杀伤链模型中攻击方为了达到目标必须要完成哪些内容
杀伤链模型中攻击方为了达到目标必须要完成以下内容:
侦测:攻击者在攻击行动开始之前收集目标信息。很多安全分析人员认为这一步是没有什么有效预防措施的,现在是互联网时代,很多信息一旦传播到互联网上就难以消除。攻击者可以通过搜索引擎、招聘网站、会议信息或者社交应用等渠道来收集目标信息,更有甚者通过扫描器获取对应目标的网络拓扑,如DNS信息等。这一阶段最主要的防护手段就是安全意识培训,避免员工遭受社会工程学攻击或者其他手段欺骗,成为恶意软件投放的载体。
武器化:将漏洞和后门植入可投递的载荷中。攻击者不会直接和目标有实际交集,而是通过攻击发生关联。例如在经常被提及的鱼叉攻击中,给目标发送带有病毒的钓鱼邮件时,生成带后门的恶意文档就是“武器化”阶段的工作。除非攻击者在对目标进行攻击尝试时被捕捉,否则包括安全意识在内的安全控制手段很难在这一阶段生效。
投递:通过各种渠道向目标传播攻击载荷。例如发送钓鱼邮件,通过社交应用投放水坑网站,或者在目标群体可能出现的场所投放被感染的USB设备。虽然这一阶段有很多安全设备、安全技术和安全管理规范,但是人在检测和阻止有针对性的攻击中同样是不可或缺的元素,人可以识别和阻止大多数技术无法过滤的攻击。人在攻击防御中的作用显而易见,相应地,许多攻击也在利用人的弱点,但安全意识培训可以规范人的行为,从而大大减少攻击点。值得一提的是,除了上述投递手段之外,移动智能终端上的攻击还有自己独特的地方,例如通过短信或者伪基站进行投递,因此在防御上更加困难。
漏洞利用:攻击者利用漏洞来获取系统的访问权限,0day漏洞或者Nday漏洞的利用代码往往出现在这一环节。传统的加强措施可以为系统的安全性增加保障,同时采用阻止漏洞利用的能力型设备或者控制管理手段也是必要的。运维人员需要给设备系统及时、正确地打补丁,并实时更新防病毒软件的病毒库,使其有效抵御漏洞攻击。
安装:攻击者通常会安装持久化的后门或者注入恶意代码来延长访问控制时间。实际上,并非所有的攻击都需要恶意软件,例如近几年流行的“无文件攻击”。另外,在MAPT中,比较典型的手段是利用漏洞提权后植入Linux层的恶意ELF木马,这样可以在普通受害者毫无感知的情况下完成攻击;或者提权后安装APK文件木马到系统分区中,抑或申请设备管理器权限,防止受害者卸载。
命令控制:攻击者通过恶意软件打开一个指令信道来远程控制受害者的设备。通常的C&C信道包括Web、DNS、Socket、邮件协议等。对于防守方而言,C&C也是一个非常关键的信息,可以用于应急响应和攻击溯源。
目标达成:一旦攻击者获取目标对象的访问权限,他们就会采取行动来实现目标。行动动机因威胁因素不同而有很大的差异,包括政治、财政或军事利益,因此很难确定这些行动将是什么。这再次表明,在整个组织中,一支训练有素的具备安全意识的“人工传感器队伍”可以极大地提高对事件的检测能力、响应能力以及恢复能力。此外,安全的管理规范将使成功进入目标的攻击者更难在整个组织内集中精力并实现其目标。比如使用域隔离、禁用文件共享、强密码、入侵检测、ACL访问控制、SDL安全开发、定期模拟红蓝对抗等,这些只是众多措施中的一部分,都将使攻击者的行动更加困难,并导致他们更容易被检测到。在MAPT中,禁止员工私搭Wi-Fi2将办公网络和公共网络隔离,就可以避免攻击方将移动设备作为跳板对内部网络进行测绘,获得内部网络拓扑或者进行恶意代码横向移动。