谈谈打破网络攻击生命周期

admin
admin
admin
104722
文章
87
评论
2023年2月21日12:37:37评论20 views字数 2031阅读6分46秒阅读模式

 

 

        

 

背景

当网络的攻击者通过攻击技术手段和制定战略来渗透公司的网络并渗透数据时,他们一般会遵循构成攻击生命周期的一系列阶段。网络攻击者要成功完成对公司网络和数据的攻击,他们必须在每个阶段取得进展的前提下逐步推进。在整个攻击生命周期的任何时候阻止攻击者,都会打乱和打破攻击者的攻击链。

为了保护公司的网络和数据免受攻击,必须在每个阶段进行预防,以阻止攻击者在组织内访问和横向移动或窃取敏感数据的能力。

以下是攻击生命周期的6个不同阶段,以及在每个阶段可采取安全对抗方案来防止攻击。

 

侦查阶段

这是网络攻击生命周期的第1阶段,网络攻击者会仔细计划其攻击方法。他们会确定和选择好可以实现攻击的攻击目标。攻击者一般会通过网络上公开来源(如 Twitter、LinkedIn和企业网站)收集情报。他们还将扫描目标网络、服务和应用程序中可以利用的漏洞,找出可以利用的区域。在这个阶段,攻击者正在寻找基于人和系统视角的弱点。

这个阶段对抗手段:

1、对网络流量执行连续检查,以检测和防止端口扫描和主机扫描。

2、实施安全意识培训,以便用户注意应该和不应该发布的内容 - 敏感文档,客户列表,活动参与者,工作角色和职责(即在组织内使用特定的安全工具)等。


武器化和交付

经过前面的侦查阶段后,接下来网络攻击者将确定使用哪些方法来交付恶意有效负载。他们可能使用的一些方法是基于自动化工具,例如漏洞利用工具包,带有恶意链接的鱼叉式网络钓鱼攻击,或附件和恶意广告。

安全对抗方案:

1、全面了解所有流量(包括 SSL),并阻止高风险应用程序。将这些保护扩展到远程和移动设备。

2、通过 URL 筛选阻止恶意或有风险的网站,防止边界违规。

3、使用多种威胁防护规则(包括 IPS、反恶意软件、反 CnC、DNS 监控和接收器以及文件和内容阻止)阻止已知漏洞利用、恶意软件和入站命令和控制通信。

4、检测未知恶意软件并自动在全球范围内提供保护,以阻止新的攻击。

5、向用户提供有关鱼叉式网络钓鱼链接,未知电子邮件,有风险网站等的持续教育。


漏洞利用

在此阶段,网络攻击者通常会使用漏洞利用工具包或武器化文档,针对易受攻击的应用程序或系统部署漏洞利用。这允许攻击获得进入公司网络的初始入口点。

安全对抗方案:

1、阻止端点上的已知和未知漏洞攻击。

2、自动在全球范围内提供和采购新的网络安全保护,以阻止后续攻击。

 

恶意软件安装

一旦网络攻击者他们建立了初始立足点,攻击者将会安装恶意软件以进行进一步的操作,例如保持访问,持久性和升级权限。

安全对抗方案:

1、防止在端点、网络和云服务上安装已知或未知的恶意软件。

2、通过严格执行的用户访问控制建立安全区域,并对区域之间的所有流量进行持续监控和检查(零信任模型)。

3、限制用户的本地管理员访问权限。

4、培训用户识别恶意软件感染的迹象,并知道如何在发生某些事情时进行跟进。

 

命令和控制

网络攻击者通过安装恶意软件后,攻击者现在他们就拥有连接的两端:他们的恶意基础设施和受感染的计算机。他们现在可以主动控制系统,指示下一阶段的攻击。攻击者将建立一个命令通道,以便在受感染的设备与他们自己的基础设施之间来回通信和传递数据。

安全对抗方案:

1、阻止出站命令和控制通信以及文件和数据模式上传。

2、将恶意出站通信重定向到内部天坑,以识别和阻止受感染的主机。

3、通过 URL 筛选阻止与已知恶意 URL 的出站通信。

4、创建恶意域数据库,通过 DNS 监控确保全局感知和预防。

5、通过对应用程序实施精细控制以仅允许授权的应用程序,限制攻击者使用未知工具和脚本横向移动的能力。

 

目标行动

既然网络攻击者他们拥有控制力,坚持不懈和持续的沟通,他们将根据自己的攻击动机采取对应行动,以达到他们攻击的目标。这可能会导致是数据泄露,关键基础设施的破坏,破坏网络财产,或制造恐惧或勒索手段。

安全对抗方案:

1、使用威胁情报工具主动寻找网络上的入侵指标。

2、在安全运营中心 (SOC) 和网络运营中心之间架起桥梁,以实施正确的基于预防的控制措施。

3、监控和检查区域之间的所有流量,并对安全区域实施用户访问控制。

4、阻止出站命令和控制通信以及文件和数据模式上传。

5、通过 URL 筛选阻止与已知恶意 URL 的出站通信。

6、实施对应用程序和用户控制的精细控制,以在企业上实施文件传输应用程序策略,消除已知的存档和传输策略,并限制攻击者使用未知工具和脚本横向移动的能力。

小结

高级的网络攻击非常复杂,因为为了让对手成功,它们必须在攻击生命周期的每个阶段取得进展。如果他们无法成功利用漏洞,则他们无法安装恶意软件,并且无法获得对系统的命令和控制。

破坏网络攻击生命周期不仅依赖于技术,还依赖于人员和过程。人们必须接受持续的安全意识培训,并接受最佳实践教育,以尽量减少攻击超过第一阶段的可能性,并且如果攻击者在整个攻击生命周期中成功取得进展,则必须制定适当的补救流程和策略。


结束


 

谈谈打破网络攻击生命周期

如果觉得不错,请点个赞和在看


原文始发于微信公众号(安全架构):谈谈打破网络攻击生命周期

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月21日12:37:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谈谈打破网络攻击生命周期https://cn-sec.com/archives/1271424.html

发表评论

匿名网友 填写信息