网络安全中的网络杀伤链
网络杀伤链也称为网络攻击链,它是一种网络安全模型,旨在帮助中断和防范复杂的网络攻击。通过将典型的网络攻击分解为几个阶段,此方法可帮助安全团队识别正在进行的网络攻击,并在它们对组织造成损害之前遏止攻击。
什么是网络杀伤链?
了解安全运营 (SecOps) 框架,该框架概述了网络攻击的各个阶段,包括侦查、泄露和数据外泄。
关键要点
- 网络杀伤链是一种网络安全模型,它将典型网络攻击分解为几个阶段,以帮助安全团队识别正在进行的网络攻击并遏止这些攻击。
- 网络杀伤链包括 8 个阶段:侦查、武器化、交付、利用、安装、命令和控制、针对目标的行动和盈利。
- 要实现网络杀伤链模型,首先需要分析模型的每个阶段,因为它与受影响的组织相关。
- 对网络杀伤链模型的一些常见批评是,它在应对不涉及恶意软件的内部威胁和攻击时效果较差。
网络杀伤链的发展历史
2011 年,Lockheed Martin 将一个称作“杀伤链”的军事概念应用于网络安全行业,并将其命名为“网络杀伤链”。与杀伤链一样,网络杀伤链会识别攻击的各个阶段,并让防御者深入了解攻击者在每个阶段的典型战术和技术。这两种模型也都是线性的,预期攻击者将按顺序执行每个阶段。
自网络杀伤链首次引入以来,网络威胁行动者已经进化了他们的战术,并不总是遵循网络杀伤链的每个阶段。作为回应,安全行业更新了其方法并开发了新的模型。MITRE ATT&CK® 矩阵是基于实际攻击的战术和技术的详细列表。它采用与网络杀伤链类似的阶段,但并不遵循线性顺序。
2017 年,Paul Pols 与 Fox-IT 和荷兰莱顿大学合作开发了另一个框架,也就是统一杀伤链,该框架将 MITRE ATT&CK 矩阵和网络杀伤链的元素合并到一个具有 18 个阶段的模型中。
自网络杀伤链首次引入以来,网络威胁行动者已经进化了他们的战术,并不总是遵循网络杀伤链的每个阶段。作为回应,安全行业更新了其方法并开发了新的模型。MITRE ATT&CK® 矩阵是基于实际攻击的战术和技术的详细列表。它采用与网络杀伤链类似的阶段,但并不遵循线性顺序。
2017 年,Paul Pols 与 Fox-IT 和荷兰莱顿大学合作开发了另一个框架,也就是统一杀伤链,该框架将 MITRE ATT&CK 矩阵和网络杀伤链的元素合并到一个具有 18 个阶段的模型中。
网络杀伤链的阶段
侦查
网络杀伤链定义了一系列网络攻击阶段,其目标是理解网络攻击者的心态,包括他们的动机、工具、方法和技术、他们如何做出决策以及他们如何规避检测。了解网络杀伤链的工作原理有助于防御者在早期阶段遏止网络攻击。
武器化
在武器化阶段,恶意行动者使用在侦查过程中发现的信息来创建或修改恶意软件,从而最大限度利用目标组织的弱点。
交付
构建恶意软件后,网络攻击者会尝试发起攻击。最常见的方法之一是利用社会工程技术(如网络钓鱼)来诱使员工交出他们的登录凭据。恶意行动者还可能利用不安全的公共无线连接或利用侦查期间发现的软件或硬件漏洞实现入侵。
利用
网络威胁行动者渗透到组织后,他们利用其访问权限从一个系统横向移动到另一个系统。他们的企图是找到敏感数据、其他漏洞、管理帐户或电子邮件服务器,他们可以利用这些内容对组织造成损害。
安装
在安装阶段,恶意行动者会安装恶意软件,从而使他们能够控制更多系统和帐户。
命令和控制
网络攻击者获得大量系统的控制权后,会创建一个控制中心,让他们能够远程操作。在这个阶段,他们使用模糊处理来掩盖自己的行踪并避免被检测到。他们还使用拒绝服务攻击来分散安全专业人员对其真正目标的注意力。
针对目标的行动
在这个阶段,网络攻击者采取措施来实现其主要目标,这可能包括供应链攻击、数据外泄、数据加密或数据销毁。
盈利
虽然 Lockhead Martin 最初的网络杀伤链只包含 7 个步骤,但许多网络安全专家已将其扩展到 8 个步骤,以涵盖恶意行动者通过攻击获取收入的活动,例如使用勒索软件从受害者那里敲诈钱财或在暗网上出售敏感数据。
网络杀伤链对网络安全的影响
了解网络威胁行动者如何计划和实施攻击有助于网络安全专业人员发现并缓解整个组织的漏洞。它还可帮助他们在网络攻击的早期阶段识入侵迹象。许多组织使用网络杀伤链模型来主动实施安全措施并指导事件响应。
网络杀伤链模型的优势
网络杀伤链模型可帮助安全专业人员:
- 在网络杀伤链的每个阶段识别威胁。
- 使未经授权的用户更难获得访问权限。
- 强化特权帐户、数据和系统。
- 定期修补和升级旧的硬件和软件。
- 教员工如何识别网络钓鱼电子邮件。
