压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

新的“十步”殺傷鏈模型適用于從技術(shù)性的間諜黑客活動到在線輿論操縱等各種寬泛的在線操作類型。

2014年4月，洛克希德·馬丁公司發(fā)布了開創(chuàng)性的網(wǎng)絡(luò)安全白皮書《情報(bào)驅(qū)動的計(jì)算機(jī)網(wǎng)絡(luò)防御》，并首次提出了網(wǎng)絡(luò)殺傷鏈模型（Cyber Kill Chain）來分析對手（主要是APT）活動。該模型將網(wǎng)絡(luò)攻擊劃分為七個(gè)階段：偵察跟蹤、武器化開發(fā)、載荷投遞、漏洞利用、安裝植入、命令與控制、目標(biāo)達(dá)成。

“網(wǎng)絡(luò)殺傷鏈”論文的作者認(rèn)為，通過掌握和利用對手如何運(yùn)作的知識，網(wǎng)絡(luò)防御者可以達(dá)成一個(gè)情報(bào)反饋循環(huán)并建立一種信息優(yōu)勢，降低對手在隨后的入侵嘗試中成功的可能性。

網(wǎng)絡(luò)殺傷鏈模型可以“定義并描述入侵的不同階段，繪制對手殺傷鏈指標(biāo)指導(dǎo)防御行動，識別那些能夠?qū)€(gè)別攻擊與更廣泛的活動聯(lián)系起來的模式，并幫助防御者認(rèn)識到迭代式的情報(bào)收集是情報(bào)驅(qū)動的計(jì)算機(jī)網(wǎng)絡(luò)防御的基礎(chǔ)工作。”

Meta推出新殺傷鏈模型

八年后，經(jīng)典殺傷鏈論文的作者之一——埃里克·哈欽斯（現(xiàn)為Meta安全工程師調(diào)查員），及其同事本·尼莫（Meta威脅情報(bào)的全球負(fù)責(zé)人）在今年的Cyberwarcon會議上提出了新的殺傷鏈模型——“在線操作殺傷鏈”（Online Operations Kill Chain）。

上述Meta研究人員專注于解決在線操作層面的獨(dú)特挑戰(zhàn)，設(shè)計(jì)了一種通用威脅分類法，可以幫助網(wǎng)絡(luò)安全防御者更好地了解和發(fā)現(xiàn)共同的威脅態(tài)勢和漏洞。尼莫在Cyberwarcon上指出：“防御者首先要做的是了解發(fā)生了什么事以及壞人在做什么。”

“因此，我們要解構(gòu)分析對手，然后才能消滅他們。我們對這些威脅行為者的了解越多，就能發(fā)現(xiàn)更多它們的共同點(diǎn)。相同類型的操作之間會有共同點(diǎn)，甚至截然不同的操作之間也存在共同點(diǎn)。因此，在過去的18個(gè)月中，我們提出了一個(gè)框架，該框架使我們能夠用圖表來分析我們面對的所有類型的操作的共同點(diǎn)。”尼莫說道。

哈欽斯則表示，提出新的殺傷鏈模型的最大挑戰(zhàn)之一是確保它適用于從技術(shù)性的間諜黑客活動到在線輿論操縱等各種寬泛的在線操作類型。

“一個(gè)典型的例子是代筆活動（Ghostwriter campaign），該活動同時(shí)使用了帳戶接管和入侵手段。一旦目標(biāo)帳戶失陷，攻擊者就會利用它們進(jìn)行（輿論）操縱。”代筆活動是一項(xiàng)針對立陶宛，拉脫維亞和波蘭的輿論操縱活動，批評北大西洋條約組織（北約）在東歐的存在。

尼莫指出，新的殺傷鏈模型旨在彌合破壞性信息操作與其他類型的在線惡意行為之間的差距。“該模型適用于任何類型的操作，包括鏈的兩端都有人類的場景。”

