网络攻击链

网络攻击链是指攻击者实施网络攻击的过程。^[2] 洛克希德·马丁公司将“杀伤链”的概念从军事领域应用于信息安全领域，将其作为一种对计算机网络入侵进行建模的方法。^[3] 网络攻击链模型在信息安全界得到了一些应用。^[4] 然而，它并没有被普遍接受，批评者指出了他们认为该模型存在的根本缺陷。^[5]

信息安全入侵攻击链^[1]

攻击阶段与对策

2011年，洛克希德·马丁公司的计算机科学家描述了一种新的“入侵攻击链”框架或模型，用于防御计算机网络。^[6] 他们写道，攻击可能分阶段发生，并且可以通过在每个阶段建立的控制措施来阻止。从那时起，数据安全组织就采用了“网络攻击链”来定义网络攻击的各个阶段。^[7]

网络攻击链揭示了网络攻击的各个阶段：从早期的侦察到数据窃取的目标。^[8] 攻击链还可以用作管理工具，帮助持续改进网络防御。根据洛克希德·马丁公司的说法，威胁必须经过该模型中的几个阶段，包括：

1. 侦察：入侵者选择目标，对其进行研究，并试图识别目标网络中的漏洞。
2. 武器化：入侵者创建针对一个或多个漏洞量身定制的远程访问恶意软件武器，例如病毒或蠕虫。
3. 传递：入侵者将武器传输到目标（例如，通过电子邮件附件、网站或U盘）。
4. 利用：恶意软件武器的程序代码触发，对目标网络采取行动以利用漏洞。
5. 安装：恶意软件武器安装一个入侵者可以使用的访问点（例如“后门”）。
6. 命令与控制：恶意软件使入侵者能够对目标网络进行“键盘操作”的持续访问。
7. 目标行动：入侵者采取行动实现其目标，例如数据窃取、数据破坏或加密以进行勒索。

可以针对这些阶段采取防御性行动：^[9]

1. 检测：确定入侵者是否存在。
2. 拒绝：防止信息泄露和未经授权的访问。
3. 中断：停止或更改出站流量（到攻击者）。
4. 降级：反击命令和控制。
5. 欺骗：干扰命令和控制。
6. 遏制：网段更改。

美国参议院对2013年塔吉特公司数据泄露事件的调查包括基于洛克希德·马丁攻击链框架的分析。它确定了控制措施未能阻止或检测到攻击进展的几个阶段。^[1]

替代方案

不同的组织已经构建了自己的攻击链，试图对不同的威胁进行建模。FireEye提出了一种类似于洛克希德·马丁公司的线性模型。在FireEye的攻击链中，威胁的持久性得到了强调。该模型强调，威胁不会在一个周期后结束。^[10]

1. 侦察：这是攻击者收集有关目标系统或网络信息的初始阶段。这可能包括扫描漏洞、研究潜在的入口点以及识别组织内的潜在目标。
2. 初始入侵：一旦攻击者收集到足够的信息，他们就会试图入侵目标系统或网络。这可能包括利用软件或系统中的漏洞，利用社会工程技术欺骗用户，或使用其他方法获得初始访问权限。
3. 建立后门：在获得初始访问权限后，攻击者通常会创建一个后门或一个进入受感染系统的持久入口点。这确保了即使初始入侵被发现和缓解，攻击者仍然可以重新获得访问权限。
4. 获取用户凭据：在系统中立足后，攻击者可能会试图窃取用户凭据。这可能涉及诸如键盘记录、网络钓鱼或利用弱身份验证机制等技术。
5. 安装各种实用程序：攻击者可能会在受感染的系统上安装各种工具、实用程序或恶意软件，以方便进一步的移动、数据收集或控制。这些工具可能包括远程访问木马（RAT）、键盘记录程序和其他类型的恶意软件。
6. 权限提升/横向移动/数据窃取：一旦进入系统，攻击者就会寻求提升其权限，以获得对网络的更多控制权。他们可能会在网络内横向移动，试图访问更有价值的系统或敏感数据。数据窃取涉及窃取并将有价值的信息传输到网络之外。
7. 维持持久性：此阶段强调攻击者的目标是在受感染的环境中保持长期存在。他们通过不断逃避检测、更新其工具以及适应任何安全措施来做到这一点。

