共7,069 次浏览

Kill Chain 杀伤链——浅谈我对目前网络攻防的认识

kill chain杀伤链又叫做网络杀伤链,是由洛克希德-马丁公司提出的(这公司不是个军火商?)。我们要知道在网络上, 一次有效的攻击并不是以获取到信息为结束的,也并不是无缘无故的开始的。在攻击之前还要经过情报收集的阶段,在攻击过后还可能会有持续的打击,也可能会留下后门方便再次进行攻击。然而这些描述都不是准确的,网络杀伤链模型将网络攻击抽象出了一个较为准确的模型。在信息安全方面来说,很多也是通过杀伤链模型来识别和防止入侵。

网络杀伤链分为了七个阶段,分别为“侦察跟踪-武器构建-载荷投递-漏洞利用-安装植入-命令与控制-目的达成”具体的阶段如下图所示:(图片来自网络)

 

这个杀伤链模型与平时的小偷偷东西的流程有点类似。小偷在选择他要光顾的“幸运儿”时,会先对目标进行踩点,看看有没有价值不菲的东西值得他去冒险。一单锁定了目标,就会针对目标家庭的情况来指定入侵计划。拿什么来撬锁?还是从烟囱里溜进去?指定好了入侵计划,就会对“幸运儿”的家庭进行一次洗礼。而后抹清来过的痕迹离去,抑或是留下一个密道方便以后常来。

通过这个杀伤链模型我们不难发现,在越早的阶段阻止攻击者,造成的损失就会越少,修补的代价就会越少。例如,攻击者在侦察跟踪阶段就被安全人员发现,就会有更少的信息泄露出去被攻击者使用。攻击者也不会利用这些信息来进行攻击。如果攻击者已经进行到了安装植入阶段,或者已经进入了内部网络。那么安全人员就不得不对入侵的机器进行排查、修复以及核验哪些内容收到了损失。这就要求安全人员要能够及时发现那些“不该存在的东西”,并且及时做出响应。

我们可以对杀伤链模型中的阶段仔细来看

1.侦察跟踪

侦察跟踪阶段攻击者会对目标评定一个好坏,攻击者从外部来评定目标是否值得攻击,以及目标的网络环境。何为好,最理想的状态就是目标的防御十分薄弱,信息价值连城或者容易获取。

企业信息的价值可能超出领导者的意外,员工的个人信息就可以方便攻击者进行社会工程的用途,当然这个信息不只是员工的手机号、住址、在公司里的一些信息等等,还包括社交方面的一些信息。我一直认为社会工程学是一门很神奇的学科,它不仅难以防御而且效果十分出乎人们的意料。通过一些看似无关的信息就可以得知到敏感的信息。有时间一定要仔细研究研究。

对于这个阶段的防御可以说比较困难。我们大家都知道,目前我们的个人信息在网络面前已经不再是秘密。可以“买”到某个素未谋面着的手机号,这样的报道也时有发生。再加上现在大部分社交平台都是通过手机号绑定了个人账号,所以想在这个阶段阻止攻击者是有一定的难度的。

当然也不是完全没有办法,有一种产品是专门用来管理公司的网上的资产。这种资产管理类产品可以实时的检测资产的状态,可以检测资产存在的问题或者漏洞。来提示安全人员进行修复。但是这类产品多是针对于网站或者主机来展开。对于内容的防护,我还需要再深入的学习和了解。

2.武器构建

这一个过程与攻击者的侦察跟踪过程息息相关。攻击者获得的信息越多,其针对目标构造的“武器”就更加的精准。

3.命令与控制

恭喜你,如果攻击者到了这一步,你将需要耗费大量的人力来修补你所受到的损失。此时的攻击者已经成功在目标的网络里面买下了炸弹。威胁已经潜伏在了目标的网络中,这个时候它需要做的只是通知攻击者:“我入侵成功了,来收割吧”。这样的方式更偏向于在内部网络中植入了后门或者木马,里应外合。当然还有另外一种形式那就是从外面一层一层攻破。

但是此时,潜伏在目标网络中的威胁想要与攻击者通讯,必须经过网络。或者说,在这一步之前,攻击者在载荷投递或者攻击植入的过程中,也是需要网络的。这个时候就需要防火墙的存在了,或者是waf,或者是全流量检测,这些边界防御的安全产品串联在内部网络与外部Internet之间,都可以作为内部网络进出口的安全卫士,实时扼守住内部网络的关口。但凡事有利也有弊,在内部网络的进出口加一个卡口,难免会对业务造成影响。还有一种叫做旁路阻断的产品,它并不是串联在内部网络的进出口,而是在旁路检测进出的流量。出现异常及时阻断。

