网络杀伤链
本文约需 2 分钟阅读
网络杀伤链是将网络攻击的一系列过程划分为 7 个阶段的框架。由美国国防巨头 Lockheed Martin 公司在 2011 年发表的论文《Intelligence-Driven Computer Network Defense》中提出。它将军事术语“杀伤链”(从发现目标到将其摧毁的连锁过程) 应用于网络空间,通过理解攻击的各个阶段,可以系统地分析能在哪个阶段切断攻击。
7 个阶段
1. 侦察 (Reconnaissance)收集目标的信息。通过公开信息 (社交媒体、企业网站、DNS 信息) 或技术扫描锁定攻击对象。防御: OSINT 监控、最小化公开信息
2. 武器化 (Weaponization)制作将利用漏洞的漏洞利用程序与载荷 (恶意软件等) 组合而成的攻击工具。防御: 通过威胁情报提前掌握
3. 投递 (Delivery)通过钓鱼邮件、恶意网站、U 盘等将攻击工具送达目标。防御: 邮件过滤、Web 网关
4. 攻击 (Exploitation)利用漏洞执行代码。利用零日漏洞或用户操作 (如启用宏)。防御: 补丁管理、应用程序控制
5. 安装 (Installation)安装后门或远程访问工具 (RAT),以确保持续访问。防御: EDR、文件完整性监控
6. C2 (Command & Control)建立攻击者用于远程操控已被攻陷系统的通信信道。防御: 网络监控、DNS 过滤
7. 实现目标 (Actions on Objectives)达成攻击者的最终目的,如窃取数据、破坏、加密 (勒索软件) 等。防御: 数据加密、DLP、备份
攻击者会按顺序推进这 7 个阶段,但防御方无论在哪个阶段切断该链条都能阻止攻击。若能在早期阶段 (侦察、投递) 检测并阻断,便可防患于未然;即便在后期阶段 (C2、实现目标) 检测到,也能将损失降至最低。该框架对于制定事件响应计划也十分有用。
与 MITRE ATT&CK 的比较
| 视角 | 网络杀伤链 | MITRE ATT&CK |
|---|---|---|
| 粒度 | 7 个阶段的高层模型 | 以 14 个战术、数百种技法进行详细分类 |
| 结构 | 线性 (顺序固定) | 矩阵形式 (顺序灵活) |
| 用途 | 把握攻击全貌、向管理层说明 | 制定技术性检测规则、红队演练 |
| 更新频率 | 自 2011 年以来无重大修订 | 每季度新增技法 |
| 内部威胁 | 以外部攻击者为前提,应对能力较弱 | 也收录了内部威胁的技法 |
在实务中,与其将两者对立看待,不如将其搭配使用更为有效:用杀伤链俯瞰攻击的全貌,用 ATT&CK 深入挖掘各阶段的具体技法与检测方法。威胁情报团队会日常性地运用这两套框架。
批评与局限
网络杀伤链被指出存在以下局限。第一,由于它是以外部入侵为前提的模型,因此难以适用于内部作案者带来的威胁。内部作案者可以跳过侦察、投递、攻击阶段,凭借正规的访问权限直接实现目的。第二,在供应链攻击这类通过受信任的途径投递恶意软件的情形中,投递阶段的检测极其困难。第三,由于它是线性模型,存在难以表现攻击者跳过阶段或同时推进多个阶段这类情形的结构性制约。
尽管存在这些局限,网络杀伤链作为直观理解攻击全貌的入门框架,依然具有价值。理解社会工程在投递阶段被大量使用的实际情况也很重要。网络安全相关书籍 (Amazon)推荐用来进行系统性学习。另请一并参阅勒索软件防护、钓鱼防护、个人事件响应。
这篇文章对您有帮助吗?