精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

對信息安全專家來說，用洛克希德-馬丁公司的網(wǎng)絡(luò)殺傷鏈（Kill Chain，也稱網(wǎng)絡(luò)攻擊生命周期）來識別和防止入侵的方法可能并不陌生。然而，攻擊者始終在改進攻擊手段，這可能要求企業(yè)重新審視網(wǎng)絡(luò)殺傷鏈。本文將回顧殺傷鏈模型對網(wǎng)絡(luò)安全的意義，以及怎樣在今天的威脅環(huán)境中使用它。

殺傷鏈模型可以拆分惡意軟件的每個攻擊階段，從而實現(xiàn)識別和阻止功能，但是請注意，攻擊策略是可以改變的。

什么是網(wǎng)絡(luò)殺傷鏈？

“殺傷鏈”這個概念源自軍事領(lǐng)域，它是一個描述攻擊環(huán)節(jié)的六階段模型，該理論也可以用來反制此類攻擊（即反殺傷鏈）。殺傷鏈共有“發(fā)現(xiàn)-定位-跟蹤-瞄準-打擊-達成目標”六個環(huán)節(jié)。

在越早的殺傷鏈環(huán)節(jié)阻止攻擊，防護效果就越好。例如，攻擊者取得的信息越少，這些信息被第三人利用來發(fā)起進攻的可能性也會越低。

洛克希德-馬丁公司提出的網(wǎng)絡(luò)空間殺傷鏈與此類似，本質(zhì)是一種針對性的分階段攻擊。同樣，這一理論可以用于網(wǎng)絡(luò)防護，具體階段如下圖所示：

　　“什么是殺傷鏈？”信息圖

這就像傳統(tǒng)的盜竊流程。小偷要先踩點再溜入目標建筑，一步步實行盜竊計劃最終卷贓逃逸。要利用網(wǎng)絡(luò)殺傷鏈來防止攻擊者潛入網(wǎng)絡(luò)環(huán)境，需要足夠的情報和可見性來明了網(wǎng)絡(luò)的風吹草動。當不該有的東西出現(xiàn)后，企業(yè)需要第一時間獲悉，為此企業(yè)可以設(shè)置攻擊警報。

另一個需要牢記的點是：在越早的殺傷鏈環(huán)節(jié)阻止攻擊，修復的成本和時間損耗就越低。如果攻擊直到進入網(wǎng)絡(luò)環(huán)境才被阻止，那么企業(yè)就不得不修理設(shè)備并核驗泄露的信息。

要想明確殺傷鏈技術(shù)是否適合自己的企業(yè)，不妨通過殺傷鏈模型的幾個階段入手，來發(fā)現(xiàn)企業(yè)應(yīng)當核實的問題。

偵查階段：從外部觀察網(wǎng)絡(luò)

在這個階段，犯罪分子試圖確定目標的好壞。他們從外部了解企業(yè)的資源和網(wǎng)絡(luò)環(huán)境，并確定是否值得攻擊。最理想的情況是，攻擊者希望目標防備薄弱、數(shù)據(jù)值錢。罪犯可以找到的信息門類，以及這些信息如何被使用，可能會讓企業(yè)大吃一驚。

企業(yè)的信息價值往往超出他們想象。雇員的姓名和詳細信息（不僅是企業(yè)網(wǎng)站，而且包括社交網(wǎng)站的信息）是否在網(wǎng)端存儲？這些信息可以用來進行社會工程用途，比如，讓人們透露用戶名或密碼。企業(yè)的網(wǎng)站服務(wù)器或物理位置是否接入網(wǎng)絡(luò)嗎？這些也可以用于社會工程，或幫助攻擊者縮小企業(yè)環(huán)境漏洞的尋找范圍。

這個層面上的問題很難處理，社交網(wǎng)絡(luò)的普及讓它變得尤為棘手。將敏感信息隱藏起來是一個廉價的改善方式，雖然這也增加信息調(diào)用的時間成本。

武器化、散布、惡用、設(shè)置階段：試圖進入

這些階段是攻擊者用工具攻擊被選目標的具體過程，他們收集的信息將被用于惡意行為。他們手頭的信息越多，社會工程攻擊就越無縫可擊。通過員工在LinkedIn上的信息，他們可以用魚叉式釣魚獲得公司內(nèi)部資源?；蛘?，他們可以把遠程訪問木馬提前嵌入可能會錄入重要信息的文件里，以誘使接收者運行它。如果他們知道用戶或服務(wù)器運行的軟件信息，比如操作系統(tǒng)版本和類型，他們在企業(yè)網(wǎng)絡(luò)里滲透和布置的把握就大大增加。

就這些階段的防御而言，企業(yè)應(yīng)當參照標準安全專家的建議去做。

企業(yè)的軟件是否達到最新？這需要具體到每臺終端上的每個應(yīng)用。大多數(shù)公司都有某個小角落還用著老式臺式機，系統(tǒng)仍然用的是Windows 98。如果這臺設(shè)備接入網(wǎng)絡(luò)，無異于對攻擊者門洞大開。

