什么是网络杀伤链？

在网络安全战场中，网络杀伤链为理解和应对敌方的行动提供了战略性的指导。这一概念最初是由军事规划人员提出的。“杀伤链模型”将攻击过程分解为八个阶段。这使得目标能够从被检测到阶段，顺利过渡到主动威胁预防与攻击中断的阶段。 本文介绍了网络杀伤链模型的八个阶段，同时提供了一些易于实施的建议，以帮助您在自己的安全操作中成功应用这一模型。

在网络安全领域，什么是“网络杀伤链”呢？

网络杀伤链是一种威胁管理框架，它解释了如何识别并消灭对手。该框架借鉴了军事领域的概念，从而实现了对威胁的有效管理。在常见的网络攻击中，通常会经历一系列的步骤。这一流程通常包含八个步骤，从侦察到实现攻击目标。

每个阶段都呈现出不同的特点/情况能够检测、分析并消除各种威胁的机会特别是，这种“杀伤链”模型有助于应对那些涉及复杂计划以及多种攻击手段的先进威胁和复杂攻击。

网络杀伤链的各个阶段

这种网络攻击链最初是由洛克希德·马丁公司在2011年提出的。这个由八个阶段构成的框架仍然具有实用性，适用于大多数现代网络攻击。自2011年以来，专家们又增加了第八个阶段：盈利化。让我们来探讨一下这些不同的阶段，并了解它们如何构成一个完整的攻击链模型。

侦察/调查

网络杀伤链始于攻击者发起攻击之前，即他们开始对目标进行侦察的阶段。攻击者需要花费数周或数月的时间来收集有关目标的信息，以便用于后续的攻击行动。

例如，社会工程攻击依靠广泛使用开源情报来辅助攻击行为。攻击者会监控社交媒体和网站上的信息，以了解目标的相关情况。

或者，犯罪分子可能会……探索攻击面为了发现系统的弱点，攻击者会利用WHOIS查询、数据包嗅探器、网络映射机器人、ping命令以及端口扫描器等工具来探测目标网络。通过这种侦察手段，攻击者能够识别出防御薄弱的设备，并找到网络的访问点。

攻击者可以通过网络钓鱼手段获取登录凭据，或者从第三方中介机构购买被盗取的凭据。他们还可能扫描云环境中的不安全设备或终端，以获取有助于实施攻击的数据。他们的目标就是收集任何能够帮助他们实施攻击的数据。

2. 武器化

网络杀伤链的第二阶段包括：选择用于突破网络的攻击途径从而实现攻击目标。虽然简单的攻击方式只使用单一向量，但复杂的攻击者则会采用多种技术来实施攻击。

常见的攻击途径包括：

• 凭证被盗用，以及访问权限的进一步增加
• 网络钓鱼攻击
• 中间人攻击（MitM）
• 勒索软件
• 特洛伊木马和蠕虫病毒
• SQL注入
• 远程访问被入侵了
• 拒绝服务攻击
• 配置错误/设置不当
• 内部威胁

例如，某个网络犯罪团伙可能会利用用户的个人信息来制作具有欺骗性的钓鱼邮件。该团伙还会在电子邮件附件中嵌入恶意软件。这些恶意软件会在目标设备上安装勒索软件，并通过监控手段在受害者的网络中自由移动。攻击者还可能利用后门程序和隐藏技术来扩大自己的访问权限，从而实现其攻击目标。

攻击者会战略性地选择自己的攻击手段。这些团队会考虑实现目标的最佳工具和策略。他们还会评估各种技术的成本和复杂性，从而确定哪种方法能带来最高的投资回报。

3. 攻击的实施/执行方式

在网络杀伤链模型的第三阶段中，恶意行为者传递武器化的载荷，并发起攻击.

攻击者通常会利用脚本或恶意软件来实施他们的攻击手段。受害者往往会在不知情的情况下触发这些攻击步骤，比如点击来自不安全的电子邮件附件，或者向虚假网站提供个人信息，或者从不安全的网站上下载恶意程序。

恶意软件可能会立即采取行动，或者等待特定的触发事件才进行攻击；又或者在一定时间后才会开始行动。攻击者可能只进行一次攻击以获取信息，然后就离开。他们还可能创建后门程序，以便长期窃取数据或进行监控。

在交付阶段，安全团队有诸多机会可以发挥作用。例如，企业可以过滤电子邮件，使用入侵检测和端点检测系统，或者阻止恶意网络内容。

4. 剥削

在杀链框架的这个阶段，攻击者会执行恶意代码，从而推动后续的各种活动得以进行。隐藏行为往往伴随着剥削行为，它使得恶意软件和数据提取工具能够避开网络安全措施的保护范围。

在利用阶段，攻击者能够执行他们的计划，从而破坏网络并窃取数据。

5. 安装

攻击者现在能够确保自己的存在感，同时获得在目标网络内自由移动的能力。他们还试图寻找方法来扩大自己的活动范围，并在未来的攻击中再次利用那些已经被破坏的网络。这样一来，攻击的规模就从简单的网络入侵扩展到了更为严重的网络事件。

为了实现他们的目标，攻击者会进行以下操作：后门此外，还有通过rootkit以及暴露的用户凭据进行的远程访问攻击。由于存在后门程序，攻击者可以自由访问目标系统。他们可以监控网络流量、获取用户凭据，并通过横向移动来探索网络资源。

