了解网络攻击的生命周期

关键基础设施的自动化继续提高效率，网络安全措施有助于保护这些资产。通过生命周期了解攻击的解剖结构可以帮助网络安全，特别是工业控制系统(ICS)。

关键基础设施被定义为:“……至关重要的系统、网络和资产，它们的持续运行是确保特定国家的安全、经济、公众健康和/或安全所必需的。”

这些系统包括电网，石油和天然气管道，电信和宽带系统，水和废水处理系统，仅举几例。鉴于上述定义，关键基础设施涵盖了使我们的生活健康、舒适和安全的大量商品和服务。正如人们所预料的那样，这些系统和服务将成为那些试图破坏社会以达到某些目的的对手的主要目标。

很明显，必须保护关键系统，但是产生了许多问题:必须保护哪些系统以及优先级是什么?

了解网络杀伤链

“网络杀伤链”是洛克希德·马丁公司开发的一个模型，用于描述网络攻击从最初阶段侦察到最后阶段数据泄露的步骤。杀伤链有不同的步骤，描述网络攻击生命周期的每个阶段。

杀伤链模型有助于理解攻击是如何实施的，并为我们应对勒索软件和安全漏洞等攻击做好准备。攻击通常遵循有序的渗透技术序列;使用Lockheed模型，这些步骤是:

1.侦察:这一阶段包括对一个预期目标的规划、观察和研究。一些工具是社交媒体，如Facebook和LinkedIn，它们被用来收集个人信息或公司的详细信息。通过在线观察目标(或通过任何其他手段)，攻击者可以建立目标的概要，并可以设计最有效的攻击策略。大多数情况下，网络钓鱼电子邮件是针对目标的，这些电子邮件是围绕在侦察阶段收集到的目标信息设计的。其他攻击载体是基于软件渗透方法设计的，如端口扫描或暴力破解密码攻击。迄今为止，最有效的载体是对人力资源的妥协。

2.入侵:利用在侦察阶段收集和分析的信息，攻击者侵入网络并安装恶意软件或反向shell程序，允许不受限制地访问目标网络。在攻击的这个阶段，目标是在网络中寻找可以利用的其他漏洞。从内部映射网络，定位并编目诸如凭据文件等资产，以备将来的攻击。

3.剥削:根据入侵阶段收集的信息，攻击者可以利用在系统中发现的漏洞。在这个阶段，武器化代码可以被投放到服务器上，攻击者可以获得密码文件、证书甚至RSA令牌等敏感数据。一旦进入网络，几乎没有攻击者无法到达的地方。如果攻击已经进行到这一阶段，系统就会受到威胁，数据就会面临风险。在对关键基础设施的攻击中，控制系统可能已被破坏，恶意软件驻留在关键系统中。攻击者可以持有数据或系统以获取赎金，也可以对目标系统造成严重破坏。

4.特权升级:利用利用系统漏洞收集的数据，攻击者将使用窃取的凭据获得更高权限，以访问更高安全的系统或文件区域。这种升级允许攻击者获得更安全、更敏感的数据，因为攻击者在受损系统上的特权升级了。攻击者还可以访问需要高级权限才能访问的受保护系统。

5.横向运动:使用更高级别的访问，攻击者可以在目标系统中移动，探索其他连接的系统和文件位置，搜索可以利用的敏感数据缓存，允许更高级别的权限升级，获得更高的权限，并更大程度地访问关键系统。

6.困惑:为了实施一次成功的攻击，攻击者用几种方法掩盖他们的踪迹。数据泄露的方法包括修改数据以删除任何泄露的证据，在系统中植入错误的数据痕迹，清除操作日志是挫败网络取证的有效和有用的手段。这一阶段的目标是掩盖或消除攻击的任何证据，从而避免归因和对策。许多攻击在被发现之前多年未被发现，大多数情况下是偶然发现的。

7.拒绝服务:另一种防止被发现的方法是通过各种手段关闭系统，或大规模销毁数据。这是非常有效的模糊攻击，但非常具有破坏性，导致实际财产的损失。在关键基础设施中，这一阶段的攻击，比如关闭关键服务器或整个电网，就像2015年在乌克兰所做的那样，可能会造成非常大的破坏。