企業(yè)使用電子郵件和網(wǎng)頁過濾功能嗎？電子郵件過濾可以有效阻止攻擊中常用的文檔類型。如果企業(yè)的文件必須用某種標準發(fā)送，比如密碼保護的ZIP文件，這可以讓用戶了解文件是否無誤。網(wǎng)頁過濾則可以防止用戶訪問已知的不良網(wǎng)站或域名。

企業(yè)禁用USB設(shè)備嗎？從安全的角度來看，讓文件不需許可就運行絕非什么好主意。最好在運行前，確保給用戶有時間暫停和思考他們所看到的情況。

企業(yè)使用端點保護軟件的最新功能嗎?雖然端點保護軟件不是為了應(yīng)對新型針對性攻擊而設(shè)計，但是它們常常根據(jù)已知的可疑行為或軟件漏洞來捕捉威脅。

命令與控制階段（C&C）：威脅已將變成現(xiàn)實

一旦威脅在企業(yè)的網(wǎng)絡(luò)環(huán)境里扎根，它的下一個任務(wù)是給老窩打電話并等待指示。它可能下載額外的組件，更有可能的是通過C&C通道聯(lián)系一個僵尸網(wǎng)絡(luò)主控機。無論哪種方式，這都要求網(wǎng)絡(luò)流量，這意味著企業(yè)必須捫心自問：防火墻是否設(shè)置了新項目進行網(wǎng)絡(luò)通信的警報？

如果威脅已經(jīng)實現(xiàn)了這些，它將對機器進行更改并將耗費IT工作人員對大量精力。有些公司或行業(yè)要求診斷受影響的機器上哪些數(shù)據(jù)被竊取或篡改。受影響的機器需要進行清洗或重置。如果數(shù)據(jù)已經(jīng)備份，或者有可以快速加載到機器的標準企業(yè)模式，修復工作的成本和時間損耗就會有所降低。

有些攻擊會另辟蹊徑

去年的攻擊狀況已經(jīng)充分證明了一點：攻擊者不會嚴格按照游戲流程來——他們可能跳過步驟、添加步驟，甚至重復之前的步驟。最近的一些最具破壞性的攻擊事件都是如此，這些攻擊之所以能繞過安全團隊耗費多年精心打造的防御體系，是因為它們有不同的流程安排。

“符合洛克希德-馬丁公司的殺傷鏈的惡意行為被重點關(guān)注，這也讓某些攻擊隱形了。”Kudelski Security的全球管理服務(wù)副總裁Alton Kizziah說。

數(shù)據(jù)中心安全的領(lǐng)軍者Alert Logic的合伙人、產(chǎn)品營銷高級經(jīng)理Misha Govshteyn指出：“殺傷鏈從來不能徹底符合我們看到的種種攻擊。”

根據(jù)2017年威瑞森的數(shù)據(jù)泄露調(diào)查報告，今年，網(wǎng)絡(luò)程序攻擊成為了數(shù)據(jù)泄露的最常見形式，在數(shù)據(jù)泄露案例中占到了近三分之一。常見方法是利用應(yīng)用程序自身的漏洞。

最近的Equifax數(shù)據(jù)泄露事件就是典型例子。這種攻擊很難發(fā)現(xiàn)。在兩個月里，Equifax未在網(wǎng)站上發(fā)現(xiàn)可疑的網(wǎng)絡(luò)流量。“通常到了數(shù)據(jù)外泄的時候，企業(yè)才能察覺。”Positive Technologies的網(wǎng)絡(luò)安全彈性主管Leigh-Anne Galloway說。“或者，可能需要一個第三方的實體，例如某個客戶，來提醒企業(yè)出了問題。”

Equifax泄露案可以追溯到Apache Struts Web服務(wù)器軟件中的一個漏洞。如果公司安裝了這個漏洞的安全補丁，這個問題可能會避免，但是有時軟件更新本身就是惡意攻擊的橋梁，9月發(fā)生的CCleaner被黑事件就是一例。

零日漏洞也是大麻煩。根據(jù)Contrast Security的共同創(chuàng)始人兼首席技術(shù)官杰夫·威廉姆斯的觀點，平均每個軟件應(yīng)用和api擁有26.8個嚴重漏洞。“這是一個驚人的數(shù)字，”他說。“公眾對Equifax感到憤怒，但事實是，幾乎所有的公司在應(yīng)用程序?qū)佣际遣话踩摹Ｎ覀儼l(fā)現(xiàn)，世界各地有成千上萬的IP地址正在進行的應(yīng)用攻擊嘗試，這一現(xiàn)象正在擴散。”

要抵御這類攻擊，企業(yè)必須縮短補丁的安裝延遲。“過去的時候，直到應(yīng)用程序漏洞被披露后的數(shù)周或數(shù)月，針對性的攻擊才會出現(xiàn)，”他說，“但是今天，安全窗口已經(jīng)只有一天左右，而在2018年，這一時間可能進一步縮減到幾個小時。”

