作为一名信息安全从业人员，你可能已经听说过使用“网络杀伤链”（也称为“网络攻击生命周期”）来帮助识别和防止入侵。但是，攻击者正在不断发展自身的攻击技能，所以，这可能需要我们用辩证的眼光来看待“网络杀伤链”。接下来，小编就会对网络杀伤链的基本内容，以及如何在当今的威胁环境中有效地运用它进行详细介绍：

什么是“网络杀伤链”？

在介绍“网络杀伤链”之前，有必要简单地介绍一下“杀伤链”的概念。杀伤链是指对攻击目标从侦查到破坏的一系列循环处理过程，从而有效地帮助加深了解如何防御此类攻击。具体来说，就是防御者通过各个阶段阻止核武器、导弹等发挥作用，从而使攻击者无法达到预期的作战目的。

杀伤链最初由美国空军参谋长Ronald Fogleman将军于1996年空军协会研讨会上提出的。通常而言，杀伤链主要分为6个阶段：

发现（Find）
锁定（Fix）
跟踪（Track）
定位（Target）
交战（Engage）
评估（Assess）

距离杀伤链开始越近，阻断攻击的效果便越好。例如，攻击者获得的信息越少，其他人就越不可能使用这些信息来完成接下来的攻击过程。

网络杀伤链也是同样的道理，该理念最初是由Lockheed Martin（洛克希德·马丁）公司提出的，描述了有针对性的攻击阶段。同样，防御者也可以利用它们来保护组织的网络，这些阶段如下图所示，包括侦查、武器化、交付、利用、部署、命令与控制以及目标达成7个阶段：

 

这个过程就像一个典型的盗窃活动实施过程。小偷需要先去目标地进行侦察，然后试图渗透其中，最终获取实际战利品之前需要经过的几个步骤。想要使用网络杀伤链来防止攻击者潜入你的网络中，你需要对网络中发生的事情具有一定程度的了解和可见性。你需要知道什么时候不应该发生什么事情，如此你才可以设置警报来阻止攻击行为。

另外，需要注意的是，越能在网络杀伤链开始阶段阻止攻击，受损的程度就会更少。如果你无法有效地阻止攻击，让其深入网络内部，那么你就不得不去修复这些受损设备，并进行大量的取证工作，来识别究竟攻击者已经获取了哪些信息？具体的损失究竟有多少？

接下来，让我们看看各个阶段都能够确定哪些问题，以及你的企业应该采取哪些措施来有效地进行防御：

侦察阶段：从外部查看你的网络 

在这个阶段，网络犯罪分子会确定攻击对象究竟是不是一个“好的”目标。他们会通过网络收集企业／组织机构网站、报道资料、招标公告、职员的社会关系网、学会成员目录等各种与目标相关的情报。理想的情况下，他们想要寻找到一个无人看守又具备很多有价值的数据的目标。

事实上，一个公司往往拥有比他们意识到的更多的信息暴露在外，例如，您员工的姓名和联系方式是否在线可寻？（想一想社交网络上的个人资料）这些信息都可以被用于社会工程目的（例如，通过社会工程获取用户名和密码等信息）。有没有关于您的网络服务器或物理位置的详细信息暴露在外？这些也可以用于社会工程目的，或者缩小有助于入侵你的网络环境的可能漏洞列表。

这个阶段的控制非常棘手，特别是随着社交网络的日益普及。虽然彻底搜寻信息是一件“时间密集型”的工作，但是隐藏的敏感信息所带来的效果却是可观的。

武器化、交付、利用、部署阶段：试图进入的过程 

这些阶段是网络犯罪分子利用他们收集的信息制造攻击他们选择的目标的工具，并将其恶意利用的过程。这些阶段中，他们可以利用的信息越多，社会工程攻击的效果越好。他们可以使用鱼叉式网络钓鱼手段，或是在员工的LinkedIn页面上找到的信息来进一步获取企业内部资源。或者，他们还可以把远程访问木马注入文件中，诱使相关人员点击并运行它，以此实现窃取机密信息的目的。如果他们知道你的服务器运行的软件（包括操作系统版本和类型），则可能会增加在您的网络中利用和安装某些恶意内容的可能性。

