1. 用于終結(jié)網(wǎng)絡(luò)殺傷鏈的安全控制措施

1.1. 有效的安全控制措施

• 1.1.1. 檢測

  • 1.1.1.1. 在此安全控制中，組織將確定攻擊者為獲取系統(tǒng)訪問權(quán)限進行的所有嘗試

  • 1.1.1.2. 包括外部人員試圖確定系統(tǒng)的潛在漏洞而對系統(tǒng)進行的掃描

• 1.1.2. 拒絕

  • 1.1.2.1. 挫敗正在進行的攻擊

  • 1.1.2.2. 當(dāng)安全團隊獲得任何可能攻擊的信息時，應(yīng)該迅速行動以阻止攻擊

• 1.1.3. 中斷

  • 1.1.3.1. 包括安全團隊努力攔截攻擊者和系統(tǒng)之間的任何通信并中斷這種通信

  • 1.1.3.2. 通信可能是攻擊者在執(zhí)行攻擊之前對系統(tǒng)所做的查詢的反饋，以確定系統(tǒng)的各種元素

• 1.1.4. 降級

  • 1.1.4.1. 包括開發(fā)和實施各種旨在降低攻擊強度的措施，以限制這些攻擊的損害

• 1.1.5. 欺騙

  • 1.1.5.1. 包括實施各種措施，通過向攻擊者提供有關(guān)組織中資產(chǎn)的虛假信息來故意誤導(dǎo)攻擊者

1.2. 偵察階段

• 1.2.1. 通過網(wǎng)絡(luò)分析、網(wǎng)絡(luò)入侵檢測系統(tǒng)和威脅情報完成檢測

• 1.2.2. 通過防火墻訪問控制列表和信息共享策略實現(xiàn)拒絕

1.3. 武器化階段

• 1.3.1. 通過使用威脅情報和網(wǎng)絡(luò)入侵檢測系統(tǒng)實現(xiàn)檢測

• 1.3.2. 通過使用網(wǎng)絡(luò)入侵防御系統(tǒng)實現(xiàn)拒絕

1.4. 投送階段

• 1.4.1. 使用端點惡意軟件防護措施進行檢測

• 1.4.2. 使用代理過濾器和基于主機的入侵防御來實現(xiàn)拒絕

• 1.4.3. 通過內(nèi)嵌防病毒軟件實現(xiàn)中斷

• 1.4.4. 通過排隊實現(xiàn)降級

• 1.4.5. 通過應(yīng)用程序感知防火墻和區(qū)域間網(wǎng)絡(luò)入侵檢測系統(tǒng)實現(xiàn)遏制

1.5. 利用階段

• 1.5.1. 通過端點惡意軟件保護完成檢測

• 1.5.2. 通過補丁管理實現(xiàn)拒絕

• 1.5.3. 數(shù)據(jù)執(zhí)行保護可能會導(dǎo)致中斷

• 1.5.4. 通過信任區(qū)域和區(qū)域間網(wǎng)絡(luò)入侵檢測系統(tǒng)實現(xiàn)遏制

1.6. 安裝階段

• 1.6.1. 通過使用安全信息和事件管理系統(tǒng)來完成檢測

• 1.6.2. 通過使用強密碼和權(quán)限分離來實現(xiàn)拒絕

• 1.6.3. 通過路由器訪問控制列表實現(xiàn)中斷

• 1.6.4. 通過信任區(qū)域和區(qū)域間網(wǎng)絡(luò)入侵檢測系統(tǒng)實現(xiàn)遏制

1.7. 指揮控制階段

• 1.7.1. 使用基于主機的入侵檢測系統(tǒng)進行檢測

• 1.7.2. 通過使用防火墻訪問控制列表和網(wǎng)絡(luò)分段來實現(xiàn)拒絕

• 1.7.3. 通過基于主機的入侵防御系統(tǒng)完成中斷

• 1.7.4. 通過陷阱完成降級

• 1.7.5. 通過域名系統(tǒng)重定向完成欺騙

• 1.7.6. 通過域名系統(tǒng)漏洞實現(xiàn)遏制

1.8. 針對目標(biāo)行動階段

• 1.8.1. 通過使用終端惡意軟件保護和安全信息及事件管理(Security Information and Event Management，SIEM)進行檢測

