網路安全性中的網路攻擊鏈
網路攻擊鏈是一種網路安全性模型,旨在協助中斷並防止複雜的網路攻擊。此方法會將一般網路攻擊分成數個階段,可協助安全性團隊識別進行中的網路攻擊,並在對組織造成損害之前加以阻止。
什麼是網路攻擊鏈?
瞭解概述不同網路攻擊階段的安全性作業 (SecOps) 架構,包括偵察、入侵和資料外流。
主要重點
- 網路攻擊鏈是一種網路安全性模型,可將一般網路攻擊分成不同階段,協助安全性團隊識別進行中的網路攻擊並加以阻止。
- 網路攻擊鏈包括八個階段:偵察、武器化、傳遞、惡意探索、安裝、命令和控制、對目標採取動作,以及獲利。
- 因為網路攻擊鏈模型與受影響的組織有關,所以實作網路攻擊鏈模型是從分析模型的每個階段開始。
- 對於網路攻擊鏈模型的部分常見評論指出,其對於內部威脅和不涉及惡意程式碼的攻擊效果較差。
網路攻擊鏈的歷史
在 2011 年,Lockheed Martin 為網路安全性產業引進了一項稱為攻擊鏈的軍事概念,並命名為網路攻擊鏈。就像攻擊鏈一樣,網路攻擊鏈會識別攻擊的階段,並讓防禦者獲得見解,瞭解每個階段內敵人所採取的一般策略和技術。這兩個模型也都是線性模型,預期攻擊者會循序進行每個階段。
自網路攻擊鏈概念首次引入後,網路威脅執行者的策略已經過不斷演化,而且不一定會遵循網路攻擊鏈的每個階段。作為回應,安全性產業也隨之更新防禦方法,並開發新模型。MITRE ATT&CK® 矩陣是以真實攻擊為基礎的詳細策略和技術清單。。該矩陣使用與網路攻擊鏈類似的階段,但不遵循線性順序。
在 2017 年,Paul Pols 與 Fox-IT 和 Leiden University 合作開發了另一個架構,即整合攻擊鏈,將 MITRE ATT&CK 矩陣和網路攻擊鏈的元素結合成具有 18 個階段的模型。
自網路攻擊鏈概念首次引入後,網路威脅執行者的策略已經過不斷演化,而且不一定會遵循網路攻擊鏈的每個階段。作為回應,安全性產業也隨之更新防禦方法,並開發新模型。MITRE ATT&CK® 矩陣是以真實攻擊為基礎的詳細策略和技術清單。。該矩陣使用與網路攻擊鏈類似的階段,但不遵循線性順序。
在 2017 年,Paul Pols 與 Fox-IT 和 Leiden University 合作開發了另一個架構,即整合攻擊鏈,將 MITRE ATT&CK 矩陣和網路攻擊鏈的元素結合成具有 18 個階段的模型。
網路攻擊鏈的不同階段
偵察
網路攻擊鏈會定義一系列網路攻擊階段,目標是了解網路攻擊者的思維,包括其動機、工具、方法和技術、決策方式,以及攻擊者如何規避偵測。了解網路攻擊鏈如何運作,協助防禦者在最早期階段阻止網路攻擊。
武器化
在武器化階段,惡意執行者會使用在偵察期間發現的資訊來建立或修改惡意程式碼,以充分利用目標組織的弱點。
傳遞
網路攻擊者會在建置惡意程式碼後嘗試發動攻擊。其中一個最常見的方法是使用社交工程技術 (例如網路釣魚),誘騙員工交出登入認證。惡意執行者也可能利用不安全的公用無線網路,或是在偵察期間發現的軟體或硬體弱點進行入侵。
惡意探索
網路威脅執行者在侵入組織之後,會使用存取權在系統之間的橫向移動。惡意執行者的目標是尋找可利用的敏感資料、其他弱點、系統管理帳戶或電子郵件伺服器,進而對組織造成損害。
安裝
在安裝階段中,惡意執行者會安裝能夠控制更多系統和帳戶的惡意程式碼。
命令和控制
在網路攻擊者取得大量的系統控制權之後,就會建立一個可用於遠端操作的控制中心。在這個階段中,攻擊者會使用混淆手段來覆蓋蹤跡並規避偵測。攻擊者也會使用阻斷服務攻擊來分散安全性專業人員的注意,藉此隱藏自身的真正目標。
對目標採取動作
在這個階段中,網路攻擊者會採取步驟來達成其主要目標,其中包括供應鏈攻擊、資資料外流、資料加密或資料毀損。
獲利
雖然 Lockhead Martin 的原始網路攻擊鏈只包含七個步驟,但許多網路安全性專家已將其擴充為八個步驟,藉此說明惡意執行者為了從攻擊中獲得利潤所採取的活動,例如使用勒索軟體向受害者勒索款項,或在暗網上銷售敏感資料。
網路攻擊鏈對網路安全性的影響
瞭解網路威脅執行者如何規劃及進行攻擊,協助網路安全性專業人員找出並減輕整個組織的弱點。同時也可協助網路安全性專業人員識別網路攻擊初期階段的入侵指標。許多組織使用網路攻擊鏈模型來主動實施安全措施,並指導事件回應流程。
網路攻擊鏈模型的優點
網路攻擊鏈模型能夠協助安全性專業人員:
- 識別網路攻擊鏈每個階段的威脅。
- 讓未經授權的使用者更難取得存取權。
- 強化特殊權限帳戶、資料和系統。
- 定期修補和升級舊的硬體和軟體。
- 教導員工如何發現網路釣魚電子郵件。
