“網(wǎng)絡(luò)殺傷鏈”，指成功發(fā)起網(wǎng)絡(luò)攻擊的七個(gè)階段：偵察、武器化、散布、利用、安裝、命令與控制、針對(duì)目標(biāo)的行動(dòng)。與軍事殺傷鏈一樣，網(wǎng)絡(luò)殺傷鏈條中的所有環(huán)節(jié)環(huán)環(huán)相扣，一環(huán)脫節(jié)，全盤皆散，因此要保證每個(gè)階段成功才能確保整個(gè)攻擊成功實(shí)現(xiàn)。

針對(duì)網(wǎng)絡(luò)殺傷鏈的防御對(duì)策
洛克希德·馬丁馬丁公司在2015年發(fā)布的白皮書中提出預(yù)防措施，以降低上述每個(gè)階段的損害力。

一、偵察
偵察很難防御，因?yàn)樗ǔ？梢岳瞄_放網(wǎng)絡(luò)上的可用信息構(gòu)造出關(guān)于目標(biāo)的詳細(xì)資料。當(dāng)數(shù)據(jù)泄露發(fā)生時(shí)，這些詳細(xì)信息通常會(huì)被掛在暗網(wǎng)出售，或免費(fèi)暴露在開網(wǎng)絡(luò)上（例如Pastebin）。針對(duì)該階段可采取的對(duì)策包括：

二、武器化
武器化在很大程度上發(fā)生在攻擊者身上，因此攻擊之前不太可能對(duì) Payload 本身有所了解。企業(yè)可在整個(gè)組織機(jī)構(gòu)內(nèi)部實(shí)施嚴(yán)格的修復(fù)規(guī)則，并鼓勵(lì)員工培訓(xùn)。攻擊者最樂于見到的兩種情況是：差勁的修復(fù)/更新合規(guī)以及簡單的人為錯(cuò)誤。一旦注意到攻擊方式，那便掌握了資源，從而可在安全的虛擬機(jī)中對(duì)惡意軟件進(jìn)行取證分析。若了解惡意軟件構(gòu)建的原因及方式，便對(duì)漏洞有所了解。因此，不要放過對(duì)任何一個(gè)細(xì)節(jié)的檢查！

三、散布
任何對(duì)安全最佳實(shí)踐有基本了解的組織機(jī)構(gòu)應(yīng)該部署了適當(dāng)?shù)倪吔绫Ｗo(hù)解決方案（防火墻、對(duì)網(wǎng)絡(luò)主動(dòng)掃描）。部署強(qiáng)大的防火墻固然重要，但若配置不當(dāng)可能無法達(dá)到效果。

企業(yè)應(yīng)對(duì)員工開展適量的意識(shí)培訓(xùn)和電子郵件測試，例如可針對(duì)員工發(fā)起虛擬的電子郵件攻擊，以嘗試了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全情況。

四、安裝
如果檢測到惡意軟件在網(wǎng)絡(luò)上執(zhí)行，可盡最大努力隔離攻擊，這意味著可能要減少當(dāng)天的操作。檢查端點(diǎn)進(jìn)程以查找異常的新文件，并使用 Host Intrusion Prevention System 來警告或阻止常見的安裝路徑。另外，還需試圖盡力了解惡意軟件，確定是否屬于 0Day 漏洞、是新漏洞還是舊漏洞、其執(zhí)行需要哪些權(quán)限、所處位置以及運(yùn)作方式。

五、命令與控制
將命令與控制描述為“防御者阻止攻擊的最后機(jī)會(huì)......如果對(duì)手無法發(fā)出命令，防御者便可控制影響”。但是，對(duì)于某些惡意軟件而言，尤其對(duì)那些旨在自動(dòng)破壞或引起混亂的惡意軟件而言，情況并非如此。該公司指出，可通過惡意軟件分析發(fā)現(xiàn)基礎(chǔ)設(shè)施，整合互聯(lián)網(wǎng)存在點(diǎn)的數(shù)量來強(qiáng)化網(wǎng)絡(luò)，并要求將代理用于所有類型的流量，包括 HTTP 和 DNS。此外，防御者還可引入代理類別塊、DNS sinkholing 和簡單的研究。

六、針對(duì)目標(biāo)的行動(dòng)
許多攻擊的潛伏時(shí)間為幾天、幾周、幾個(gè)月甚至幾年。因此，檢測到入侵就意味著成功了一半。但是，應(yīng)盡快采取后續(xù)的緩解措施，包括確定被泄的數(shù)據(jù)、惡意軟件的傳播范圍、尋找未經(jīng)授權(quán)的憑據(jù)。應(yīng)急事件響應(yīng)手冊(cè)相關(guān)內(nèi)容將涉及到向公司高管、當(dāng)?shù)財(cái)?shù)據(jù)當(dāng)局和警方交談，可能還需向大眾披露攻擊事件。從公共關(guān)系的角度來看，一開始就向公眾披露的做法比緘口不提更恰當(dāng)。此外，還可以根據(jù)攻擊的嚴(yán)重程度尋求專家的幫助。

ice

收藏 海報(bào)分享