当然,如果说不通过网络实现命令与控制这个阶段也不是不可能实现。比如往公司门口丢一个U盘,员工捡到了拿回办公室,往电脑上一插。攻击者在家看着电影就把一些恶意文件种到了目标的内部网络里。听着就非常玄学,是否能够真的实现,这就和员工的安全意识有关系了。最近在出差的公司刚好也在进行员工的安全意识培训,和我一个屋子的职员给每个员工的公司邮箱发了一封钓鱼邮件。然后我就听着这位职员打了好久的电话,挨个嘱咐以后多加留意。看来中招的不少。

如果说这些边界防御产品都失效了,没有发现攻击者的入侵流量或者攻击者绕过了边界防御产品。那么此时还有最后一道屏障,也就是内网防御产品——蜜罐。蜜罐是很久之前就存在的概念,但是近几年才慢慢火起来。蜜罐也可以称之为欺骗防御,更像是一个陷阱,如果说举个例子的话,可以把蜜罐想象为猪笼草(说真的我的第一反应就是这种植物)。它通过伪造出一个仿真的业务环境来混淆攻击者。让攻击者误以为自己进入了真实的生产环境,但殊不知,一切尽在掌控之中,攻击者已经被发现。这时候安全人员就可以及时进行操作,或者是顺藤摸瓜,揪出是谁在发起攻击。而攻击者则陷入蜜罐中无法自拔。这种情况下目标的真实业务系统并没有遭受攻击,也就没有损失。这种防御模式像是找了个挡枪的,让蜜罐代替真实业务系统挨揍,没办法,谁让蜜罐抗揍呢。当然蜜罐也分为很多类型,一些高交互性的蜜罐也可以做到主动的引诱,而不是被动的守株待兔等待攻击。

现在的业务环境也多种多样,“云”也是悄悄走到了许多人的身边。到处都在上云,云上的安全形势也是越来越严峻。如果说这个攻击者的目标网络不是传统的部署在目标本地的,而是云上的资产。那么也有相对应的解决办法,那就是云上的安全产品。不仅可以检测进出云的南北向流量,还可以检测云内部的东西向流量。不仅可以防止攻击者进攻云,还可以防止云内的威胁蔓延。

反观整个杀伤链模型,可不是所有的人都这么循规蹈矩,老老实实的按照这个杀伤链模型进行进攻。许多种情况是将其中的阶段反复进行或者跳跃进行。许多团队都会对整个进攻过程进行精心的准备安排,以达到更好的攻击效果。另外,许多攻击也是长时效性的,比如APT攻击等等。不达目的决不罢休,甚至达到了目的也不会停止。比如许多DDoS攻击,并不是瘫痪了服务器攻击者的目的就达到了,攻击者就会停止攻击。攻击者在瘫痪了服务器后,还可以重复这个过程,或者转而进行另一件事——盈利。(其实从一定程度上来说,DDoS攻击也难以用杀伤链的模型来解释,但是我没有想出其他的例子)。

结语:自从大学选择了这个专业,经过了三年的学习,三年学长返校宣讲的耳濡目染。又步入了安全公司,了解了更多的安全方面的知识。我内心已经对这个网络十分的矛盾。因为在网络下每个人都是透明的,没有隐私可言。许多话可能是危言耸听,说者无心听者有意,我在接受这些信息的时候都默默记住了这些不安全的情况。但另一方面,时代发展的趋势是无法阻挡的。有着良好的安全意识是一件好事,也没有必要过于担心。就像“世界上好人永远比坏人多”这句话一样,也要慢慢相信网络上正义的力量总会存在。有进攻必然也有防守。希望我作为一名网安人,虽然没有奋战在战斗一线,研发一线,没有直面骇人的黑客,但也能为这个网络做出一份贡献。

 

 

此条目发表在学习总结分类目录,贴了, 标签。将固定链接加入收藏夹。

Kill Chain 杀伤链——浅谈我对目前网络攻防的认识》有5条回应

  1. rbq说:

    吉吉好棒啊!!

  2. rbq2说:

    吉吉太棒了,好爱你

  3. rbqrbq说:

    哇这就是吉吉的博客哇!!!

  4. rqq说:

    加油!

  5. guan说:

    吉吉简直是我男神!

评论已关闭。