何为网络杀伤链？追踪网络攻击的模型

发布时间：2022-06-09 15:48 所属栏目：53 来源：互联网

导读：信息安全行业人士可能听说过使用网络杀伤链来帮助识别和防止网络攻击。网络攻击者正在不断改进他们的方法，这需要人们以不同的方式看待网络杀伤链。以下是对网络杀伤链的分析，以及企业如何在自己的运营环境中使用它。一、网络杀伤链的定义网络杀伤链也称

　　信息安全行业人士可能听说过使用“网络杀伤链”来帮助识别和防止网络攻击。网络攻击者正在不断改进他们的方法，这需要人们以不同的方式看待网络杀伤链。以下是对网络杀伤链的分析，以及企业如何在自己的运营环境中使用它。

　　一、网络杀伤链的定义
　　网络杀伤链也称为网络攻击生命周期，是美国航空航天制造商洛克希德·马丁公司开发的一个模型，用于描述有针对性的网络攻击的各个阶段。它分解了恶意软件攻击的每个阶段，防御者可以识别并进行阻止。

　　二、网络杀伤链描述的步骤
　　网络杀伤链中描述的步骤很像传统的入室盗窃。窃贼会在试图渗透之前，首先对建筑物进行侦察，然后再经过几个步骤才能盗走赃物。使用网络杀伤链来防止攻击者偷偷进入网络需要大量的情报和对网络中正在发生的事情的可见性。因此需要知道什么时候不应该出现的状态，这样就可以设置警报来阻止攻击。

　　以下仔细看看网络杀伤链的7个步骤，以确定自己应该问哪些问题，以决定它对企业是否可行。

　　(1)侦察

　　(2)武器化

　　(3)交付

　　(4)利用

　　(5)安装

　　(6)命令与控制

　　(7)行动

　　1.侦察
　　在这个阶段，犯罪分子正试图确定哪些是(或者哪些不是)理想的目标。他们从外部可以了解企业的资源和网络，以确定是否值得付出努力。在理想情况下，他们想要寻找一个相对不设防且拥有有价值数据的目标。犯罪分子可以找到关于目标公司的哪些信息，以及如何使用这些信息，可能会让人们大吃一惊。

　　2.武器化、交付、利用、安装
　　这四个阶段是网络犯罪分子利用收集到的信息精心设计一种工具来攻击选择的目标。他们能使用的信息越多，社会工程攻击就越有效。

　　网络攻击者可以使用鱼叉式网络钓鱼方法，通过某家企业员工的LinkedIn页面上找到的信息获取其内部资源。或者他们可以将远程访问木马放入文件中，该文件包含有关即将发生的事件的重要信息，以诱使接收者运行它。

　　3.命令与控制
　　一旦威胁进入企业的网络，它的下一个任务就等待命令。这有可能是为了下载其他组件，但更有可能是通过命令和控制(C&C)渠道联系僵尸主机。无论哪种方式，这都需要网络流量，这意味着这里只有一个问题：是否有入侵检测系统，该系统是否设置为对所有与网络联系的新程序发出警报?

　　4.行动
　　杀伤链的最后一步是网络攻击本身，例如中断服务或安装恶意软件，但需要记住，行动步骤是为了实现预期目标，一旦他们被成功地中断、破坏或过滤，网络攻击者可以重新进入并重新进行。

　　Splunk公司安全研究负责人Monzy Merza说：“以被盗的支付卡信息为例。一旦信用卡数据被盗，网络攻击者就会对这些数字进行测试、出售、用于购买商品或服务，这些商品或服务反过来必须被出售，以将其转换为现金。”他表示，所有这些都不属于网络攻击的传统杀伤链。黑市生态系统影响网络攻击生命周期的另一个领域是在网络攻击开始之前，攻击者将会共享受损凭证、易受攻击的端口、未打补丁的应用程序的列表。

（编辑：ASP站长网）