- 发现横向移动并迅速做出反应。
- 遏止正在进行的网络攻击。
实施网络杀伤链
威胁情报
保护组织免受网络威胁的最重要工具之一是威胁情报。良好的威胁情报解决方案可以综合来自整个组织环境的数据,并提供可操作的见解,帮助安全专业人员尽早检测到网络攻击。 安全信息和事件管理
在安全信息和事件管理 (SIEM) 解决方案的帮助下,许多组织始终领先于最新的网络威胁。SIEM 解决方案聚合来自整个组织和第三方来源的数据,以显示关键网络威胁,供安全团队进行会审和处理。许多 SIEM 解决方案还会自动响应某些已知威胁,从而减少团队需要调查的事件数量。
终结点检测和响应
在任何一个组织中,都有成百上千个终结点。在公司用于开展业务的服务器、计算机、移动设备和物联网 (IoT) 设备之间,几乎不可能使它们全部保持最新状态。恶意行动者知道这一点,这就是为什么许多网络攻击从一个遭到入侵的终结点开始。终结点检测和响应解决方案可帮助安全团队监视其是否存在威胁,并在发现设备安全问题时快速响应。
扩展检测和响应
扩展检测和响应 (XDR) 解决方案使终结点检测和响应更进一步,通过单个解决方案来保护终结点、标识、云应用和电子邮件。
托管检测和响应
并非所有公司都有内部资源来有效地检测和响应威胁。为了增强现有的安全团队,这些组织转向提供托管检测和响应的服务提供商。这些服务提供商负责监视组织环境和响应威胁。
网络杀伤链挑战
尽管了解网络杀伤链可以帮助公司和政府主动准备和应对复杂的多阶段网络威胁,但完全依赖它可能会使组织容易受到其他类型的网络攻击。对网络杀伤链的一些常见批评是:
- 侧重于恶意软件。最初的网络杀伤链框架旨在检测和响应恶意软件,但对于其他类型的攻击来说并不有效,例如未经授权的用户使用已泄露的凭据获取访问权限。
- 非常适合外围安全。当只有一个网络外围需要保护时,着重于保护终结点的网络杀伤链模型效果良好。现在,有这么多远程工作者、云服务,而且访问公司资产的设备数量不断增加,几乎不可能解决每个终结点漏洞。
- 未准备好应对内部威胁。已经有权访问某些系统的内部人员在网络杀伤链模式下更难被发现。相反,组织需要监视和检测用户活动中的变化。
- 过于线性。尽管许多网络攻击遵循网络杀伤链中列出的 8 个阶段,但也有许多阶段没有遵守或将几个步骤合并为一个行动。过于关注每个阶段的组织可能会错过这些网络威胁。
网络杀伤链解决方案
自 2011 年 Lockhead Martin 首次引入网络杀伤链以来,技术和网络威胁领域发生了很大变化。云计算、移动设备和 IoT 设备改变了人们的工作方式和企业运营的方式。网络威胁行动者已经用自己的创新来应对这些新技术,包括使用自动化和 AI 来加速和改进他们的网络攻击。 网络杀伤链为制定主动安全策略提供了一个很好的起点,该策略将网络攻击者的思维和目标考虑在内。Microsoft 安全提供统一安全运营平台,它将 XDR 和 SIEM 整合到一个可调整适应的解决方案中,帮助组织开发多层防御来保护网络杀伤链中的所有阶段。组织还通过投资面向网络安全解决方案的 AI(例如 智能 Microsoft Security Copilot 副驾驶®),对新型的 AI 支持的网络威胁做好准备。
资源
详细了解 Microsoft 安全
常见问题解答
- 网络杀伤链是一种网络安全模型,它将典型网络攻击分解为几个阶段,以帮助安全团队识别正在进行的网络攻击并在这些攻击造成损害之前遏止它们。
The MITRE ATT&CK 矩阵是基于实际网络攻击的战术和技术的更详细列表。它采用与网络杀伤链类似的阶段,但并不遵循线性顺序。 - 组织使用 SIEM 解决方案、XDR 解决方案和威胁情报来检测和遏止网络杀伤链中的网络攻击。
- 传统的网络杀伤链包括下面 7 个阶段:
- 侦查
- 武器化
- 交付
- 利用
- 安装
- 命令和控制
- 针对目标的行动
- 要实现网络杀伤链模型,首先需要分析模型的每个阶段,因为它与受影响的组织相关。这将有助于安全团队识别漏洞和风险最大的领域。一旦组织知道优先考虑什么,以下策略和工具就可帮助安全团队检测和响应复杂的网络威胁:
- 开发端到端威胁情报程序。
- 实现 SIEM 解决方案。
- 部署 XDR 解决方案。
- 使用统一安全运营解决方案,其中包括一个平台中的 XDR 解决方案和 SIEM 解决方案。
- 实施全面的身份和访问管理。
- 为所有员工进行定期的安全培训。
- 开发事件响应 playbook。
- 网络杀伤链再次保护多阶段恶意软件攻击。
关注 Microsoft 安全