Applying Security Awareness to the Cyber Kill Chain
原文链接:https://www.sans.org/security-awareness-training/blog/applying-security-awareness-cyber-kill-chain
作者:Lance Spitzner
关键词:Cyber Kill Chain, Security Awareness Planning
May 31, 2019
您可能熟悉城堡和护城河的类比。它通常用作组织在网络安全“黑暗时代”中使用的通用模型。他们将英勇地保护自己的组织,在他们的网络周围建立一个具有象征意义的网络护城河。但是随着时间的流逝,人们逐渐意识到,将防御者拒之门外的单一防御措施(认为是防火墙)并没有达到他们期望的效果。随着组织的成熟,他们寻求可以使他们更好地了解网络攻击者的运作方式和更好的防御方式的模型。进入:网络杀伤链模型。
什么是网络杀伤链模型?
“杀伤链”是军方最初用来定义敌人用来攻击目标的步骤的术语。 2011年,洛克希德·马丁(Lockheed Martin)发布了一篇定义网络杀伤链的文章。其概念与军方模型相似,它定义了网络攻击者在当今基于网络的攻击中使用的步骤。从理论上讲,通过了解每个阶段,防御者可以更好地识别和阻止攻击者处于各个阶段。您可以越多地拦截坏人,就越有机会拒绝他们的目标或迫使他们发出足够的声音以使您更容易发现它们。
自2011年以来,已经发布了各种版本的“网络杀伤链”,包括AT&T的内部网络杀伤链模型和统一杀伤链。但是,我发现洛克希德·马丁(Lockheed Martin)模型在关注人为因素及其如何解决网络杀伤链模型方面提供的信息最丰富。
迄今为止,绝大多数组织和安全专业人员已经采取了一种技术方法来利用杀伤链模型,而忽略了人为方面,我认为这是严重的过失。组织错过了巨大的资源,可以使他们更好地保护,检测和响应当今的相关网络威胁。
安全意识不过是一种控件,就像加密,密码,防火墙,DLP或防病毒一样。使安全意识与众不同的原因在于,它适用于并管理人为风险。随着安全意识考虑了人为因素,人们常常感到它不适用于网络杀伤链。这是错误的。
使用网络杀伤链模型消除网络攻击:
网络杀伤链1——侦察Reconnaissance:
攻击者在实际攻击开始之前就已收集有关目标的信息。许多安全专家认为,此阶段无法采取任何措施,但这是完全错误的。网络攻击者经常通过搜索诸如LinkedIn或Instagram之类的互联网站点来收集有关其预定目标的信息。他们还可以尝试通过呼叫员工,电子邮件交互或垃圾箱潜水等技术来收集信息。
这是安全行为可以产生重大影响的地方。有意识的员工会知道他们是目标,并限制了他们公开分享的内容。他们将在共享任何敏感信息之前通过电话对用户进行身份验证。他们安全地处置和切碎敏感文件。这是否完全抵消了这个阶段?绝对不是,但是话又说回来,没有任何控件可以完全做到这一点。但是,这可能会大大削弱攻击者收集信息的能力。训练有素的员工队伍可以报告可疑活动,例如打零工打听电话以获取更多信息。
网络杀伤链2——武器化 Weaponization :
网络攻击者不会与目标受害者互动。相反,他们制造了攻击。例如,攻击者可能会创建受感染的Microsoft Office文档以及自定义的网络钓鱼电子邮件,或者他们可能会创建一种新的自我复制恶意软件,并通过USB驱动器进行分发。除非网络攻击者对预期目标进行一些有限的测试,否则几乎没有安全控制措施(包括安全意识)可能会影响或抵消此阶段。
网络杀伤链3——传递 Delivery:
将攻击传播给预定的受害者。例如,这将是发送实际的网络钓鱼电子邮件或在本地咖啡店或咖啡馆分发受感染的USB驱动器。尽管整个技术行业都致力于阻止这一阶段,但人们也扮演着至关重要的角色。
人们虽然不善于记住很多新信息,但他们却善于适应。他们通常会遵循“这似乎不正确”的本能。此外,2019年Verizon DBIR发现密码和网络钓鱼是两个主要的攻击媒介,都涉及人员。因此,在包括许多新的或自定义的攻击(例如CEO Fraud或Spear Phishing)中,不是人而是技术才是检测和阻止其中许多攻击的第一道防线。此外,人们可以识别并阻止大多数技术甚至无法过滤的攻击,例如通过电话进行的攻击。受过训练的劳动力会大大减少这种攻击面。
网络杀伤链4——漏洞利用Exploitation:
这意味着攻击的实际“爆炸”,例如系统上运行的漏洞利用。受过培训的人员可以确保他们正在运行的系统是最新的。他们确保已运行并启用了防病毒功能。他们确保与他们一起使用的所有敏感数据都在安全的系统上,从而使它们更安全地受到利用。
网络杀戮链5——安装Installation:
攻击者在受害者上安装恶意软件。并非所有攻击都需要恶意软件,例如CEO欺诈攻击或收集登录凭据。但是,就像涉及恶意软件时的利用一样,训练有素且安全的员工队伍可以帮助确保他们使用已更新,最新的并且启用了防病毒功能的安全设备,这将阻止许多恶意软件的安装尝试。另外,这是我们开始超越“人工防火墙”并利用“人工传感器”的地方。检测受感染系统的关键步骤是查找异常行为。谁比每天使用该系统的人更能发现异常行为?
网络杀戮链6——命令与控制Command & Control:
这意味着一旦系统受到威胁和/或被感染,该系统必须调用命令与控制(C&C)系统,以使网络攻击者获得控制权。这就是为什么“狩猎hunting”变得如此流行。他们正在寻找类似这样的异常出站活动。
网络杀戮链7——针对目标的行动Actions on Objectives:
网络攻击者建立对组织的访问权限后,便可以执行行动以实现其目标。动机因威胁者而异。它可能包括政治,经济或军事利益,因此很难定义这些行动将是什么。
再次,在这里,受过培训的人工传感器员工遍布整个组织,可以极大地提高您检测和响应事件的能力,从而极大地提高应变能力。
此外,安全的行为将使成功的对手更加难以在整个组织中枢转并实现其目标。使用强而独特的密码,在共享敏感数据之前对人员进行身份验证或查看其上次登录等行为是许多行为中的一部分,这些行为使攻击者的生活更加困难,并导致更有可能被检测到。
安全意识计划可以提供什么帮助?
作为一个意识增强社区,让我们尝试仅从技术角度停止感知网络安全。在我看来,如此之多的组织未能投资于他们的员工,这几乎是犯罪的。我一次又一次地与世界各地的组织合作,分享有关如何阻止普通攻击者走上正轨的故事,特别是针对性攻击或个性化攻击。
只要我们继续忽略人为因素,而仅将技术用于我们的所有安全防御措施,我们将继续输掉网络战。
*此博客最初发布于2018年2月。已更新,以进一步关注组织如何利用和解决网络杀伤链模型,以减少人为风险因素。