针对这些阶段的防御要求你必须遵循标准安全建议。你的软件是最新的吗？包括每台设备上的每个软件／操作系统。如今，大多数公司后台仍然在运行Windows 98系统。试想一下，一旦它连接到网络中，不就等于在自己门口放了一个“欢迎光临”的引导牌吗！

你有使用电子邮件和网页过滤机制吗？电子邮件过滤是阻止攻击中使用的常见文档类型的好方法。如果你要求以标准方式发送文件，一旦收到密码保护的ZIP文档，你的用户就可以清楚地识别哪些文件是恶意的，降低钓鱼邮件的可能性。网页过滤能够有效地阻止用户进入已知的恶意网站或域名。

你是否禁用USB设备的自动播放？从安全角度来看，尽可能少的给文件提供未经允许的运行机会是一件好事，用户在授权某些权限之前也应该仔细地思考是否存在这种必要。

你是否使用了具有最新功能的端点保护软件？虽然端点保护软件并不能处理所有最新的针对性攻击，但是它们大多数情况下还是能够基于已知的可疑行为或软件漏洞来捕获威胁。

命令与控制（C&C）：威胁正在上演 

这一阶段，攻击者已经建立了针对目标系统的攻击路径，接下来要做的就是等待攻击指令。这些指令可能是下载更多的恶意组件，或是联系C&C渠道中的控制者（botmaster）。无论是哪种方式都需要网络流量，这里我们就要自省一个问题：你是否设置了防火墙，能够在所有新程序连接网络时发出警报？

如果威胁发展到这一步，就需要我们对受损设备进行修复，IT人员也需要进行更多的工作来挽救损失。一些公司或行业会要求在受损的设备上进行取证，以确定哪些数据被窃或遭到篡改，受影响的设备需要进行清洗或重新组装。如果数据已经备份，就可以快速地转移到安全设备上，但是如果没有，就会耗费更多时间和资源成本。

一些攻击活动开始遵循自己的规则 

过去一年发生的攻击事件证实，攻击者并没有完全遵循上述的剧本，他们跳过了一些步骤，也增加了一些步骤。近期一些最具破坏性的攻击活动都绕过了安全团队多年来精心构建的防御体系，因为攻击者正在部署不同的游戏战略。Kudelski Security全球托管服务副总裁Alton Kizziah表示，

Lockheed Martin公司提出的网络杀伤链是以恶意软件为中心的，这使得一些攻击类型能够逃脱防御。

Alert Logic，Inc.联合创始人兼监控数据中心安全产品和市场部高级副总裁Misha Govshteyn也表示，

网络杀伤链从来都不适合我们所看到的攻击。

根据今年的“Verizon数据泄露调查报告”显示，今年，网络应用程序攻击是最常见的数据泄露类型，占所有违规行为的近三分之一。而最常见的攻击方法就是利用应用程序本身的漏洞。

前段时间的Equifax数据泄漏事件只是影响非常大的一个例子，证明了这种攻击类型确实很难发现。Equifax公司并没有发现在其网站上存在长达两个多月的可疑网络流量。Positive Technologies公司的网络安全恢复能力负责人Leigh-Anne Galloway表示：

通常，一个组织会在已经发生数据泄漏的情况下才知道自己已经遭到入侵，或是需要第三方机构（如客户）提醒才会意识自身出现安全问题。

Equifax的数据泄漏事件是由Apache Struts Web服务器软件中的一个已知漏洞所导致的。如果该公司已经安装了针对该漏洞的安全补丁程序，就可以避免此类问题的发生。但是，有时候软件更新本身也会导致安全问题，就像今年9月份Avast公司发生的CCleaner软件更新问题一样。

其次，还有零日漏洞的问题。根据Contrast Security公司CTO兼联合创始人Jeff Williams的说法，平均每个软件应用程序和API都存在26.8个严重的安全漏洞。他说，

这是一个惊人的数字，公众会对Equifax公司的疏忽行为感到愤怒，但是事实上，几乎所有的公司在其应用层都存在同样的安全隐患。我们从世界各地数千个IP地址中已经侦测出了大量的应用程序攻击行为。

