美国军工企业洛克希德·马丁公司认为,网络攻击是利用网络存在的漏洞与安全缺陷,根据一系列计划流程实施的攻击活动。基于这一考虑,该公司于2011年提出了具有普适性的网络攻击流程与防御概念。这一网络攻击流程与防御概念参考军事上的“杀伤链”概念,使用了“网络杀伤链”一词。杀伤链是指从对军事目标的探测到破坏的整个处理过程,网络攻击也有类似的、连续的过程。若防御者能够成功阻止某一阶段的攻击,那么攻击者下一个阶段的攻击活动就会受到相应的限制。
网络空间的对抗正在成为高技术战争的一种日益重要的作战样式。洛克希德·马丁公司提出的网络杀伤链将网络攻击流程细分为侦察、武器化、散布、恶用、设置、命令与控制、目标达成等七个阶段 [1] 。
(1)侦察阶段:攻击者为达成目标,进行探测、识别及确定攻击对象(目标)的过程。在这个阶段,可通过网络收集与目标相关的情报。
(2)武器化阶段:通过侦察阶段确定目标后,准备网络武器的阶段。网络武器可由攻击者直接制造,也可利用自动化工具生成。
(3)散布阶段:将制造完成的网络武器向目标散布的阶段。使用最为频繁的散布手段有邮件附件、网站、移动存储介质等。
(4)恶用阶段:网络武器散布到目标系统后,启动恶意代码的阶段。在大部分情况下,往往会利用应用程序或操作系统的漏洞与缺陷。
(5)设置阶段:攻击者在目标系统中设置特洛伊木马、后门等,一定期限内在目标系统营造活动环境的阶段。
(6)命令与控制阶段:攻击者建立目标系统攻击路径的阶段。在大部分情况下,智能型网络攻击并非单纯的自动攻击,而是在攻击者的直接参与下实施的。一旦攻击路径确定后,攻击者将能够自由接近目标系统。
(7)目标达成阶段:攻击者达到预期目标的阶段。攻击目标呈现多样化的特点,具体有侦察、敏感情报收集、破坏数据的完整性、摧毁系统等目标 [2] 。
在网络杀伤链模型中可以看出,被攻击方越早发现并阻止攻击,由攻击带来的修复成本和时间消耗就越低。然而实际中的攻击策略并不是一成不变的,不是所有的攻击都严格按照这七步执行。为了识别和阻止网络攻击,提出了反杀伤链模型。网络反杀伤链模型主要有发现、定位、跟踪、瞄准、打击、评估这六个阶段。
(1)发现:该阶段的主要任务是构建完整的检测体系,只有通过基于特征匹配、虚拟执行、异常行为的安全检测,才能构建有效的反杀伤链。对于大型企业而言,发现能力是先决条件。
(2)定位:定位包含了时间、空间两个层面。时间定位用于判断攻击发起、持续的时间,空间定位用于判断攻击者所处的位置。
(3)跟踪:在完成定位后,防御者需要根据定位信息,判断是否进行跟踪。一般对大型企业而言,APT(Advanced Persistent Threat)类攻击在杀伤链的第四到第七阶段之间,仍有一定的时间窗口,因此只要时间、条件允许,防御者可以进行跟踪,以获取更多的入侵信息,从而进一步完善整个杀伤链场景。跟踪可提高后续瞄准、交战时的反击准确度和力度,让对手前功尽弃,至此再也无从下手。
(4)瞄准:瞄准阶段属于打击前的准备阶段,该阶段的主要任务是要确定选择和制作何种工具进行反击,确定打击点。该阶段类似于杀伤链第二步的武器化阶段,当然,这个武器不再是攻击性武器,而是防御性武器。
(5)打击:在完成瞄准后,为拦截入侵者的网络攻击,可实施打击。打击阶段是反杀伤链中的直接和关键的一步,决定了整个反杀伤链的成败。将攻击者所设计的恶意程序清除,采取访问控制措施将攻击者拦在门外。如果前期得到足够多的信息,还可以溯源或进行“反向打击”。
(6)评估:对打击效果进行评估主要由两个方面组成,一是要看实施打击的有效性,也就是本次打击能否完全阻拦攻击者的各种恶意行为,让其杀伤链失效;二是通过反杀伤链行动,分析场景,总结防护经验,加强并优化系统的安防手段,使攻击者今后难以实施入侵行为。
反杀伤链一般在杀伤链的第三到第六阶段起作用。要实现反杀伤链,还需要情报、监视、指挥、控制与协同等关键技术的支撑。