“网络杀伤链”,指成功发起网络攻击的七个阶段:侦察、武器化、散布、利用、安装、命令与控制、针对目标的行动。与军事杀伤链一样,网络杀伤链条中的所有环节环环相扣,一环脱节,全盘皆散,因此要保证每个阶段成功才能确保整个攻击成功实现。

针对网络杀伤链的防御对策
洛克希德·马丁马丁公司在2015年发布的白皮书中提出预防措施,以降低上述每个阶段的损害力。

一、侦察
侦察很难防御,因为它通常可以利用开放网络上的可用信息构造出关于目标的详细资料。当数据泄露发生时,这些详细信息通常会被挂在暗网出售,或免费暴露在开网络上(例如Pastebin)。针对该阶段可采取的对策包括:

如何防御“网络杀伤链”

二、武器化
武器化在很大程度上发生在攻击者身上,因此攻击之前不太可能对 Payload 本身有所了解。企业可在整个组织机构内部实施严格的修复规则,并鼓励员工培训。攻击者最乐于见到的两种情况是:差劲的修复/更新合规以及简单的人为错误。一旦注意到攻击方式,那便掌握了资源,从而可在安全的虚拟机中对恶意软件进行取证分析。若了解恶意软件构建的原因及方式,便对漏洞有所了解。因此,不要放过对任何一个细节的检查!

三、散布
任何对安全最佳实践有基本了解的组织机构应该部署了适当的边界保护解决方案(防火墙、对网络主动扫描)。部署强大的防火墙固然重要,但若配置不当可能无法达到效果。

企业应对员工开展适量的意识培训和电子邮件测试,例如可针对员工发起虚拟的电子邮件攻击,以尝试了解组织机构的网络安全情况。

四、安装
如果检测到恶意软件在网络上执行,可尽最大努力隔离攻击,这意味着可能要减少当天的操作。检查端点进程以查找异常的新文件,并使用 Host Intrusion Prevention System 来警告或阻止常见的安装路径。另外,还需试图尽力了解恶意软件,确定是否属于 0Day 漏洞、是新漏洞还是旧漏洞、其执行需要哪些权限、所处位置以及运作方式。

五、命令与控制
将命令与控制描述为“防御者阻止攻击的最后机会......如果对手无法发出命令,防御者便可控制影响”。但是,对于某些恶意软件而言,尤其对那些旨在自动破坏或引起混乱的恶意软件而言,情况并非如此。该公司指出,可通过恶意软件分析发现基础设施,整合互联网存在点的数量来强化网络,并要求将代理用于所有类型的流量,包括 HTTP 和 DNS。此外,防御者还可引入代理类别块、DNS sinkholing 和简单的研究。

六、针对目标的行动
许多攻击的潜伏时间为几天、几周、几个月甚至几年。因此,检测到入侵就意味着成功了一半。但是,应尽快采取后续的缓解措施,包括确定被泄的数据、恶意软件的传播范围、寻找未经授权的凭据。应急事件响应手册相关内容将涉及到向公司高管、当地数据当局和警方交谈,可能还需向大众披露攻击事件。从公共关系的角度来看,一开始就向公众披露的做法比缄口不提更恰当。此外,还可以根据攻击的严重程度寻求专家的帮助。