为了防止这种类型的攻击，企业需要加快安全补丁的部署。Williams表示，

过去，在披露应用程序漏洞之后，攻击还会持续数周或数月。但是现在，安全窗口已经减少到了大约一天，到2018年还可能减少至几个小时。

公司还需要将安全控制直接潜入到应用程序中，这种技术被称为“运行时应用自我保护”（Runtime Application Self-Protection，简称RASP），Gartner预测该细分市场年复合增长率为9％。

Virsec Systems公司创始人兼首席技术官Satya Gupta表示：

安全性需要向应用程序靠拢，深入研究核心流程和内存使用情况。潜入在应用程序层的新型‘控制流技术’可以理解应用程序协议和上下文，并映射应用程序的可接受流（类似谷歌地图）。如果应用程序应该从A点到达B点，那么没有按照路径的行为肯定是错误的。

研究人员还表示，攻击者也可以在其游戏攻略中增加步骤。例如，他们可能需要时间来处理他们的网络痕迹、设置中断、传播错误的数据，或是安装可用于未来攻击的后门程序等。他们可以按顺序执行这些步骤，也可以返回并重复步骤。研究人员表示，这不是一个简单的线性过程，它通常更像一棵树的蔓延分支。

攻击货币化：在真正结束之前一切远没有结束

在DoS攻击的例子中，中断不一定是攻击的最后一步。攻击者可以在成功地实现中断、瓦解或渗漏过程后，重新侵入其中并重复之前的所有过程。

或者他们可以进入另一个阶段：货币化。根据Preempt Security首席执行官Ajit Sancheti的说法，攻击者可以采取任何形式实现盈利的目的。例如，他们可以利用受损的基础设施进行广告欺诈或发送垃圾邮件、向受害企业索要赎金、在地下黑市出售窃取的数据，甚至将被劫持的基础设施出租给其他犯罪分子，收取租金。总而言之，攻击的货币化形势正在急剧增加。

研究人员进一步补充道，比特币的使用使得攻击者能够更容易和安全地获取金钱，这有助于改变攻击背后的动机。此外，涉及消费被盗数据的不同群体数量也变得更为复杂，这可能会为企业和执法机构以及其他团体进行合作创造新的机会。

以销售被盗信用卡信息为例，Splunk公司安全研究主管Monzy Merza说，

一旦信用卡数据被窃取，其中的数据必须要经过测试、出售以及用于采购商品或服务，而这些商品或服务又必须出售以将其转化为现金。

而所有这些过程都是在传统的“网络杀伤链”范围之外。黑市生态系统会在攻击开始之前成为影响“网络攻击生命周期”的重要环节。攻击者可以在黑市中共享被破坏的凭证、易受攻击的端口以及未打补丁的应用程序列表等信息。

并非有了防火墙就万事俱备 

传统的网络攻击生命周期也没有触及企业系统的攻击。例如，如今，企业开始越来越多地使用第三方软件即服务（SaaS）提供商来管理其有价值的数据。那些在黑市上购买登录信息的攻击者，甚至从未触及过公司本身的基础架构，因此，企业需要制定一个完全不同的防御策略，例如使用具有双因素身份验证的集中式单点登录系统等。

其次是针对第三方提供商甚至第四方提供商的攻击。律师事务所、营销公司以及其他供应商都可能会访问到敏感的公司文件。金融机构经常会使用第三方处理系统；卫生机构也经常依赖外部供应商。

为了避免违规和监管罚款，组织机构需要建立超越自身网络边界的安全流程。这涉及文档管理系统、第三方审计以及供应商协议，要求供应商提供必要的安全控制措施，以及适当的网络保险政策。

哥伦比亚大学计算机科学教授兼Allure Security Technology公司首席技术官Salvatore Stolfo表示，

我们需要重新考虑网络杀伤链的现实意义，增加数据在企业范围之外的可见性，让人们了解这些数据究竟在哪里传播，并且为人们提供一个更好的方法来控制‘数据在离开网络后究竟发生了什么’！