他補充說，企業(yè)也需要開始將安全控件直接嵌入到應(yīng)用程序里。這被稱為應(yīng)用程序的運行自保，Gartner預測這一細分市場的復合年增長率為9%。

“安全需要更貼近應(yīng)用程序，需要深入了解程序的核心進程和內(nèi)存使用量，”Virsec Systems的創(chuàng)始人和首席技術(shù)官Satya Gupta說。“新的流程控制技術(shù)將嵌入到應(yīng)用程序?qū)用?，能理解?yīng)用的協(xié)議和環(huán)境，可以將可接受的應(yīng)用程序流程繪制出來（就像谷歌地圖）。如果應(yīng)用程序應(yīng)該從A點走到B點，但是卻出現(xiàn)了一段意外的路程，那么肯定出錯了。”

攻擊者也可以利用被泄露的身份信息或強度弱的密碼。這一過程不需要安裝惡意軟件，也不用與C&C服務(wù)器通信，不會產(chǎn)生橫向操作。“尋找一份泄露的數(shù)據(jù)庫或Amazon S3數(shù)據(jù)意味著攻擊可以簡便完成，從而避免和防御者交鋒。”Obsidian Security的首席技術(shù)官Ben Johnson說。

根據(jù)RedLock本月發(fā)布的一份報告，53%的組織使用Amazon S3等云存儲服務(wù)，這至少導致了一個意外結(jié)果，即數(shù)據(jù)暴露在公眾面前。今年夏天的早些時候，Skyhigh Networks報道稱，7%的企業(yè)使用的所有AWS S3數(shù)據(jù)可以無限制訪問，另有35%的企業(yè)未對數(shù)據(jù)加密。

由于數(shù)據(jù)是通過合法渠道傳出，數(shù)據(jù)防泄露可能無法檢測這種行為。Govshteyn說：“企業(yè)需要專門的工具來保護針對網(wǎng)絡(luò)應(yīng)用程序的攻擊。”

DOS攻擊也難以被殺傷鏈解釋。“攻擊者仍需選擇目標，所以必須進行偵察階段。”Cybereason的首席安全官Sam Curry說。但是在準備之后，攻擊者將直接跳轉(zhuǎn)到中斷階段。

他補充說DOS攻擊也可能只是攻擊的第一步，用來掩蓋其他惡意行為。“當系統(tǒng)崩潰時，攻擊者可以創(chuàng)建一個漏洞，”他說，“或者創(chuàng)建一個高信噪的篩選器，來掩蓋痕跡或破壞系統(tǒng)的信號發(fā)現(xiàn)能力。”

他說，攻擊者也可以添加步驟到游戲流程里。例如，他們可以花時間清理痕跡、設(shè)置中斷、傳播虛假數(shù)據(jù)，或安裝未來用得上的后門。

他們也可以重新安排各步驟的順序，或者重復之前的步驟。這不是一個簡單的線性過程。

這通常更像樹狀或根系的分支和蔓延，這一過程很復雜，會發(fā)生很多事情。

目標達成階段：不達目標，攻擊不會停止

在拒絕服務(wù)攻擊案例中，中斷不一定是攻擊的最后一步。在攻擊者成功地破壞、癱瘓或滲入系統(tǒng)后，攻擊者可以重復這一過程。也可以轉(zhuǎn)移到另一個階段——盈利。Preempt Security的首席執(zhí)行官 Ajit Sancheti 認為，攻擊者可能采取任意形式的組合。比如，他們可以通過破壞基礎(chǔ)設(shè)施來進行廣告欺詐或發(fā)送垃圾郵件、向企業(yè)勒索贖金、出售他們在黑市上獲得的數(shù)據(jù)，甚至劫持基礎(chǔ)設(shè)施出租給其他罪犯。“攻擊的盈利已經(jīng)急劇增加。”

他補充說，比特幣的使用讓攻擊者更簡便、安全地得到錢，這導致了攻擊動機的變化。不同群體的數(shù)量參與也讓黑市上被盜數(shù)據(jù)的消費變得更加復雜。這也為企業(yè)、執(zhí)法部門和其他組織創(chuàng)造了合作破壞這一過程的機會。

以被盜的支付卡信息為例。“一旦信用卡數(shù)據(jù)被盜，這些數(shù)據(jù)必須被測試、出售、用于獲取商品或服務(wù)，反過來這些商品或服務(wù)必須轉(zhuǎn)換為現(xiàn)金。”Splunk公司的安全研究主管Monzy Merza說。

這一切都早已超出了傳統(tǒng)網(wǎng)絡(luò)殺傷鏈的范疇。黑市生態(tài)系統(tǒng)也在影響了網(wǎng)絡(luò)攻擊周期中的攻擊準備環(huán)節(jié)。攻擊者們會分享身份憑證列表、漏洞或被修改的應(yīng)用程序。