大多数安全人员对杀伤链模型并不陌生。该模型由洛克希德马丁公司于2011年创建,描述了坏人偷盗敏感信息通常会经历的7个阶段:侦察、武器化、投放、漏洞利用、安装、命令与控制、在目标上操作。安全分析师和调查人员的目标,就是要尽早赶在敏感数据被带出门前撕裂这个链条。该模型对某些攻击类型有效,但并不适用于其他多种攻击类型。

现代攻击方式更为高端复杂,攻击者可能来自内部和外部,或许是心怀恶意的雇员,可能是被感染的用户,又或者是彻底的外部黑客。经典杀伤链模型是为公司企业对抗外部威胁准备的,一些公司企业试图将该模型套用到其他类型的威胁上,比如内部人威胁,但因内部人威胁的行为模式与外部人不同,该经典模型完全没有效果。

被动vs主动

杀伤链模型从本质上就是被动型的。该模型的目标是在伤害造成前阻止正在进行中的潜在攻击。传统杀伤链与该目标一致,但用于恶意内部人之类威胁的模型还有其他样式,也符合被动网络风险模型。对抗威胁特别有效的另一网络风险模型是主动式的。该模型突破传统思路,寻求在攻击发生前就减小攻击界面。我们可以首先看几个被动网络风险模型,主要分为两大类:

离职风险:准备离职的员工会提升数据丢失风险。他们看起来不甚高明,离职过程中也不会表现出太多引人注意的行为。杀伤链风格的被动风险模型从检测早期指标开始,比如说,某雇员表现与平时有异,经常访问求职网站什么的。不过,即便雇员访问此类网站,也不一定就代表着他们已对公司构成威胁。只有当他们进入下一阶段,比如在奇怪工作时间上传较大加密文件到云存储空间,才会转变为潜在威胁。

这两个阶段的结合——反复访问求职网站+在奇怪的工作时间上传大文件,就是该员工已成离职风险需要密切关注的指征了。下一阶段涉及该员工积极尝试从公司网络中拉出敏感数据。他可能会试图将敏感数据用电子邮件发送到外部地址,被封之后还继续尝试其他方法,直到达成目的。

该杀伤链风格风险模型的目标,是在数据渗漏发生前识别出成为离职风险的人并着手处理。或者,即便他们真的渗漏数据了,也要在对公司造成真正伤害前发现渗漏行为并加以阻止。

长期内鬼:与离职风险不同,长期内鬼是更加复杂的一类内部人,他们没有离开公司的意愿,会反复找寻任何他们能染指的敏感数据,用以出售盈利抑或危害公司。公司企业看不到这些员工登录求职网站,但他们会访问能让他们规避网络代理的那些网站。此类网站能让他们隐蔽地跳转到暗网,绕开安全控制,转移数据。

该杀伤链的下一阶段,是长期内鬼持续尝试登录自己通常不具有权限的那些系统。他们静静地摇晃不应打开的门,探查不属于自己/自己同事/所处团队的角色应该知道的敏感数据。

访问可疑网站+尝试登录权限范围外的系统,就是该员工可能是长期内鬼的良好指标了。下一阶段就到了这名员工真正展开数据渗漏的时候。比如说,经常性加密少量敏感数据并渗漏到外部网络。将数据分散成小量多批渗漏的做法旨在规避检测,而加密数据则是为了让公司更难以看出里面到底隐藏了什么。

显然,公司的目标是要在内鬼进行到最后的渗漏阶段之前就加以阻止。该杀伤链显示出了事件的发展进程,让公司企业可以在伤害造成前扼住威胁。

内部人威胁模型是一连串被动事件的例子。很多公司尝试将之套入最初的经典杀伤链连模型中,但往往发现自己需要跳过几个阶段,就好像是在把方形的楔子硬敲入原型的孔洞似的,根本不合套。利用杀伤链概念无可厚非,但成功的关键在于要足够灵活,适应当前复杂的威胁态势。

想要跨越到主动网络风险管理,不妨考虑用对抗勒索软件的预测模型。该链不去查找正在进行中的威胁的各项指标,而是先识别出哪些机器、应用和系统易遭受勒索软件攻击,然后确定出其中哪些存有敏感数据。此后,公司企业就能很容易地了解哪些资产需要更好地修复或应用更严密的安全控制措施了,而最终将会识别出到底哪台机器正被攻击,他们的响应效果又如何。综合起来,这种做法能够很有远见地减小攻击界面,领先攻击者一步。

被动式杀伤链模型是要在为时已晚之前发现威胁并阻止之;主动式模型则是在攻击袭来前减少攻击机会。如果公司企业在应用经典杀伤链模型之外还能采纳其他模型,将能以更少的人力和时间成本取得更大的威胁追捕成果,在攻击者造成伤害前预先束缚住他们的手脚。

相关阅读

洛克希德·马丁定义的“杀伤链”

美国国土安全部使用网络杀伤链分析总统大选黑客事件