|
|
|
联系客服020-83701501

关于反杀伤链的思考

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
对于反杀伤链的思忖

杀伤链(kill chain)最初源于军事中的CKISR零碎中的K(kill),后由洛克希德-马丁公司提出Internet安全杀伤链7步模型(见下图)。

关于反杀伤链的思考 - 第1张 | Sec-UN 安全圈

那末,有了杀伤链,天然就有反杀伤链^_^。

反杀伤链,我更方向用“创作发明-定位-跟踪-瞄准-攻打-评估”的F2T2EA模型。

创作发明:现实即是咱们常说的安全检测。基于特征成家的检测,基于虚构实行的检测,以及基于极度举止的检测,可以创建1个较为完整的检测体系。对于大型企业而言,要实现反杀伤链的创建,创作发明才智是先决前提。

定位:定位囊括了年光、空间两个层面。年光定位是武断攻打动员、继续的年光,也即是入侵攻打的杀伤链进行到第几个阶段。空间定位则是武断攻打者所处的位置,囊括在Internet内的入侵深度和广度,大约的话还该当囊括入侵入口位置。

跟踪:在实现定位后,防护者需要依据定位消息,武断可否进行跟踪。1般对大型企业而言,APT类攻打在杀伤链的第四步到第7步之间,仍有1定的“年光窗 口”(大少数在内网创作发明的攻打举止都处于这1阶段),是以只有年光、前提答应,防护者是可以进行跟踪,以取得更多的入侵消息,从而进1步美满全副杀伤链场 景。跟踪可以提高后续瞄准、兵戈时的出击精确度和力度,做到极致,可以让敌手前功尽弃,至此再也无从下手。

瞄准:瞄准现实和杀伤链第2步的兵器创建(Weaponization)雷同,也即是咱们需要必然采取何种才略、何种工具进行阻断和出击,还有即是必然攻打点,以确保能“1击致命”。只不过这个兵器不再是攻打性兵器,而是防范性兵器。

攻打:在实现瞄准后,攻打阶段即是要通过瞄准阶段必然的各种技能才略拦挡阻断入侵者的通信牵制,定点拔除植入的恶意步伐,封锁IP,梗概采取会面牵制步伐 阻断其进入缓慢区域等等。只管,在跟踪和瞄准阶段所取得的消息空虚多的情况下,还可以进行反制,进行反向溯源或借助法令等门路进行“反向攻打”。

评估:这个评估在军事上是“战损评估”的观点,在这里,我想该当是效果评估。在评估阶段,咱们要对攻打效果进行评估,1是要确认可否达到了预期的攻打效 果,即咱们的攻打才略可否能保障彻底截断攻打者的杀伤链。2是要总结辅导,囊括将对应的杀伤链场景进行剖析建档并归入响应的威胁情报库中,找到全副反杀伤 链运作中的不够之处加以美化补正。

对应杀伤链,反杀伤链1般在杀伤链的第3到第六阶段起感召。和弹道导弹防范零碎1样,目前,反杀伤链的较高拦挡失利率进展在第五、第六阶段。而第3、第四阶段的防范,也将成为以后的重点。

反杀伤链和杀伤链的匹敌关连大致用下图来表述。

关于反杀伤链的思考 - 第2张 | Sec-UN 安全圈

要实现这个反杀伤链,还需要以下几个枢纽支持:

1、情报(Intelligence)

对于情报,NUKE同窗等大牛已经讲过良多,我就不班门弄斧太多。

这里需要补偿的是,在反杀伤链中,情报可以分为战略、战区、战术3个层次。

1)战略威胁情报。现实是1种威胁态势情报。我并不想把战略威胁情报上升到JP 1-02中定义的国度战略层面,而只想说针对于1个企业或1个行业而言的威胁态势情报。

这种情报囊括两个层面,1个是企业或行业对自己的认知和评估,囊括“咱们有甚么是别人想要的”,“它毕竟了局有多弥留”,“咱们能承受多达的损失”,以及“咱们该投入几多成本去掩护它”等等,这方面的情报源头囊括陵犯评估、营业评估及企业高层决策。

2是带对威胁情况的评估,囊括“盯着咱们的敌手有哪些人”,“他们对哪些目的感趣味”,“他们拥有哪些可哄骗的才略”,“他们对攻打成本的承受程度若何”等等。这些情报源于大量的案例剖析、威胁动态跟踪,以及对攻打者举止内容、攻打成本的剖析钻研等等。

