盯緊攻擊者「網路殺傷鏈」,簡單防禦六步走

2018-07-18 科技 244 Views
尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

原標題:盯緊攻擊者「網路殺傷鏈」,簡單防禦六步走

E安全7月18日文 美國軍方率先將「殺傷鏈(cyber kill chain)」概念正式化,這個概念被寬泛地定義為消滅目標鏈條中的六個階段:發現(Find)、定位(Fix)、跟蹤(Track)、瞄準(Target)、打擊(Engage)和評估(F2T2EA)。

網路殺傷鏈概念

2011年,美國國防承包商洛克希德·馬丁公司(Lockheed Martin)提出了應用到網路安全威脅的殺傷鏈模型,即所謂的「網路殺傷鏈」,指成功發起網路攻擊的七個階段:

一、偵察:收集信息,偵察目標。在該階段,可通過收集電子郵箱或社會工程技術來做到,例如在社交網路上查找目標,在開放網路上查找目標相關的任何其他可用信息;或掃描開放的服務器或面向互聯網的服務器查找可能使用默認憑證的情況(公開可用的信息,例如通過Shodan搜尋)。

二、武器化:按照洛克希德·馬丁公司的描述,這個階段可將後門與可傳送Payload結合利用。換句話講就是構建攻擊系統入侵網路,利用合適的惡意軟件(例如遠程訪問木馬),以及誘騙目標執行惡意軟件的技術。

三、散布:洛克希德·馬丁公司指出,該階段可通過電子郵件、網路、USB 等散布網路武器,這就相當於將 Payload 從 A 傳到 B 再到 C。

四、利用:利用目標系統上的漏洞執行惡意代碼。

五、安裝:安裝上述代碼。

六、命令與控制:用於遠程操縱受害者的通信管道。由於目標已被遭受攻擊,被感染的系統通常會通過僵屍程序、或其它被感染的系統向攻擊者Ping命令,以進一步掩蓋攻擊者的路徑。

七、針對目標的行動:攻擊者做到設定的目標,例如實施間諜活動、入侵網路上更底層的系統、竊取憑證、安裝勒索軟件或造成破壞。

與軍事殺傷鏈一樣,網路殺傷鏈條中的所有環節環環相扣,一環脫節,全盤皆散,因此要保證每個階段成功才能確保整個攻擊成功做到。

目前,大多數攻擊可能都在遵循這些步驟, 但更為複雜的攻擊可能正在發展當中,抑或自動化和人工智能將更多地用於攻擊。

針對網路殺傷鏈的防禦對策

洛克希德·馬丁馬丁公司在2015年發布的白皮書中提出預防措施,以降低上述每個階段的損害力。

一、偵察

偵察很難防禦,因為它通常可以利用開放網路上的可用信息構造出關於目標的詳細資料。當數據泄露發生時,這些詳細信息通常會被掛在暗網出售,或免費暴露在開網路上(例如Pastebin)。針對該階段可採取的對策包括:

收集訪客日志,以便日後在攻擊發生時搜尋這些日志;

著眼於瀏覽器分析,並探測到攻擊者偵察常見的瀏覽行為。

若懷疑發生偵察企圖,該對策可圍繞這些人和技術提供優勢來分配防禦資源。

二、武器化

武器化在很大程度上發生在攻擊者身上,因此攻擊之前不太可能對 Payload 本身有所了解。企業可在整個組織機構內部實施嚴格的修復規則,並鼓勵員工培訓。攻擊者最樂於見到的兩種情況是:差勁的修復/更新合規以及簡單的人為錯誤。一旦注意到攻擊方式,那便掌握了資源,從而可在安全的虛擬機中對惡意軟件進行取證分析。若了解惡意軟件構建的原因及方式,便對漏洞有所了解。因此,不要放過對任何一個細節的檢查!

三、散布

任何對安全最佳實踐有基本了解的組織機構應該部署了適當的邊界保護解決方案(防火牆、對網路主動掃描)。部署強大的防火牆固然重要,但若配置不當可能無法達到效果。

企業應對員工開展適量的意識培訓和電子郵件測試,例如可針對員工發起虛擬的電子郵件攻擊,以嘗試了解組織機構的網路安全情況。在技術方面,企業有必要定期執行漏洞掃描並讓「紅隊」定期進行滲透測試。洛克希德·馬丁公司建議使用端點強化措施(例如限制管理員權限),使用 Microsoft 增強型緩解體驗工具包(EMET),引入自定義端點規則阻止執行 shellcode,檢查所有內容(尤其端點)以試圖找出漏洞利用的根源。

四、安裝

如果檢測到惡意軟件在網路上執行,可盡最大努力隔離攻擊,這意味著可能要減少當天的操作。檢查端點進程以查找異常的新文件,並使用 Host Intrusion Prevention System 來警告或阻止常見的安裝路徑。另外,還需試圖盡力了解惡意軟件,確定是否屬於 0Day 漏洞、是新漏洞還是舊漏洞、其執行需要哪些權限、所處位置以及運作方式。

五、命令與控制

洛克希德·馬丁公司將命令與控制描述為「防禦者阻止攻擊的最後機會……如果對手無法發出命令,防禦者便可控制影響」。但是,對於某些惡意軟件而言,尤其對那些旨在自動破壞或引起混亂的惡意軟件而言,情況並非如此。該公司指出,可通過惡意軟件分析發現基礎設施,整合互聯網存在點的數量來強化網路,並要求將代理用於所有類型的流量,包括 HTTP 和 DNS。此外,防禦者還可引入代理類別塊、DNS sinkholing 和簡單的研究。

六、針對目標的行動

許多攻擊的潛伏時間為幾天、幾周、幾個月甚至幾年。因此,檢測到入侵就意味著成功了一半。但是,應盡快採取後續的緩解措施,包括確定被泄的數據、惡意軟件的傳播範圍(尤其是橫向移動)、尋找未經授權的憑據。應急事件響應手冊相關內容將涉及到向公司高管、當地數據當局和警方交談,可能還需向大眾披露攻擊事件。從公共關係的角度來看,一開始就向公眾披露的做法比緘口不提更恰當。此外,還可以根據攻擊的嚴重程度尋求專家的幫助。

遭遇攻擊的企業應從攻擊中吸取教訓,並改進安全流程,以緩解未來可能會發生的類似攻擊。

更多文章