網路攻擊鏈 (cyber kill chain) 是指駭客集團發動攻擊時通常採取的一系列步驟,這套由 Lockheed Martin (洛克希德·馬丁) 公司提出的框架,同時也列出了這些步驟的順序來協助企業機構了解並阻斷網路攻擊。
目錄
網路攻擊鏈框架
Lockheed Martin 最初提出網路攻擊鏈框架的目的,是要將軍事領域中的「攻擊鏈」概念延伸並應用到資安領域。在軍事戰略中,攻擊鏈用來描述敵人在發掘和襲擊目標時所採取的結構化步驟,以及防禦者可以從中阻斷的機會。
同樣地,網路攻擊鏈框架的目的是要將攻擊拆解成不同的階段,讓防禦者清楚了解從何處下手以及如何下手來加以阻撓。如今,資安團隊普遍利用這套模型來將威脅對應到不同的攻擊階段,協助企業判斷防禦的優先次序並發掘漏洞。
網路攻擊鏈當中的步驟
網路攻擊鏈模型列出了駭客可能採取的七個步驟:
偵查:駭客會蒐集有關目標的資訊,例如:開放的連接埠或員工電子郵件。
武器化:他們會製作惡意程式的惡意檔案,通常會針對某種漏洞攻擊手法來設計惡意檔案或連結。
派送:發送惡意檔案,通常經由網路釣魚電子郵件或誘導式下載進行散播。
漏洞攻擊:在目標系統上執行惡意程式碼來攻擊某個漏洞。
安裝:惡意程式會安裝後門程式或木馬程式來常駐於系統內。
幕後操縱 (CC,也稱 C2):駭客會和遭到駭入的系統通訊來下達指令。
對目標採取行動:完成既定的目標,不論是竊取資料、將檔案加密,或是中斷服務。
網路攻擊鏈模型如何將攻擊視覺化
這套模型顯示了網路攻擊並非個別單一事件,而是一系列環環相扣的步驟。資安團隊甚至只要破壞這其中的某一個階段,就能讓駭客無法達成目標,進而降低資安事故的整體衝擊。
比方說,資安團隊可以透過威脅情資來偵測駭客的偵查活動,使用沙盒模擬分析來攔截惡意程式,或是監控網路流量是否有可疑的 C2 連線。
網路攻擊鏈與 MITRE ATT&CK 的差異
網路攻擊鏈提供了一種線性的高階攻擊流程檢視,而 MITRE ATT&CK 框架則提供了一套更細緻的攻擊戰術與技巧的對應矩陣。兩者併用,可強化網路資安的偵測、 事故應變與持續改善。
全方位網路攻擊鏈與其他模型
所謂全方位網路攻擊鏈,就是將 Lockheed Martin 的模型與 MITRE ATT&CK 的手法結合起來,更有效掌握現代化攻擊的複雜細節,尤其是進階持續性滲透攻擊 (APT)。它擴大了攻擊鏈的涵蓋範圍,從一開始的突破防線,到後續的橫向移動與登入憑證竊取,為資安人員提供更完整的地圖來偵測並阻止入侵。
網路攻擊鏈與其他模型的差異:比較表
框架
焦點
優勢
網路攻擊鏈
以線性階段來呈現
攻擊的步驟
容易理解、提早攔截攻擊。
MITRE ATT&CK
手法與技巧的對應矩陣
非常詳盡,可支援威脅追蹤。
全方位網路攻擊鏈
結合兩種方法
涵蓋 APT 攻擊生命週期,支援全方位防禦。
如何阻斷網路攻擊鏈
想要阻止網路攻擊,通常需要發掘並阻斷攻擊鏈中的一個或數個階段。這種多層式方法可降低駭客的成功率,而且萬一他們已經突破了第一道防線,也可以降低損害。
網路攻擊鏈的手法與防範手段
攻擊鏈階段
常見攻擊/手法
典型/最佳防範手段
漏洞攻擊階段
攻擊軟體漏洞、使用登入憑證發動攻擊。
端點防護 (EPP/EDR),偵測及攔截惡意動作。
安裝階段
惡意程式會安裝後門程式、勒索病毒、木馬程式。
應用程式控管與沙盒模擬分析,攔截未知或可疑的安裝。
將網路攻擊鏈應用在網路資安的效益
降低資安事件成本:早期偵測意味著在攻擊升高之前預先攔截,進而節省復原及法律的成本。
支援合規:有助於證明已採取主動措施來符合 GDPR、NIS2 及類似規範。
提升 SOC 與 IR 準備度:為資安團隊提供一套威脅追蹤與資安事故應變的結構化方法。看看這如何與零信任網路結合。
強化您在整個網路攻擊鏈中的防禦
了解網路攻擊鏈,有助於預測及阻斷攻擊的每一階段,從最初的偵查到資料外傳。但光知道駭客的手法還不夠,還需要即時偵測、回應及適應它們的能力。
TrendAI Vision One™ 能提供全方位的可視性、強大的數據分析,以及延伸式偵測及回應 (XDR) 並涵蓋您的整個環境。藉由交叉關聯攻擊鏈每一階段的活動,您就能更早攔截威脅、縮短威脅滯留時間、安心保護關鍵資產。
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.