批评

对洛克希德·马丁公司的网络攻击链模型作为威胁评估和预防工具的批评之一是，第一阶段发生在被防御网络之外，因此难以识别或防御这些阶段的行动。^[11] 同样，据说这种方法强化了传统的基于边界和恶意软件预防的防御策略。^[12] 其他人则指出，传统的网络攻击链不适合对内部威胁进行建模。^[13] 考虑到成功入侵内部网络边界的攻击的可能性，这一点尤其令人担忧，这就是为什么组织“需要制定一项应对防火墙内攻击者的策略。他们需要将每个攻击者都视为潜在的内部人员”。^[14]

统一攻击链

 

统一攻击链由18个独特的攻击阶段组成，这些阶段可能发生在高级网络攻击中。

统一攻击链是由Paul Pols在2017年与Fox-IT和莱顿大学合作开发的，旨在通过整合和扩展洛克希德·马丁公司的攻击链和MITRE（英语：Mitre Corporation）的ATT&CK框架（两者都基于James Tubberville和Joe Vest构建的“进入、停留和行动”模型）来克服对传统网络攻击链的常见批评。统一版本的攻击链是由18个独特的攻击阶段组成的有序排列，这些阶段可能发生在端到端的网络攻击中，涵盖了在防御网络之外和内部发生的活动。因此，统一攻击链改进了传统攻击链的范围限制和MITRE的ATT&CK中战术的时间不可知性。统一模型可用于分析、比较和防御高级持续性威胁（APT）发起的端到端网络攻击。^[15] 2021年，Paul Pols发表了关于统一攻击链的后续白皮书。^[16]

参考文献

1. U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014 (PDF). （原始内容 (PDF)存档于October 6, 2016）. 
2. Skopik & Pahi 2020，第4頁.
3. Higgins, Kelly Jackson. How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack. DARKReading. January 12, 2013 [June 30, 2016]. （原始内容存档于2024-01-19）. 
4. Mason, Sean. Leveraging The Kill Chain For Awesome. DARKReading. December 2, 2014 [June 30, 2016]. （原始内容存档于2024-01-19）. 
5. Myers, Lysa. The practicality of the Cyber Kill Chain approach to security. CSO Online. October 4, 2013 [June 30, 2016]. （原始内容存档于March 19, 2022）. 
6. Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011 (PDF). [2021-08-26]. （原始内容存档 (PDF)于2021-07-27）. 
7. Greene, Tim. Why the 'cyber kill chain' needs an upgrade. 5 August 2016 [2016-08-19]. （原始内容存档于2023-01-20）. 
8. The Cyber Kill Chain or: how I learned to stop worrying and love data breaches. 2016-06-20 [2016-08-19]. （原始内容存档于2016-09-18） （美国英语）. 
9. John Franco. Cyber Defense Overview: Attack Patterns (PDF). [2017-05-15]. （原始内容存档 (PDF)于2018-09-10）. 
10. Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu. Modified cyber kill chain model for multimedia service environments. Multimedia Tools and Applications. February 2019, 78 (3): 3153–3170. ISSN 1380-7501. doi:10.1007/s11042-018-5897-5   （英语）. 
11. Laliberte, Marc. A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack. DARKReading. September 21, 2016. （原始内容存档于2023-12-13）. 
12. Engel, Giora. Deconstructing The Cyber Kill Chain. DARKReading. November 18, 2014 [June 30, 2016]. （原始内容存档于2023-12-15）. 
13. Reidy, Patrick. Combating the Insider Threat at the FBI (PDF). BlackHat USA 2013. [2018-10-15]. （原始内容存档 (PDF)于2019-08-15）. 
14. Devost, Matt. Every Cyber Attacker is an Insider. OODA Loop. February 19, 2015 [August 26, 2021]. （原始内容存档于August 26, 2021）. 
15. Pols, Paul. The Unified Kill Chain (PDF). Cyber Security Academy. December 7, 2017 [May 17, 2021]. （原始内容存档 (PDF)于May 17, 2021）. 
16. Pols, Paul. The Unified Kill Chain. UnifiedKillChain.com. May 17, 2021 [May 17, 2021]. （原始内容存档于May 17, 2021）. 

扩展阅读

• Skopik, Florian; Pahi, Timea. Under false flag: using technical artifacts for cyber attack attribution. Cybersecurity. 2020, 3 (1): 8. ISSN 2523-3246. doi:10.1186/s42400-020-00048-4   （英语）.