新的殺傷鏈基于這樣的原則：“無論對手進(jìn)行何種在線操作，都存在檢測、分享、描述和處理的共同點(diǎn)。基礎(chǔ)方法就是尋找這些共同點(diǎn)，并將它們放入一個(gè)統(tǒng)一的新框架。”

新殺傷鏈模型的十個(gè)階段

在線操作殺傷鏈模型由十個(gè)階段組成：

1. 獲取資產(chǎn)。例如獲取IP地址、電子郵件地址、電話號碼、加密錢包或?qū)κ中枰僮鞯娜魏钨Y產(chǎn)。有時(shí)候資產(chǎn)的范圍可以很寬泛，尼莫說：“我們在今年早些時(shí)候發(fā)現(xiàn)一個(gè)出色的俄羅斯黑客團(tuán)伙購買了一大堆懶人沙發(fā)，方便操作員休息。”
2. 偽裝資產(chǎn)。對手使其資產(chǎn)看起來是真實(shí)的，因?yàn)檫@些操作在互聯(lián)網(wǎng)上可見。
3. 信息收集。在偵察階段收集信息，以了解操作正在運(yùn)行的環(huán)境或所尋求的目標(biāo)。
4. 協(xié)調(diào)和計(jì)劃。資產(chǎn)的編排和組織方式。
5. 測試防御。一個(gè)狡猾的對手不會貿(mào)然發(fā)動攻擊，而是會做些類似AB測試的試探。
6. 逃避檢測。逃避檢測不是改變飛機(jī)的顏色或外觀，而是在雷達(dá)照射范圍下飛行，例如使用Unicode字符來制作Doppelganger網(wǎng)站。
7. 無差別投送。這類似于將東西隨機(jī)扔在墻上，看看它是否粘住。許多垃圾郵件活動往往會這樣做。通常，這類操作沒啥技術(shù)含量，操作者漫無目的地分發(fā)內(nèi)容，希望能瞎貓碰到死耗子。
8. 鎖定目標(biāo)。與現(xiàn)實(shí)世界中攻擊者發(fā)現(xiàn)并鎖定目標(biāo)的情形類似。
9. 接管資產(chǎn)。這是網(wǎng)絡(luò)入侵實(shí)際發(fā)生的階段。攻擊者接管目標(biāo)正在使用的資產(chǎn)。通過接管資產(chǎn)攻擊者能夠獲得打開其他寶庫的鑰匙。
10. 實(shí)現(xiàn)駐留。這通常是防御者首次與對手交鋒的階段。

哈欽斯強(qiáng)調(diào)，該殺傷鏈模型的十個(gè)階段是模塊化的。并非所有操作都會以相同的方式使用所有階段，防御者需要對其進(jìn)行混合和匹配。最終的目標(biāo)是“確定殺傷鏈的完整階段，并了解盡早發(fā)現(xiàn)和破壞攻擊的機(jī)會。防御者可以用這個(gè)框架來度量自己在殺傷鏈中采取行動的及時(shí)性和有效性，然后與社區(qū)分享。”

殺傷鏈模型貴在踐行

網(wǎng)絡(luò)安全行業(yè)殺傷鏈模型的積極倡導(dǎo)者，Netskope的CISO詹姆斯·羅賓遜對新的在線操作殺傷鏈模型非常認(rèn)可，他表示：“這聽起來像是一個(gè)靠譜的，可行性很強(qiáng)的模型。”

羅賓遜指出，對于企業(yè)的CSO們來說，最重要的是把殺傷鏈模型用起來，無論是經(jīng)典殺傷鏈模型還是最新的在線操作殺傷鏈模型。企業(yè)CSO的當(dāng)務(wù)之急是繼續(xù)投資于威脅建模和殺傷鏈。可以從小處著手，逐步發(fā)展成為企業(yè)范圍的安全實(shí)踐。這是一種很重要的安全能力，企業(yè)的安全團(tuán)隊(duì)需要能夠運(yùn)用殺傷鏈模型，了解已知TTP和最新威脅態(tài)勢。

來源：GoUpSec