• 1.8.2. 通過靜態(tài)數(shù)據(jù)加密和出口過濾實現(xiàn)拒絕

• 1.8.3. 通過端點惡意軟件保護和使用數(shù)據(jù)丟失預(yù)防系統(tǒng)來完成中斷

• 1.8.4. 通過服務(wù)質(zhì)量完成降級

• 1.8.5. 通過蜜罐系統(tǒng)實現(xiàn)欺騙

• 1.8.6. 通過事件響應(yīng)程序和防火墻訪問控制列表實現(xiàn)遏制

1.9. 威脅生命周期管理的目標(biāo)是在盡可能早的階段阻止攻擊，這對于打破殺傷鏈特別有用

1.10. 允許組織在威脅行為者到達最具破壞性的階段之前阻止他們通過網(wǎng)絡(luò)殺傷鏈前進

2. 使用UEBA

2.1. UEBA是用戶和實體行為分析(User and Entity Behavior Analytics)的縮寫

2.2. 對于打擊APT至關(guān)重要而且有效

2.3. 網(wǎng)絡(luò)殺傷鏈主要關(guān)注APT攻擊，因為它們是攻擊者可能對你的組織實施的最具破壞性的攻擊

2.4. APT攻擊是高級形式的攻擊，可能需要數(shù)年的計劃

2.5. UEBA是利用分析技術(shù)的安全工具，包括使用機器學(xué)習(xí)來識別特定系統(tǒng)用戶中的異常和危險行為

2.6. 由于攻擊者無法模仿正常的用戶行為，因此UEBA是對抗APT的一種極其有效的技術(shù)

2.7. 事實證明，當(dāng)訓(xùn)練分析工具的機器學(xué)習(xí)模型有一個龐大的數(shù)據(jù)庫可供學(xué)習(xí)時，它會更加有效

2.8. 隨著UEBA工具獲得更多的數(shù)據(jù)，它變得更加有效，并變得更容易識別系統(tǒng)中的異常，因此增強了抵御高級持續(xù)攻擊的能力，提升了安全性

2.9. UEBA可用于破壞殺傷鏈之后的APT，并且提高員工在網(wǎng)絡(luò)殺傷鏈等領(lǐng)域的安全意識，可以為公司的安全立場帶來巨大成果

3. 安全意識

3.1. 在許多組織中，普通員工的安全意識起著至關(guān)重要的作用

3.2. 組織中的普通員工可以作為網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分，這可以從許多普通員工挫敗網(wǎng)絡(luò)攻擊的案例報道中得到證明

3.3. 解決這個問題的方法是提高員工的安全意識

• 3.3.1. 識別正在進行的攻擊，并向安全團隊報告系統(tǒng)中的異常情況

• 3.3.2. 人類用戶是系統(tǒng)中最大的缺陷和潛在的弱點之一

  • 3.3.2.1. 即使對于被認為是不可破解的系統(tǒng)，人為因素也總是會給系統(tǒng)帶來可被利用的弱點

  • 3.3.2.2. 用戶可能會因被欺騙而透露密碼或有關(guān)系統(tǒng)的信息，攻擊者無法通過入侵系統(tǒng)獲得這些信息

  • 3.3.2.3. 可能被迫透露這些信息

• 3.3.3. 一些網(wǎng)絡(luò)安全戰(zhàn)略包括策略的制定和這些策略的實施

  • 3.3.3.1. 確保普通員工掌握安全知識，使得他們能夠提高他們在工作時處理的數(shù)據(jù)和管理的信息資產(chǎn)的安全性，這是至關(guān)重要的

• 3.3.4. 僅僅關(guān)注網(wǎng)絡(luò)安全戰(zhàn)略的技術(shù)方面是不夠的

  • 3.3.4.1. 在網(wǎng)絡(luò)安全戰(zhàn)略中，人的因素和技術(shù)一樣重要

  • 3.3.4.2. 有針對性和個性化的攻擊已經(jīng)被確定為攻擊者用來滲透系統(tǒng)的主要方法

  • 3.3.4.3. 當(dāng)攻擊者以某個組織的員工為目標(biāo)，并找到一組不精通技術(shù)但可以訪問該組織系統(tǒng)的員工時，獲得系統(tǒng)訪問權(quán)限的便利性就會增加