换言之,在战略威胁情报层面,咱们所获得的情报的终纵目的是为了战略层面的安全决策,必然防护时的团体战略目的。是以,战略威胁情报是高度稀释的情报精华精华,必然是高程度的专家进行阐发性野生剖析的了局。

这1层面的威胁情报,即是威胁情报联盟、各种威胁情报平台、征询公司们阐扬利益的中央。

只管,扩充来看,商业互助情报也算是此类情报的1种。

2)战区威胁情报。假设咱们将1个公司或行业看作1个战略主体,那各个战区现实即是按营业、零碎的细分。在战区威胁情报层面,威胁情报将更详细化、场景 化、可视化。我个人比拟方向在此层面借助杀伤链模型将各种威胁情报做成1个个场景列表,终极可以构成1个趋势选集的攻打天生树。只管,呆滞进修等最近很热 的威胁情报观点,大多在这1层面初阶有了用武之地。

只管,在战区威胁情报层面,除已经发作的安全变乱外,更应并重于贯注性的威胁场景创建。这也会给雷同从事浸透测试、零碎评估、代码审计等安全供职和安全众测厂商带来机缘。

3)战术威胁情报。假设将战区威胁情报依据杀伤链做成场景化,那末战术威胁情报即是对每个杀伤链场景的情报剖析,需要创建出单条杀伤链,剖析攻打工具、攻打本事、攻打源头、攻打目的、威胁影响等的特征。

战术威胁情报可以认为是战区威胁情报的根蒂根柢。可以说,在战术层面创建的杀伤链条数越多,全副威胁情报体系起的感召就越大。

2、照管(Surveillance)

与检测只关注攻打举止的创作发明所不同的是,照管的观点,是检测、追踪、定位的阐发体,强调的是对攻打者举止的继续关注,为做出必杀1击(也即是偷袭)做好准 备。借助无效的检测才略,创作发明攻打者的层序清楚明了,再云集战术威胁情报中的杀伤链场景进行场景适应性成家,云集日记剖析、流量剖析、工具逆向剖析等才略,找 出攻打者的入口、跳板,追踪其地点位置和攻打路径,忖测其攻打目的,再在杀伤链的枢纽节点进行偷袭(阻断),堵截全副杀伤链条,重创敌手。这即是照管的作 用。

只管,提到照管,就必需考虑反杀伤链的“年光窗口”效应。对于小型企业或零碎而言,杀伤链的时效性很短,此时的照管确切一律于检测,强调1经创作发明立即阻 断。而对大型冗杂Internet而言,杀伤链普及更长,照管的“年光窗口”也可以随着拉长。所以,照管的“年光窗口”受威胁场景的时敏性影响。

同时,照管的“年光窗口”还需要委托对杀伤链场景的创建,和偷袭点(或许阻断点)的定义。防护者需要寄托辅导,对创作发明的入侵举止进行开始剖析和武断,必然 对此事的照管领域、年光。在前提答应的情况下,防护者可以借助照管勾当尽大约地美满全副杀伤链场景,为高听命、致命的偷袭做操办。但切忌因为照管,错失狙 击的时机,两头的度需要仔细衡量。

3、指示、牵制与协同(Command and Control and Combat,3C)

3C是全副反杀伤链最弥留,也最难创建的形成局部,也是确保反杀伤链攻打效果的前提。

目前,大型企业都有了自己的安全运营团队,例如各种SRC、SOC。然则,能具有真正无效的3C才智的并不多。核心的标题在于以下几点:

1)在指示层面短少高层的支持,无法具有空虚的指示权限,也即是短少营业层面的配合,也没无效用空虚强大的安全指示决策撑持零碎。外洋军方已经有响应的理论钻研根蒂根柢,并在渐渐倒退此方面的才智,值得鉴戒。

2)牵制现实可以算是指示零碎中的1个模块,是确保指示指令获得无效的详细实行的集中管控后台。这方面的标题具有于两点:1是人力方面,安全团队必需有足 够的人,技能覆盖面必需够全,并有1个无效的神速反应反馈机制。2是技能零碎层面,集中管控后台需要定制化,对应的安全零碎要凋零各种接口以承受、反馈各项管 控指令,也即是联动协同的观点。无法在技能层面实现联通协同,企业就必需以大量的人力来补缺,且屡屡吃力不凑趣儿。

以上这些只是依据个人的趣味写的,必然还有标题,欢送拍砖。

【via@谢涛】

数安新闻+更多

证书相关+更多