前的步骤。这不是一个简单的线性过程。

这通常更像树状或根系的分支和蔓延,这一过程很复杂,会发生很多事情。

目标达成阶段:不达目标,攻击不会停止

在拒绝服务攻击案例中,中断不一定是攻击的最后一步。在攻击者成功地破坏、瘫痪或渗入系统后,攻击者可以重复这一过程。也可以转移到另一个阶段——盈利。Preempt Security的首席执行官 Ajit Sancheti 认为,攻击者可能采取任意形式的组合。比如,他们可以通过破坏基础设施来进行广告欺诈或发送垃圾邮件、向企业勒索赎金、出售他们在黑市上获得的数据,甚至劫持基础设施出租给其他罪犯。“攻击的盈利已经急剧增加。”

他补充说,比特币的使用让攻击者更简便、安全地得到钱,这导致了攻击动机的变化。不同群体的数量参与也让黑市上被盗数据的消费变得更加复杂。这也为企业、执法部门和其他组织创造了合作破坏这一过程的机会。

以被盗的支付卡信息为例。“一旦信用卡数据被盗,这些数据必须被测试、出售、用于获取商品或服务,反过来这些商品或服务必须转换为现金。”Splunk公司的安全研究主管Monzy Merza说。

这一切都早已超出了传统网络杀伤链的范畴。黑市生态系统也在影响了网络攻击周期中的攻击准备环节。攻击者们会分享身份凭证列表、漏洞或被修改的应用程序。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章