• 3.3.5. 組織要確保安全防御系統(tǒng)中考慮了與組織相關(guān)的所有要素，包括系統(tǒng)的用戶

  • 3.3.5.1. 系統(tǒng)中任何被忽略的元素都將成為組織安全方面的弱點

  • 3.3.5.2. 攻擊者總是試圖進入系統(tǒng)，測試公司系統(tǒng)中的漏洞

  • 3.3.5.3. 任何弱點都是攻擊者可能利用的潛在漏洞

  • 3.3.5.4. 一個有效的系統(tǒng)可以確保所有潛在的漏洞在被利用之前就被識別和封裝

4. 威脅生命周期管理

4.1. 在威脅生命周期管理方面的投資，可以使組織在攻擊發(fā)生時立即阻止攻擊

4.2. 網(wǎng)絡(luò)犯罪正在增加的原因

• 4.2.1. 有更多有動機的威脅行為者

  • 4.2.1.1. 對于一些人來說，網(wǎng)絡(luò)犯罪已經(jīng)成為一種低風(fēng)險、高回報的業(yè)務(wù)

• 4.2.2. 網(wǎng)絡(luò)犯罪經(jīng)濟和供應(yīng)鏈的成熟

  • 4.2.2.1. 如今，只要網(wǎng)絡(luò)罪犯能夠支付相應(yīng)的金額，就能夠得到大量待售的漏洞和惡意軟件

  • 4.2.2.2. 網(wǎng)絡(luò)犯罪已經(jīng)成為一項業(yè)務(wù)，它有充足的供應(yīng)商和有意愿的買家

  • 4.2.2.3. 隨著黑客主義和網(wǎng)絡(luò)恐怖主義的出現(xiàn)，買家正在成倍增加，這導(dǎo)致違規(guī)事件的數(shù)量史無前例地增加

• 4.2.3. 組織攻擊面的不斷擴大使得入侵事件呈上升趨勢

  • 4.2.3.1. 新技術(shù)的采用，帶來了新的漏洞，從而擴大了網(wǎng)絡(luò)犯罪分子可以攻擊的范圍

  • 4.2.3.2. 物聯(lián)網(wǎng)(Internet of Things，IoT)作為組織技術(shù)的最新補充之一，已經(jīng)讓不少企業(yè)遭受黑客攻擊

  • 4.2.3.3. 如果組織不采取必要的防范措施來保護自己，未來的前景將暗淡渺茫

4.3. 使用適當(dāng)?shù)墓ぞ吆退季S，這些攻擊本可以在足夠早的時間內(nèi)得到緩解，以防止帶來任何損害

4.4. 取證數(shù)據(jù)收集階段

• 4.4.1. 威脅生命周期管理框架的第一階段是取證數(shù)據(jù)收集

• 4.4.2. 在檢測到全面威脅之前，在IT環(huán)境中可以觀察到一些證據(jù)

• 4.4.3. 在這個階段有三類適用的活動

  • 4.4.3.1. 組織應(yīng)該收集安全事件和告警數(shù)據(jù)

  • 4.4.3.2. 日志和機器數(shù)據(jù)的收集

    4.4.3.2.1. 通過此類數(shù)據(jù)可以更深入地了解每個用戶或每個應(yīng)用程序在組織網(wǎng)絡(luò)中實際發(fā)生的情況

  • 4.4.3.3. 收集取證傳感器數(shù)據(jù)

    4.4.3.3.1. 取證傳感器甚至更深入，當(dāng)日志不可用時，它們會派上用場

4.5. 發(fā)現(xiàn)階段

• 4.5.1. 這是在組織建立可見性，從而可以足夠早地檢測到攻擊之后進行的

• 4.5.2. 實現(xiàn)方式

  • 4.5.2.1. 搜索分析

    4.5.2.1.1. 組織中的IT員工用這種方式執(zhí)行軟件輔助分析

    4.5.2.1.2. 他們能夠查看報告，并從網(wǎng)絡(luò)和防病毒安全工具中識別任何已知或報告的異常

  • 4.5.2.2. 使用機器分析

    4.5.2.2.1. 純粹由機器/軟件完成的分析

    4.5.2.2.2. 該軟件具有機器學(xué)習(xí)能力，因此具有人工智能功能，能夠自主掃描大量數(shù)據(jù)，并向人們提供簡短和簡化的結(jié)果以供進一步分析

