压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

大多數(shù)安全人員對殺傷鏈模型并不陌生。該模型由洛克希德馬丁公司于2011年創(chuàng)建，描述了壞人偷盜敏感信息通常會經(jīng)歷的7個階段：偵察、武器化、投放、漏洞利用、安裝、命令與控制、在目標(biāo)上操作。安全分析師和調(diào)查人員的目標(biāo)，就是要盡早趕在敏感數(shù)據(jù)被帶出門前撕裂這個鏈條。該模型對某些攻擊類型有效，但并不適用于其他多種攻擊類型。

現(xiàn)代攻擊方式更為高端復(fù)雜，攻擊者可能來自內(nèi)部和外部，或許是心懷惡意的雇員，可能是被感染的用戶，又或者是徹底的外部黑客。經(jīng)典殺傷鏈模型是為公司企業(yè)對抗外部威脅準(zhǔn)備的，一些公司企業(yè)試圖將該模型套用到其他類型的威脅上，比如內(nèi)部人威脅，但因內(nèi)部人威脅的行為模式與外部人不同，該經(jīng)典模型完全沒有效果。

被動vs主動

殺傷鏈模型從本質(zhì)上就是被動型的。該模型的目標(biāo)是在傷害造成前阻止正在進(jìn)行中的潛在攻擊。傳統(tǒng)殺傷鏈與該目標(biāo)一致，但用于惡意內(nèi)部人之類威脅的模型還有其他樣式，也符合被動網(wǎng)絡(luò)風(fēng)險模型。對抗威脅特別有效的另一網(wǎng)絡(luò)風(fēng)險模型是主動式的。該模型突破傳統(tǒng)思路，尋求在攻擊發(fā)生前就減小攻擊界面。我們可以首先看幾個被動網(wǎng)絡(luò)風(fēng)險模型，主要分為兩大類：

離職風(fēng)險：準(zhǔn)備離職的員工會提升數(shù)據(jù)丟失風(fēng)險。他們看起來不甚高明，離職過程中也不會表現(xiàn)出太多引人注意的行為。殺傷鏈風(fēng)格的被動風(fēng)險模型從檢測早期指標(biāo)開始，比如說，某雇員表現(xiàn)與平時有異，經(jīng)常訪問求職網(wǎng)站什么的。不過，即便雇員訪問此類網(wǎng)站，也不一定就代表著他們已對公司構(gòu)成威脅。只有當(dāng)他們進(jìn)入下一階段，比如在奇怪工作時間上傳較大加密文件到云存儲空間，才會轉(zhuǎn)變?yōu)闈撛谕{。

這兩個階段的結(jié)合——反復(fù)訪問求職網(wǎng)站+在奇怪的工作時間上傳大文件，就是該員工已成離職風(fēng)險需要密切關(guān)注的指征了。下一階段涉及該員工積極嘗試從公司網(wǎng)絡(luò)中拉出敏感數(shù)據(jù)。他可能會試圖將敏感數(shù)據(jù)用電子郵件發(fā)送到外部地址，被封之后還繼續(xù)嘗試其他方法，直到達(dá)成目的。

該殺傷鏈風(fēng)格風(fēng)險模型的目標(biāo)，是在數(shù)據(jù)滲漏發(fā)生前識別出成為離職風(fēng)險的人并著手處理。或者，即便他們真的滲漏數(shù)據(jù)了，也要在對公司造成真正傷害前發(fā)現(xiàn)滲漏行為并加以阻止。

長期內(nèi)鬼：與離職風(fēng)險不同，長期內(nèi)鬼是更加復(fù)雜的一類內(nèi)部人，他們沒有離開公司的意愿，會反復(fù)找尋任何他們能染指的敏感數(shù)據(jù)，用以出售盈利抑或危害公司。公司企業(yè)看不到這些員工登錄求職網(wǎng)站，但他們會訪問能讓他們規(guī)避網(wǎng)絡(luò)代理的那些網(wǎng)站。此類網(wǎng)站能讓他們隱蔽地跳轉(zhuǎn)到暗網(wǎng)，繞開安全控制，轉(zhuǎn)移數(shù)據(jù)。

該殺傷鏈的下一階段，是長期內(nèi)鬼持續(xù)嘗試登錄自己通常不具有權(quán)限的那些系統(tǒng)。他們靜靜地?fù)u晃不應(yīng)打開的門，探查不屬于自己/自己同事/所處團(tuán)隊的角色應(yīng)該知道的敏感數(shù)據(jù)。

訪問可疑網(wǎng)站+嘗試登錄權(quán)限范圍外的系統(tǒng)，就是該員工可能是長期內(nèi)鬼的良好指標(biāo)了。下一階段就到了這名員工真正展開數(shù)據(jù)滲漏的時候。比如說，經(jīng)常性加密少量敏感數(shù)據(jù)并滲漏到外部網(wǎng)絡(luò)。將數(shù)據(jù)分散成小量多批滲漏的做法旨在規(guī)避檢測，而加密數(shù)據(jù)則是為了讓公司更難以看出里面到底隱藏了什么。

顯然，公司的目標(biāo)是要在內(nèi)鬼進(jìn)行到最后的滲漏階段之前就加以阻止。該殺傷鏈顯示出了事件的發(fā)展進(jìn)程，讓公司企業(yè)可以在傷害造成前扼住威脅。

內(nèi)部人威脅模型是一連串被動事件的例子。很多公司嘗試將之套入最初的經(jīng)典殺傷鏈連模型中，但往往發(fā)現(xiàn)自己需要跳過幾個階段，就好像是在把方形的楔子硬敲入原型的孔洞似的，根本不合套。利用殺傷鏈概念無可厚非，但成功的關(guān)鍵在于要足夠靈活，適應(yīng)當(dāng)前復(fù)雜的威脅態(tài)勢。

想要跨越到主動網(wǎng)絡(luò)風(fēng)險管理，不妨考慮用對抗勒索軟件的預(yù)測模型。該鏈不去查找正在進(jìn)行中的威脅的各項指標(biāo)，而是先識別出哪些機(jī)器、應(yīng)用和系統(tǒng)易遭受勒索軟件攻擊，然后確定出其中哪些存有敏感數(shù)據(jù)。此后，公司企業(yè)就能很容易地了解哪些資產(chǎn)需要更好地修復(fù)或應(yīng)用更嚴(yán)密的安全控制措施了，而最終將會識別出到底哪臺機(jī)器正被攻擊，他們的響應(yīng)效果又如何。綜合起來，這種做法能夠很有遠(yuǎn)見地減小攻擊界面，領(lǐng)先攻擊者一步。

被動式殺傷鏈模型是要在為時已晚之前發(fā)現(xiàn)威脅并阻止之；主動式模型則是在攻擊襲來前減少攻擊機(jī)會。如果公司企業(yè)在應(yīng)用經(jīng)典殺傷鏈模型之外還能采納其他模型，將能以更少的人力和時間成本取得更大的威脅追捕成果，在攻擊者造成傷害前預(yù)先束縛住他們的手腳。