8.数据/有效载荷的泄露:如果目标是获取敏感数据，则在此阶段将数据从系统中删除。如果攻击成功，那么攻击者将获得目标数据并消失，让信息技术(IT)人员收拾残局并从事重建网络的漫长过程。在关键基础设施中，这一阶段是执行目标和针对目标交付有效载荷的阶段。

其他杀伤链模型

杀伤链是一种威胁模型，可用于分析可能的攻击向量，并允许设计对策来减轻它们对组织构成的威胁。洛克希德模型基于军事杀伤链模型(F2T2EA:发现、修复、跟踪、目标、交战、评估)，但也有其他模型更侧重于特定的攻击场景，如在ICS内。

通过了解攻击是如何实施的，这些模型作为开发网络防御的工具非常有用。Gartner模型、MITRE ATT&CK框架、SANS ICS网络杀伤链和统一杀伤链是已建立的杀伤链模型的四个变体，也可用于理解和减轻对关键系统的攻击。下图是杀伤链模型的一个例子，它引入了“命令与控制”或“C2”的概念，使攻击者能够完全控制受损系统。

挖掘数据以实现入侵

攻击者依靠最初对预定目标的精确侦察和识别系统中最脆弱的部分来设计最有效的攻击。最常见的是人力资产和从情报收集技术获得的大量数据，如开源情报或OSINT(特别是社交媒体)和人力情报或HUMINT(通过社会工程利用人际关系)，这是威胁行为者用来设计手段和方法以使他们能够破坏系统的两种最常用的侦察方法。

一个勤奋而熟练的研究人员使用专门的工具可以在互联网上找到的敏感数据量几乎是无限的——挖掘这些数据以进行开发是一项非常有价值的技能。在熟练的操作人员手中，这些数据成为成功的社会工程攻击的基础——甚至超越。

关键基础设施网络安全:理解指南

世界在许多层面上紧密相连，联系越紧密，对网络安全的需求就越大。在世界历史上，我们从未像现在这样紧密相连;事实上，我们的联系水平已经达到了接近控制论的程度。普通人可能每时每刻都与世界相连。

一个人没有手机或手机关机被认为是不寻常的。不断的交流已经成为常态。我们已经和机器融为一体了。大规模的大众传播提供了产生巨大变化的机会。我们是技术驱动的人类，在功能上几乎是半机械人;我们的生活，我们的幸福，依赖于电子通讯。

我们也是一个自动化的世界，而且每天都在变得越来越自动化。自动化，如果实施得当，可以提高生活质量。尽管存在例外情况，但关键基础设施可以从互连的安全自动化中获得许多好处。

五种理解网络安全的方法

攻击载体是什么;我们如何定义攻击面;采用了哪些方法以及如何设计对策;弱点在哪里，我们如何缓解?用简单的语言描述这些问题有助于避免灾难。

虽然存在无数的元素，并且还在继续写作，但网络安全可以概括为五个基本部分。

1. 网络杀伤链是一个用来理解网络攻击是如何计划和执行的模型。
2. 人的因素是系统中最薄弱的环节，通常也是攻击中第一个受损的资产。社会工程策略可能会变得不那么有效。
3. 针对关键基础设施的不太为人所知的攻击造成了生命、财产或财富的损失。
4. 攻击执行提供了对正在发生的事情的理解，即使是隐藏的。
5. 可以考虑实施对策和态势感知。

除了这里的信息之外，还可以获得更长的和更深入的各种资源，但这为更多的研究提供了良好的基础。

网络攻击生命周期信息

有关网络杀伤链概念的进一步阅读资料包括:

• 统一杀伤链，保罗·波斯
• 2013年目标数据泄露的“杀伤链”分析，美国参议院商业、科学和交通委员会
• 情报驱动的计算机网络防御由对手战役和入侵杀伤链分析提供，洛克希德·马丁公司
• MITRE ATT&CK框架:https://attack.mitre.org/
• 乌克兰电网网络攻击分析，SANS ICS, E-ISAC

丹尼尔·e·卡帕诺是高级项目经理，Gannett Fleming工程与建筑公司，而在控制工程编辑顾问委员会．由内容经理马克·霍斯克编辑，控制工程、《媒体，mhoske@cfemedia.com。

关键词:网络安全，网络攻击，网络杀伤链

网络攻击生命周期或网络杀伤链，帮助了解网络安全措施。

不止一个网络杀伤链模型可用。

数据挖掘帮助发动网络攻击。

考虑一下这个

你是否愿意帮助其他人攻击您的组织的信息?

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。