网络杀伤链2.0:从“七步成诗”到“十步杀一人”
新的“十步”杀伤链模型适用于从技术性的间谍黑客活动到在线舆论操纵等各种宽泛的在线操作类型。
2014年4月,洛克希德·马丁公司发布了开创性的网络安全白皮书《情报驱动的计算机网络防御》,并首次提出了网络杀伤链模型(Cyber Kill Chain)来分析对手(主要是APT)活动。该模型将网络攻击划分为七个阶段:侦察跟踪、武器化开发、载荷投递、漏洞利用、安装植入、命令与控制、目标达成。
“网络杀伤链”论文的作者认为,通过掌握和利用对手如何运作的知识,网络防御者可以达成一个情报反馈循环并建立一种信息优势,降低对手在随后的入侵尝试中成功的可能性。
网络杀伤链模型可以“定义并描述入侵的不同阶段,绘制对手杀伤链指标指导防御行动,识别那些能够将个别攻击与更广泛的活动联系起来的模式,并帮助防御者认识到迭代式的情报收集是情报驱动的计算机网络防御的基础工作。”
Meta推出新杀伤链模型
八年后,经典杀伤链论文的作者之一——埃里克·哈钦斯(现为Meta安全工程师调查员),及其同事本·尼莫(Meta威胁情报的全球负责人)在今年的Cyberwarcon会议上提出了新的杀伤链模型——“在线操作杀伤链”(Online Operations Kill Chain)。
上述Meta研究人员专注于解决在线操作层面的独特挑战,设计了一种通用威胁分类法,可以帮助网络安全防御者更好地了解和发现共同的威胁态势和漏洞。尼莫在Cyberwarcon上指出:“防御者首先要做的是了解发生了什么事以及坏人在做什么。”
“因此,我们要解构分析对手,然后才能消灭他们。我们对这些威胁行为者的了解越多,就能发现更多它们的共同点。相同类型的操作之间会有共同点,甚至截然不同的操作之间也存在共同点。因此,在过去的18个月中,我们提出了一个框架,该框架使我们能够用图表来分析我们面对的所有类型的操作的共同点。”尼莫说道。
哈钦斯则表示,提出新的杀伤链模型的最大挑战之一是确保它适用于从技术性的间谍黑客活动到在线舆论操纵等各种宽泛的在线操作类型。
“一个典型的例子是代笔活动(Ghostwriter campaign),该活动同时使用了帐户接管和入侵手段。一旦目标帐户失陷,攻击者就会利用它们进行(舆论)操纵。”代笔活动是一项针对立陶宛,拉脱维亚和波兰的舆论操纵活动,批评北大西洋条约组织(北约)在东欧的存在。
尼莫指出,新的杀伤链模型旨在弥合破坏性信息操作与其他类型的在线恶意行为之间的差距。“该模型适用于任何类型的操作,包括链的两端都有人类的场景。”
新的杀伤链基于这样的原则:“无论对手进行何种在线操作,都存在检测、分享、描述和处理的共同点。基础方法就是寻找这些共同点,并将它们放入一个统一的新框架。”
新杀伤链模型的十个阶段
在线操作杀伤链模型由十个阶段组成:
- 获取资产。例如获取IP地址、电子邮件地址、电话号码、加密钱包或对手需要操作的任何资产。有时候资产的范围可以很宽泛,尼莫说:“我们在今年早些时候发现一个出色的俄罗斯黑客团伙购买了一大堆懒人沙发,方便操作员休息。”
- 伪装资产。对手使其资产看起来是真实的,因为这些操作在互联网上可见。
- 信息收集。在侦察阶段收集信息,以了解操作正在运行的环境或所寻求的目标。
- 协调和计划。资产的编排和组织方式。
- 测试防御。一个狡猾的对手不会贸然发动攻击,而是会做些类似AB测试的试探。
- 逃避检测。逃避检测不是改变飞机的颜色或外观,而是在雷达照射范围下飞行,例如使用Unicode字符来制作Doppelganger网站。
- 无差别投送。这类似于将东西随机扔在墙上,看看它是否粘住。许多垃圾邮件活动往往会这样做。通常,这类操作没啥技术含量,操作者漫无目的地分发内容,希望能瞎猫碰到死耗子。
- 锁定目标。与现实世界中攻击者发现并锁定目标的情形类似。
- 接管资产。这是网络入侵实际发生的阶段。攻击者接管目标正在使用的资产。通过接管资产攻击者能够获得打开其他宝库的钥匙。
- 实现驻留。这通常是防御者首次与对手交锋的阶段。
哈钦斯强调,该杀伤链模型的十个阶段是模块化的。并非所有操作都会以相同的方式使用所有阶段,防御者需要对其进行混合和匹配。最终的目标是“确定杀伤链的完整阶段,并了解尽早发现和破坏攻击的机会。防御者可以用这个框架来度量自己在杀伤链中采取行动的及时性和有效性,然后与社区分享。”
杀伤链模型贵在践行
网络安全行业杀伤链模型的积极倡导者,Netskope的CISO詹姆斯·罗宾逊对新的在线操作杀伤链模型非常认可,他表示:“这听起来像是一个靠谱的,可行性很强的模型。”
罗宾逊指出,对于企业的CSO们来说,最重要的是把杀伤链模型用起来,无论是经典杀伤链模型还是最新的在线操作杀伤链模型。企业CSO的当务之急是继续投资于威胁建模和杀伤链。可以从小处着手,逐步发展成为企业范围的安全实践。这是一种很重要的安全能力,企业的安全团队需要能够运用杀伤链模型,了解已知TTP和最新威胁态势。