網絡殺傷鏈2.0發布:從“七步成詩”到“十步殺一人”
責編:gltian |2022-11-17 16:30:24新的“十步”殺傷鏈模型適用于從技術性的間諜黑客活動到在線輿論操縱等各種寬泛的在線操作類型。
2014年4月,洛克希德·馬丁公司發布了開創性的網絡安全白皮書《情報驅動的計算機網絡防御》,并首次提出了網絡殺傷鏈模型(Cyber Kill Chain)來分析對手(主要是APT)活動。該模型將網絡攻擊劃分為七個階段:偵察跟蹤、武器化開發、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成。
“網絡殺傷鏈”論文的作者認為,通過掌握和利用對手如何運作的知識,網絡防御者可以達成一個情報反饋循環并建立一種信息優勢,降低對手在隨后的入侵嘗試中成功的可能性。
網絡殺傷鏈模型可以“定義并描述入侵的不同階段,繪制對手殺傷鏈指標指導防御行動,識別那些能夠將個別攻擊與更廣泛的活動聯系起來的模式,并幫助防御者認識到迭代式的情報收集是情報驅動的計算機網絡防御的基礎工作。”
Meta推出新殺傷鏈模型
八年后,經典殺傷鏈論文的作者之一——埃里克·哈欽斯(現為Meta安全工程師調查員),及其同事本·尼莫(Meta威脅情報的全球負責人)在今年的Cyberwarcon會議上提出了新的殺傷鏈模型——“在線操作殺傷鏈”(Online Operations Kill Chain)。
上述Meta研究人員專注于解決在線操作層面的獨特挑戰,設計了一種通用威脅分類法,可以幫助網絡安全防御者更好地了解和發現共同的威脅態勢和漏洞。尼莫在Cyberwarcon上指出:“防御者首先要做的是了解發生了什么事以及壞人在做什么。”
“因此,我們要解構分析對手,然后才能消滅他們。我們對這些威脅行為者的了解越多,就能發現更多它們的共同點。相同類型的操作之間會有共同點,甚至截然不同的操作之間也存在共同點。因此,在過去的18個月中,我們提出了一個框架,該框架使我們能夠用圖表來分析我們面對的所有類型的操作的共同點。”尼莫說道。
哈欽斯則表示,提出新的殺傷鏈模型的最大挑戰之一是確保它適用于從技術性的間諜黑客活動到在線輿論操縱等各種寬泛的在線操作類型。
“一個典型的例子是代筆活動(Ghostwriter campaign),該活動同時使用了帳戶接管和入侵手段。一旦目標帳戶失陷,攻擊者就會利用它們進行(輿論)操縱。”代筆活動是一項針對立陶宛,拉脫維亞和波蘭的輿論操縱活動,批評北大西洋條約組織(北約)在東歐的存在。
尼莫指出,新的殺傷鏈模型旨在彌合破壞性信息操作與其他類型的在線惡意行為之間的差距。“該模型適用于任何類型的操作,包括鏈的兩端都有人類的場景。”
新的殺傷鏈基于這樣的原則:“無論對手進行何種在線操作,都存在檢測、分享、描述和處理的共同點。基礎方法就是尋找這些共同點,并將它們放入一個統一的新框架。”
新殺傷鏈模型的十個階段
在線操作殺傷鏈模型由十個階段組成:
- 獲取資產。例如獲取IP地址、電子郵件地址、電話號碼、加密錢包或對手需要操作的任何資產。有時候資產的范圍可以很寬泛,尼莫說:“我們在今年早些時候發現一個出色的俄羅斯黑客團伙購買了一大堆懶人沙發,方便操作員休息。”
- 偽裝資產。對手使其資產看起來是真實的,因為這些操作在互聯網上可見。
- 信息收集。在偵察階段收集信息,以了解操作正在運行的環境或所尋求的目標。
- 協調和計劃。資產的編排和組織方式。
- 測試防御。一個狡猾的對手不會貿然發動攻擊,而是會做些類似AB測試的試探。
- 逃避檢測。逃避檢測不是改變飛機的顏色或外觀,而是在雷達照射范圍下飛行,例如使用Unicode字符來制作Doppelganger網站。
- 無差別投送。這類似于將東西隨機扔在墻上,看看它是否粘住。許多垃圾郵件活動往往會這樣做。通常,這類操作沒啥技術含量,操作者漫無目的地分發內容,希望能瞎貓碰到死耗子。
- 鎖定目標。與現實世界中攻擊者發現并鎖定目標的情形類似。
- 接管資產。這是網絡入侵實際發生的階段。攻擊者接管目標正在使用的資產。通過接管資產攻擊者能夠獲得打開其他寶庫的鑰匙。
- 實現駐留。這通常是防御者首次與對手交鋒的階段。
哈欽斯強調,該殺傷鏈模型的十個階段是模塊化的。并非所有操作都會以相同的方式使用所有階段,防御者需要對其進行混合和匹配。最終的目標是“確定殺傷鏈的完整階段,并了解盡早發現和破壞攻擊的機會。防御者可以用這個框架來度量自己在殺傷鏈中采取行動的及時性和有效性,然后與社區分享。”
殺傷鏈模型貴在踐行
網絡安全行業殺傷鏈模型的積極倡導者,Netskope的CISO詹姆斯·羅賓遜對新的在線操作殺傷鏈模型非常認可,他表示:“這聽起來像是一個靠譜的,可行性很強的模型。”
羅賓遜指出,對于企業的CSO們來說,最重要的是把殺傷鏈模型用起來,無論是經典殺傷鏈模型還是最新的在線操作殺傷鏈模型。企業CSO的當務之急是繼續投資于威脅建模和殺傷鏈。可以從小處著手,逐步發展成為企業范圍的安全實踐。這是一種很重要的安全能力,企業的安全團隊需要能夠運用殺傷鏈模型,了解已知TTP和最新威脅態勢。
來源:GoUpSec