6. 控制与协调

网络杀伤链模型的第六阶段，也被称为……指挥与控制(C2)阶段。在这个阶段，攻击者……建立一种秘密的通信渠道在系统受到破坏的情况下……

攻击者使用各种工具来夺取对受感染设备的控制，这些工具包括勒索软件、加密程序、间谍软件以及网络监控机器人。他们还会植入C2恶意软件，从而能够远程控制受感染的设备。

C2模块能够建立一种特权地位。现在，犯罪分子可以发送指令，寻找适合窃取数据的目标对象，并将数据传输到安全的远程服务器上，以便将其用于未来的攻击或销售。

同时，诸如协议融合和域生成算法之类的技术，也能对恶意流量进行混淆处理。安全团队在检测并消除这些有害行为方面面临着巨大挑战，他们必须集中精力来破坏C2连接。

7. 坚持到底，实现攻击目标

这种网络杀伤链以两种方式继续存在：攻击者会执行他们选定的行动。或者，他们无法实现自己的目标。保持持续的监视和存在感。长期提取数据。

在这个阶段，可能会发生许多事情。攻击者可能会发起分布式拒绝服务攻击，从而破坏网络资源。他们还可能执行勒索软件攻击，将数据加密起来，直到受害者支付赎金为止。或者，他们也可能为了获取金钱而秘密地窃取数据。

高级持续性威胁（APTs）会在后台持续运行数月甚至数年。这些威胁会监控网络流量，以寻找新的漏洞、暴露的用户凭据或敏感数据（如知识产权或战略文件）。

8. monetization

网络杀伤链中的第八阶段并不适用于所有类型的攻击。不过，随着数据窃取带来的经济收益越来越大，货币化已经成为了这一链条中不可或缺的一部分。

攻击者试图……将被盗的数据或特权访问权限转化为经济利益加密货币支付往往发生在成功的勒索软件攻击之后。同时，一些犯罪分子还会在暗网市场上出售他们获取的账户信息和客户数据。

网络杀伤链如何影响网络安全呢？

网络杀伤链模型是一种非常有效的工具，可以帮助人们理解和应对网络攻击。这种模型有助于安全团队更好地应对各种网络威胁。了解攻击是如何进行的以及如何做到这一点实施预防措施。安全团队也可以利用“杀伤链模型”来进行相关工作。主动识别威胁在攻击生命周期的早期阶段就进行干预，从而有效应对各种威胁。

例如，威胁情报平台可以帮助安全团队检测到被窃取的凭据，或者了解即将发生的攻击情况。企业可以通过加强边界安全措施来保护用户身份，同时及时发现恶意活动。这些措施可以在网络攻击的1到3个阶段就被阻止，从而防止攻击的实施。

早期检测非常重要，因为……在供应链的下游阶段，攻击的风险会上升。移除APT攻击以及破坏指挥与控制机制，这在技术上来说是非常复杂的任务。这一过程可能会伴随着数据提取或网络损坏等后果。而“杀伤链”框架则可以帮助你在损害发生之前找到有效的安全解决方案，从而避免修复成本的增加。

这种网络杀伤链模式也有助于促进国际网络安全领域的合作。洛克希德的八阶段模型为这一领域提供了有效的指导。共同的框架/基础描述和记录那些正在出现的攻击方式。安全专家可以将攻击指标与威胁情报进行关联，从而能够针对特定的威胁采取有效的应对措施。

注意：洛克希德公司的网络攻击模型最早出现在2011年。虽然这种线性攻击模型适用于许多传统的攻击方式，但它可能无法有效应对那些速度更快或采用自动化手段的攻击方式。因此，各公司应该将这种攻击模型与MITRE ATT&CK框架结合起来，以涵盖各种重要的威胁类型。

如何实施网络杀伤链

网络杀伤链为描述网络攻击提供了有价值的工具，但这一框架如何能够加强安全措施、防止网络攻击呢？以下是一些可以在安全操作中利用该框架的最佳实践。

• 利用每个杀链阶段来评估你的安全性。例如，网络分段是否能够阻止横向移动和情报收集行为呢？你们的EDR工具是否能够阻止恶意软件的安装或不安全终端的利用呢？
• 修复每个杀伤链阶段中的安全漏洞利用杀链评估的结果来弥补安全漏洞。例如，通过实施补丁管理来降低利用漏洞的风险，或者采用邮件过滤技术来阻止网络钓鱼攻击。
• 在攻击实施之前就进行阻止攻击的措施第4阶段（即被利用的阶段）是网络安全的临界点。务必在攻击达到这一阶段之前就加以阻止。应重点加强反钓鱼攻击措施、终端安全防护措施，以及针对被泄露的用户凭据的检测工作。
• 研讨会中的指挥与控制受到干扰第6阶段（控制阶段）是阻止攻击、减少损害的关键时机。需要实施相关计划来检测C&C代理，并切断与攻击服务器的连接。可以使用诸如出口过滤等工具来净化出站流量，直到能够彻底切断与攻击服务器的连接为止。
• 将杀伤链分析与MITRE ATT&CK模型相结合这种网络攻击链机制有助于了解攻击的进展过程。MITRE ATT&CK提供了关于如何在不同的攻击链阶段来减轻威胁的详细指导。同时结合这两种框架使用，可以构建出更加有效的安全解决方案。
• 将杀链机制整合到安全培训中。网络杀伤链是一种用于模拟网络攻击的强大工具。可以利用该模型来测试边界安全、访问控制以及云安全措施的有效性。同样，也可以将该模型作为处理突发事件的参考模板。

利用网络杀伤链来模拟现实中的攻击行为

这种网络攻击模型为应对网络攻击提供了宝贵的指导。它详细描述了从侦察到获利这八个阶段。通过这种模型，安全团队能够了解各种风险，模拟攻击行为，从而在攻击者窃取敏感数据或破坏网络基础设施之前识别出威胁。