信息安全入侵攻击链[ 1] 网络攻击链 是指攻击者实施网络攻击的过程。 洛克希德·马丁公司 将“杀伤链 ”的概念从军事领域应用于信息安全 领域,将其作为一种对计算机网络 入侵进行建模的方法。[ 3] [ 4] [ 5]
2011年,洛克希德·马丁公司的计算机科学家描述了一种新的“入侵攻击链”框架或模型,用于防御计算机网络。[ 6] 网络攻击 的各个阶段。[ 7]
网络攻击链揭示了网络攻击 的各个阶段:从早期的侦察到数据窃取 [ 8]
侦察:入侵者选择目标,对其进行研究,并试图识别目标网络中的漏洞。
武器化:入侵者创建针对一个或多个漏洞量身定制的远程访问恶意软件武器,例如病毒或蠕虫。
传递:入侵者将武器传输到目标(例如,通过电子邮件附件、网站或U盘)。
利用:恶意软件武器的程序代码触发,对目标网络采取行动以利用漏洞。
安装:恶意软件武器安装一个入侵者可以使用的访问点(例如“后门 ”)。
命令与控制:恶意软件使入侵者能够对目标网络进行“键盘操作”的持续访问。
目标行动:入侵者采取行动实现其目标,例如数据窃取 数据破坏 或加密以进行勒索 。 可以针对这些阶段采取防御性行动:[ 9]
检测:确定入侵者是否存在。
拒绝:防止信息泄露和未经授权的访问。
中断:停止或更改出站流量(到攻击者)。
降级:反击命令和控制。
欺骗:干扰命令和控制。
遏制:网段 更改。 美国参议院对2013年塔吉特公司数据泄露事件的调查包括基于洛克希德·马丁攻击链框架的分析。它确定了控制措施未能阻止或检测到攻击进展的几个阶段。[ 1]
不同的组织已经构建了自己的攻击链,试图对不同的威胁进行建模。FireEye 提出了一种类似于洛克希德·马丁公司的线性模型。在FireEye的攻击链中,威胁的持久性得到了强调。该模型强调,威胁不会在一个周期后结束。[ 10]
侦察:这是攻击者收集有关目标系统或网络信息的初始阶段。这可能包括扫描漏洞、研究潜在的入口点以及识别组织内的潜在目标。
初始入侵:一旦攻击者收集到足够的信息,他们就会试图入侵目标系统或网络。这可能包括利用软件或系统中的漏洞,利用社会工程技术欺骗用户,或使用其他方法获得初始访问权限。
建立后门:在获得初始访问权限后,攻击者通常会创建一个后门或一个进入受感染系统的持久入口点。这确保了即使初始入侵被发现和缓解,攻击者仍然可以重新获得访问权限。
获取用户凭据:在系统中立足后,攻击者可能会试图窃取用户凭据。这可能涉及诸如键盘记录、网络钓鱼或利用弱身份验证机制等技术。
安装各种实用程序:攻击者可能会在受感染的系统上安装各种工具、实用程序或恶意软件,以方便进一步的移动、数据收集或控制。这些工具可能包括远程访问木马(RAT)、键盘记录程序和其他类型的恶意软件。
权限提升/横向移动/数据窃取:一旦进入系统,攻击者就会寻求提升其权限,以获得对网络的更多控制权。他们可能会在网络内横向移动,试图访问更有价值的系统或敏感数据。数据窃取涉及窃取并将有价值的信息传输到网络之外。
维持持久性:此阶段强调攻击者的目标是在受感染的环境中保持长期存在。他们通过不断逃避检测、更新其工具以及适应任何安全措施来做到这一点。
对洛克希德·马丁公司的网络攻击链模型作为威胁评估和预防工具的批评之一是,第一阶段发生在被防御网络之外,因此难以识别或防御这些阶段的行动。[ 11] [ 12] [ 13] [ 14]
统一攻击链由18个独特的攻击阶段组成,这些阶段可能发生在高级网络攻击中。 统一攻击链是由Paul Pols在2017年与Fox-IT和莱顿大学 合作开发的,旨在通过整合和扩展洛克希德·马丁公司 的攻击链和MITRE ATT&CK 框架(两者都基于James Tubberville和Joe Vest构建的“进入、停留和行动”模型)来克服对传统网络攻击链的常见批评。统一版本的攻击链是由18个独特的攻击阶段组成的有序排列,这些阶段可能发生在端到端的网络攻击 中,涵盖了在防御网络之外和内部发生的活动。因此,统一攻击链改进了传统攻击链的范围限制和MITRE的ATT&CK中战术的时间不可知性。统一模型可用于分析、比较和防御高级持续性威胁 (APT)发起的端到端网络攻击。[ 15] [ 16]
^ 1.0 1.1 U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014 (PDF) . (原始内容 (PDF) 存档于October 6, 2016). ^ Higgins, Kelly Jackson. How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack . DARKReading. January 12, 2013 [June 30, 2016] . (原始内容存档 于2024-01-19). ^ Mason, Sean. Leveraging The Kill Chain For Awesome . DARKReading. December 2, 2014 [June 30, 2016] . (原始内容存档 于2024-01-19). ^ Myers, Lysa. The practicality of the Cyber Kill Chain approach to security . CSO Online. October 4, 2013 [June 30, 2016] . (原始内容存档 于March 19, 2022). ^ Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011 (PDF) . [2021-08-26 ] . (原始内容存档 (PDF) 于2021-07-27). ^ Greene, Tim. Why the 'cyber kill chain' needs an upgrade . 5 August 2016 [2016-08-19 ] . (原始内容存档 于2023-01-20). ^ The Cyber Kill Chain or: how I learned to stop worrying and love data breaches . 2016-06-20 [2016-08-19 ] . (原始内容存档 于2016-09-18) (美国英语) . ^ John Franco. Cyber Defense Overview: Attack Patterns (PDF) . [2017-05-15 ] . (原始内容存档 (PDF) 于2018-09-10). ^ Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu. Modified cyber kill chain model for multimedia service environments. Multimedia Tools and Applications. February 2019, 78 (3): 3153–3170. ISSN 1380-7501 doi:10.1007/s11042-018-5897-5 (英语) . ^ Laliberte, Marc. A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack . DARKReading. September 21, 2016. (原始内容存档 于2023-12-13). ^ Engel, Giora. Deconstructing The Cyber Kill Chain . DARKReading. November 18, 2014 [June 30, 2016] . (原始内容存档 于2023-12-15). ^ Reidy, Patrick. Combating the Insider Threat at the FBI (PDF) . BlackHat USA 2013. [2018-10-15 ] . (原始内容存档 (PDF) 于2019-08-15). ^ Devost, Matt. Every Cyber Attacker is an Insider . OODA Loop. February 19, 2015 [August 26, 2021] . (原始内容存档 于August 26, 2021). ^ Pols, Paul. The Unified Kill Chain (PDF) . Cyber Security Academy. December 7, 2017 [May 17, 2021] . (原始内容存档 (PDF) 于May 17, 2021). ^ Pols, Paul. The Unified Kill Chain . UnifiedKillChain.com. May 17, 2021 [May 17, 2021] . (原始内容存档 于May 17, 2021).