- 快速發現並回應橫向移動。
- 阻止進行中的網路攻擊。
實作網路攻擊鏈
威脅情報
保護組織不受網路威脅的其中一項最重要的工具是 威脅情報。良好的威脅情報解決方案可整合組織環境中的資料,並提供可行的見解,協助安全性專業人員早期偵測網路攻擊。 安全性資訊與事件管理
在安全性資訊與事件管理 (SIEM) 解決方案的協助下,許多組織得以防範最新的網路威脅。SIEM 解決方案會匯總整個組織和第三方來源的資料,為安全性團隊揭露重大網路威脅,進而分類和解決此類安全性問題。許多 SIEM 解決方案也會自動回應部分已知威脅,減少團隊需要調查的事件數目。
端點偵測及回應
任何一個組織中都有著上百或上千個端點。公司幾乎不可能將用於推動業務的伺服器、電腦、行動裝置和物聯網 (IoT) 裝置全部保持在最新狀態。而惡意執行者熟知這一點,這也是許多網路攻擊都是從遭入侵端點開始的原因。端點偵測及回應解決方案可協助安全性團隊監視威脅,並快速在發現裝置的安全性問題時做出回應。
延伸偵測及回應
延伸偵測及回應 (XDR) 解決方案使用可保護端點、身分識別、雲端應用程式和電子郵件的單一解決方案,額外加強端點偵測及回應。
受控的偵測及回應
並非所有公司都有內部資源可用於有效偵測和回應威脅。為強化現有的安全性團隊,這些組織會求助於提供受控偵測和回應的服務供應商。這些服務供應商會接下監視組織環境及回應威脅的負責。
網路攻擊鏈的挑戰
雖然了解網路攻擊鏈可協助公司與政府主動準備並回應複雜的多重階段網路威脅,但完全依賴網路攻擊鏈可能會讓組織容易遭受其他類型的網路攻擊。下列為針對網路攻擊鏈的一些常見評論:
- 專注於惡意程式碼。原始的網路攻擊鏈架構是專為偵測和回應惡意程式碼所設計,且無法有效抵禦其他類型的攻擊,例如未經授權的使用者透過遭入侵認證取得存取權。
- 適用於周邊安全性。網路攻擊鏈模型強調保護端點,在需要保護單一網路周邊時表現良好。現在因為存在許多遠端工作者和雲端,而且存取公司資產的裝置數量不斷增加,所以幾乎不可能解決每一項端點弱點。
- 無法應對內部威脅。網路攻擊鏈模型難以偵測已經可以存取部分系統的內部人員。相對地,組織需要監視和偵測使用者活動的變化。
- 過於線性。雖然許多網路攻擊皆遵循網路攻擊鏈中概述的八個階段,但許多網路攻擊並非如此,又或是會將數個步驟結合成單一動作。過度專注於每個階段的組織,可能會無法察覺這類網路威脅。
網路攻擊鏈解決方案
自 2011 年 Lockhead Martin 第一次引進網路攻擊鏈的概念起,技術和網路威脅領域已出現眾多變化。雲端運算、行動裝置和 IoT裝置改變了人們工作和企業的運作方式。網路威脅執行者已透過自身的創新來對這些新興技術做出回應,包括使用自動化和 AI 來加速並改善網路攻擊。 網路攻擊鏈為開發主動式安全性策略提供了一個很好的起點,該策略會考慮網路攻擊者的想法和目標。Microsoft 安全性提供統一的 SecOps 平台,能夠將 XDR 和 SIEM 整合成一個具有調適能力的解決方案,協助組織開發多層式防禦,保護網路攻擊鏈的所有階段。此外,組織也透過投資適用於網路安全性解決方案的 AI (例如 Microsoft Security Copilot),以預防採用 AI 技術的新興網路威脅。
資源
深入了解 Microsoft 安全性
常見問題集
- 網路攻擊鏈是一種網路安全性模型,可將一般網路攻擊分成不同階段,協助安全性團隊識別進行中的網路攻擊,並在造成損害前加以阻止。
MITRE ATT&CK 矩陣是以真實網路攻擊為基礎的更詳細策略和技術清單。該矩陣使用與網路攻擊鏈類似的階段,但不遵循線性順序。 - 組織用於偵測和阻止網路攻擊鏈內各種網路攻擊的工具,包括 SIEM 解決方案、XDR 解決方案和威脅情報。
- 傳統的網路攻擊鏈包括下列七個階段:
- 偵察
- 武器化
- 傳遞
- 惡意探索
- 安裝
- 命令和控制
- 對目標採取動作
- 因為網路攻擊鏈模型與受影響的組織有關,所以實作網路攻擊鏈模型是從分析模型的每個階段開始。這可協助安全性團隊識別弱點和存在最大風險的領域。一旦組織瞭解應該著重的項目,下列策略和工具就可協助安全性團隊偵測及回應複雜的網路威脅:
- 開發端對端威脅情報計劃。
- 實作 SIEM 解決方案。
- 部署 XDR 解決方案。
- 使用整合式 SecOps 平台,其中包含 XDR 解決方案和 SIEM 解決方案。
- 實施完整的身分識別和存取權管理。
- 為所有員工進行定期安全性訓練。
- 開發事件回應教戰手冊。
- 網路攻擊鏈可再次抵禦多重階段惡意程式碼攻擊。
關注 Microsoft 安全性