網絡攻擊鏈指網絡罪犯經常採取的攻擊步驟順序。此外,網絡攻擊鏈亦對應由 Lockheed Martin 引進的一套架構中的序列,協助機構了解及阻斷網絡攻擊。
目錄
網絡攻擊鏈框架
Lockheed Martin 最初開發網絡攻擊鏈框架是為了將軍事「攻擊鏈」思維應用至網絡保安。在軍事戰略中,攻擊鏈描述了敵方識別和鎖定目標所採取的結構化步驟,以及防衛者破壞它們的機會。
同樣地,網絡攻擊鏈框架亦將攻擊分為不同階段,讓防衛者清楚了解干預點及方式。保安團隊現在使用此模型來對應特定階段威脅,協助他們優先處理防禦及找出漏洞。
網絡攻擊鏈步驟
網絡攻擊鏈模式識別網絡攻擊者將採取的七個步驟:
偵察:攻擊者收集有關目標的資料,例如開放連接埠或員工電郵。
武器化:他們準備的惡意負載會將漏洞攻擊與惡意檔案或連結綁定。
送貨:傳送惡意程式碼,通常經由網絡釣魚電郵或偷渡式下載。
入侵:惡意程式碼在目標系統上運作,利用漏洞。
安裝:安裝後門程式或木馬程式來建立持續性。
指令與控制:攻擊者會與被入侵的系統進行通訊以發出指令。
目標行動:無論是竊取資料、加密檔案還是干擾服務,他們都能實現目標。
網絡攻擊鏈模式如何視覺化攻擊
此模型顯示網絡攻擊並非單一事件,而是一系列相互連繫的步驟。保安團隊甚至會破壞攻擊鏈上的一個階段,防止攻擊者達成目標,並減低攻擊的整體影響。
例如,他們可能部署威脅情報來偵測偵察活動、利用沙盒模擬分析來捕捉武器化惡意程式,或監控可疑的指令與控制連線網絡流量。
網絡攻擊鏈與 MITRE ATT&CK
網絡攻擊鏈提供了攻擊的線性、高層次的視野,而MITRE ATT&CK 架構則提供了全面的反擊策略和技術。結合使用可強化偵測、事故回應及持續改善網絡保安。
整合式網絡攻擊鏈及其他模型
整合的網絡攻擊鏈將 Lockheed Martin 模式與 MITRE ATT&CK 策略整合,以便輕易捕捉複雜的現代攻擊,尤其是進階持續性威脅。它將攻擊鏈擴展至初始入侵以外的範圍,包括攻擊後橫向移動及憑證盜竊,為防禦者提供更完整的路線圖來偵測及破壞入侵。
網絡攻擊鏈與其他模型相比:比較圖
框架
專注點
優點
網絡攻擊鏈
線性階段
攻擊
容易理解,及早阻截攻擊
MITRE ATT&CK
策略與技巧矩陣
細節豐富,支援威脅捕獵
統一網絡攻擊鏈
結合兩種方法
捕捉進階持續性威脅生命週期,支援全方位防護
如何破壞網絡攻擊鏈流程
阻止網絡攻擊往往需要識別和破壞一個或多個攻擊鏈步驟。這套多重方式可減低攻擊者成功的機會,並限制入侵初始防禦時的損害。
網絡攻擊鏈策略及預防
攻擊鏈階段
常見的攻擊/策略
典型/最佳預防
入侵
入侵軟件漏洞、憑證攻擊
用戶端防護(EPP/EDR)來偵測及攔截惡意行動。
安裝
惡意程式可安裝後門程式、勒索程式、木馬程式
應用程式管控及沙盒模擬分析可阻止未知或可疑的安裝。
在網絡保安中使用網絡攻擊鏈的好處
降低入侵成本:及早偵測意味著在攻擊升級前預先加以攔截,以節省復原及法務成本。
支援監管合規:協助示範歐盟通用資料保護法規、NIS2 及類似法規的主動措施。
改善保安運作中心及事故回應準備度:為保安團隊提供一套有條不紊的威脅捕獵及事故回應方案。了解這如何與零信任網絡建立聯繫
在整個網絡攻擊鏈強化您的防禦
了解網絡攻擊鏈有助預測及破壞攻擊的每個階段,包括初步偵查以至數據洩漏。但是,如果沒有即時偵測、回應和調整的能力,知道這些策略並不足夠。
Trend Vision One™ 在整個環境提供統一視野、強大的分析及擴展式偵測與回應(XDR)。透過關聯攻擊鏈每個階段的活動,您可以更早阻截威脅、縮短駐留時間及有信心地保護關鍵資產。
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.