首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 将安全策略提升到一个新的水平

将安全战略提升到一个新的水平:网络杀伤链vs. 斜接丙氨酸&CK

信息安全
作者: 蒂莫西·刘
发表日期: 9月2日

在一个勒索软件和其他恶意网络攻击猖獗的时代, 加倍投入网络安全分析和战略从未像现在这样重要. 有两种模式可以帮助安全专业人员强化网络资源,抵御现代威胁和攻击:网络杀伤链(CKC)1 和斜接丙氨酸&CK框架.2

的纯种犬, 由洛克希德·马丁公司在十多年前开发, 提供了从最初的侦察到武器化和行动的网络攻击序列的高级视图. 虽然它被安全团队广泛使用,但它也有其局限性. 例如, 主机攻击行为不包括在模型中, 攻击者可能会绕过或组合多个步骤.3

较新的斜接丙氨酸&CK框架与CKC密切相关,但更侧重于抵御突发威胁的网络弹性. 这个开源项目还为跟踪主机攻击行为提供了大量支持. 这两个模型之间的差异可能会对最终的安全分析和策略的有效性和弹性产生巨大的影响.

这两个模型之间的差异可能会对最终的安全分析和策略的有效性和弹性产生巨大的影响.

网络杀伤链

CKC将攻击分为7个阶段:

  1. 侦察-识别漏洞、电子邮件地址和其他详细信息
  2. 武器化-构建有效载荷,例如网络钓鱼电子邮件或其他漏洞利用
  3. 交付-有效载荷是在侦察过程中被识别的目标
  4. 利用-易受攻击的设备或用户无意中执行负载
  5. 安装-安装了恶意软件继续执行攻击
  6. 指挥控制(C&C)-恶意软件发送秘密通信到C&C服务器,允许攻击者控制被破坏的资产
  7. 行动-恶意软件通过C&C服务器按照攻击者的指令运行

这7个阶段抽象并简化了攻击行为, 这允许安全团队按阶段对它们进行分类,而不是分析和防御单个攻击行为. 在CKC模型下分析和减轻攻击的典型过程可能包括:

  • 将攻击行为映射到杀伤链的各个阶段,并根据各个阶段的描述来理解攻击行为
  • 根据相应杀伤链阶段的建议,启动攻击行为的检测和缓解策略
  • 通过检测和缓解任务确定执行的优先级. 确定优先级至关重要,因为安全团队的资源通常是有限的.

预防和网络弹性的价值

执行安全任务时, 重要的是要记住,预防胜于发现. 预防策略旨在完全消除攻击,这样就不会对系统造成残留损害,也不需要进行清理. 然而, 只有在某些情况下才能在早期阶段进行预防, 比如在侦察时, 交付, 并利用. 在安装和C&C阶段, 恶意软件已经对系统造成了永久性的破坏, 所以预防是不可能的.

网络专业人士也应该牢记这句至理名言:“修复得越早,成本越低。.“网络弹性基础设施的响应协议更加敏捷和灵活. 在网络弹性环境中, 可以忍受一波又一波的威胁,并在早期减轻威胁,从而将破坏的总成本降至最低.

有人可能会问,“如何将多个攻击行为快速映射到正确的杀伤链阶段?这一点至关重要,但并不容易做到. 幸运的是, 许多安全产品支持CKC模型, 因此,检测到的攻击行为往往带有杀伤链阶段的标签. 这允许安全团队绕过映射攻击行为的繁琐任务,并快速转向缓解和清除策略.

CKC的局限性

当今的攻击利用网络上的加密, 使得通过网络本身检测攻击行为变得非常困难. 为了克服这个限制, 澳门赌场官方下载通常将主机安全产品与网络安全产品一起部署. 主机安全产品可能包括传统的防病毒程序, 端点检测和响应(EDR)解决方案或端点保护平台(epp). 许多组织还部署扩展检测和响应(XDR)解决方案, 从其他安全产品收集各种端点/网络行为和应用程序/服务日志进行综合检查.

正如前面提到的, CKC模型的一个缺点是它关注的是网络攻击行为, 但不包括主机攻击行为. 斜接丙氨酸&CK框架有助于克服这一限制.

斜接丙氨酸&CK框架

斜接丙氨酸&近年来,CK框架获得了大量的关注. 与CKC模型相比,它提供了3个主要的改进领域:

  1. 主机攻击行为的实质性覆盖
  2. 攻击行为的粒度描述
  3. 针对攻击行为的检测和缓解策略

斜接丙氨酸&CK引入了比CKC模型更精细地描述攻击行为的战术和技术的概念. 的攻击力&CK级包括侦察, 资源开发, 首次访问, 执行, 持久性, 和C&C.

斜接丙氨酸&CK扩大了CKC的行动阶段,包括7个新战术:

  1. 特权升级
  2. 国防逃税
  3. 凭据访问
  4. 发现
  5. 横向运动
  6. 漏出
  7. 影响

斜接丙氨酸&CK框架不仅描述了攻击行为,而且提供了检测和缓解的建议.4 与CKC相比,斜接丙氨酸&CK以更有组织的方式描述攻击方面. 缓解策略被单独标记,并可与斜接丙氨酸交叉引用&CK战术技术.

在斜接丙氨酸下分析和减轻攻击的典型过程&CK框架与CKC模型类似,包括:

  • 将攻击行为映射到斜接丙氨酸&CK战术和技术以及基于描述的理解行为
  • 采用斜接丙氨酸建议的攻击行为检测和缓解策略&CK框架
  • 通过检测和缓解任务确定执行的优先级

大多数安全产品支持斜接丙氨酸&CKC框架和CKC模型. 检测到的攻击行为被标记为斜接丙氨酸&CK框架技术标签.

使用斜接丙氨酸时的注意事项&CK

而斜接丙氨酸&CK框架提供了对CKC模型的改进, 最初,由于其对对手战术和技术的全面和不断增长的覆盖,实施起来可能具有挑战性. 有几个开源工具可用5 以帮助与斜接丙氨酸抗衡&CK的复杂性,使框架更容易接近, 特别是对于经验不足的安全分析师. 除了, 各种安全技术提供自动化,可以为安全人员减轻劳动密集型流程和程序的某些方面.

结论

斜接丙氨酸&CK框架扩展并扩展了CKC模型的功能. 它提供了大量的主机攻击行为,并为检测和缓解提供了更全面的描述和建议. 而受人尊敬的CKC为后来的方法论铺平了道路, 安全从业人员应考虑利用斜接丙氨酸&CK将安全策略提升到一个新的水平.

尾注

1  Dholakiya P.; “什么是网络杀伤链及其如何防范攻击, IEEE计算机协会
2  主教法冠。”澳门赌场官方下载应对".
3  Korolov, M.; L. Myers; “什么是网络杀伤链? 追踪网络攻击的模型,” 方案2022年4月14日
4  同前.
5  洛辛,P.; 使用Mitre ATT的挑战和好处&CK框架, TechTarget 搜索Security2019年4月

编者按

想了解更多作者对这个话题的看法,请收听“将安全战略提升到一个新的水平:网络杀伤链vs. 斜接丙氨酸&CKISACA的一集® 播客.

蒂莫西·刘

他是Hillstone Networks的联合创始人兼首席技术官吗, 领先的基础设施保护解决方案提供商. 他在技术和安全行业拥有超过25年的经验, 与财富500强澳门赌场官方下载和数据中心合作,在全球范围内主动防御网络攻击.