4.6. 鑒定階段

• 4.6.1. 在此階段會對前一階段發(fā)現(xiàn)的威脅進行評估，以找出它們的潛在影響、解決問題的緊迫性以及如何削弱它們

• 4.6.2. 這一階段對時間敏感，因為已識別的攻擊可能比預(yù)期更快成熟

• 4.6.3. 誤報是一個很大的挑戰(zhàn)，必須確定它們，以防止組織使用資源應(yīng)對不存在的威脅

  • 4.6.3.1. 缺乏經(jīng)驗可能會導(dǎo)致漏掉真陽性而包含假陽性

  • 4.6.3.2. 合乎邏輯的威脅可能不會被注意到，也不會受到關(guān)注

• 4.6.4. 這是威脅管理流程的敏感階段

4.7. 調(diào)查階段

• 4.7.1. 調(diào)查階段將對被歸類為真陽性的威脅進行全面調(diào)查，以確定它們是否造成了安全事故

• 4.7.2. 需要持續(xù)獲取關(guān)于許多威脅的取證數(shù)據(jù)和情報

• 4.7.3. 在很大程度上是自動化的，這簡化了在數(shù)百萬個已知威脅中查找威脅的過程

• 4.7.4. 還考察威脅在被安全工具識別之前可能對組織造成的潛在損害

4.8. 消除階段

• 4.8.1. 在消除階段，應(yīng)用緩解措施來消除或減少已識別的威脅對組織的影響

• 4.8.2. 組織要盡快達到這一階段，因為涉及勒索軟件或特權(quán)用戶賬戶的威脅可能會在短時間內(nèi)造成不可逆轉(zhuǎn)的破壞

• 4.8.3. 在消除已識別的威脅時，分秒必爭

  • 4.8.3.1. 這個過程也是自動化的，以確保高吞吐量地消除威脅，同時也便于組織內(nèi)多個部門之間的信息共享和協(xié)作

4.9. 恢復(fù)階段

• 4.9.1. 只有在組織確定其已識別的威脅已被消除，并且其面臨的風(fēng)險都已得到控制之后，才會出現(xiàn)恢復(fù)階段

• 4.9.2. 目標(biāo)是使組織恢復(fù)到受到威脅攻擊之前的狀態(tài)

• 4.9.3. 恢復(fù)對時間的要求較低，它高度依賴于重新可用的軟件或服務(wù)的類型

• 4.9.4. 此過程需要小心，需要回溯在攻擊事件期間或響應(yīng)期間可能進行的更改

  • 4.9.4.1. 這兩個過程可能會引起采取非預(yù)期的配置或操作，使系統(tǒng)受到損害或防止系統(tǒng)受到進一步破壞

• 4.9.5. 必須將系統(tǒng)恢復(fù)到它們在受到攻擊之前所處的確切狀態(tài)

• 4.9.6. 必須進行全面調(diào)查，以確保不會引入或遺漏任何后門

5. 對網(wǎng)絡(luò)殺傷鏈的擔(dān)憂

5.1. 邊界安全

• 5.1.1. 邊界安全包括使用安全解決方案，如惡意軟件防護和防火墻

• 5.1.2. 組織轉(zhuǎn)向了云技術(shù)，邊界安全和惡意軟件檢測主要由第三方公司處理，而組織則專注于服務(wù)交付或產(chǎn)品改進

• 5.1.3. 隨著物聯(lián)網(wǎng)等技術(shù)在業(yè)務(wù)運營中發(fā)揮著越來越重要的作用，殺傷鏈越來越需要發(fā)展，以適應(yīng)新的挑戰(zhàn)和新的市場需求

5.2. 攻擊漏洞

• 5.2.1. 由于殺傷鏈這種技術(shù)的固有缺陷，其能夠阻止的攻擊數(shù)量比較有限，因此飽受批評

• 5.2.2. 內(nèi)部攻擊是組織可能面臨的最危險的攻擊之一，通常難以檢測

• 5.2.3. 在面對泄露的憑據(jù)和攻擊者進入系統(tǒng)而不需要使用諸如暴力破解之類的技術(shù)來告警安全系統(tǒng)時，原始的殺傷鏈框架也是微不足道的

5.3. 對殺傷鏈的理解不是靜態(tài)的，而是不斷演變以應(yīng)對網(wǎng)絡(luò)安全形勢的變化

5.4. 雖然這有助于確保殺傷鏈與當(dāng)前態(tài)勢相一致，但也會使模型本身的可預(yù)測性降低