为什么事件响应必须采用杀伤链视角

事件响应 (IR) 确实在发展进步,但仍旧难以超越单个事件角度看清全局。IR 工具固然行之有效,尤其是在编排和自动化技术的发展将很多 IR 工具转变成安全编排、自动化与响应 (SOAR) 工具之后,但这些工具却受到视野狭窄的限制。

由于大型网络攻击基本不会是单一事件,采取基于杀伤链的视角明显成为 IR 演进之路的下一个站点。杀伤链更像是一系列事件的时间线,这些事件往往以不那么明显的方式联系在一起。

MITRE 基于杀伤链概念创建了 ATT&CK 矩阵,可帮助安全运营团队加速威胁检测与响应。具体到事件响应上,为什么从杀伤链的角度概念化网络攻击是检测和中断重大攻击的最佳方式呢?

为说明重大网络攻击通常不是单一事件,而是一系列朝向目标迈进的攻击动作,我们可以先来解析下最近的一起重大网络犯罪活动:FIN7 网络犯罪组织利用 CARBANAK 后门制造的银行劫案。

这一系列让犯罪黑客赚得盆满钵满的银行劫案,可不是入侵银行网络从 ATM 机上取钱那么简单,都是时间跨度很长的操作,有时甚至持续数月。2018 年一家欧洲银行遭到的攻击就涉及鱼叉式网络钓鱼、漏洞扫描、域控制器入侵、Cobalt Strike Beacon、主机入侵、远程访问、信息渗漏等等。

执行所有这些动作的时候,攻击者相当专业地保持了低调,极端难以检测。绝大部分黑客操作选择正常上班时间执行,混入银行常规业务活动当中。但某些黑客活动,比如数据渗漏,却在晚间和周末进行,且采取短时会话方式,避免出现流量高峰引起银行职员注意。

很明显,对付CARBANAK 这样的高级持续性威胁,从基于事件的角度检测和响应并非理想方式。鉴于攻击者手法高端,他们的很多动作可能单独看来都是合法的。只有放在鱼叉式网络钓鱼攻击杀伤链上下文中观察,其恶意目的才会显现。

从传统的事件响应角度看,封锁被标记动作就是最终目标。于是,发现一封鱼叉式网络钓鱼邮件,标记之,封禁发送方,完事。但实际上,这么做并未解决攻击中的其他元素,攻击仍在进行。很可能有其他十几封邮件躲过了检测,而你压根儿没想着去找出它们。若采取杀伤链视角,你会意识到,这是遭遇了鱼叉式网络钓鱼攻击,得开始查找杀伤链中的其他环节。基于那封已检测出的恶意电子邮件,你可以搜索发往潜在鱼叉式网络钓鱼目标的其他电子邮件。只要再找到一封,你就可以根据攻击者的下一个目标找寻这波攻击的其他踪迹。采用该框架,防御者可绘制出一张包含很多事件、攻击指标、终端和外部实体的关联网。当攻击链从该关联网中呈现出来的时候,防御者也就有了抢在攻击者触碰最终目标之前掐断该攻击链条的绝佳机会。

随着 IR 技术的发展,“事件响应” 这个词就越来越不恰当了,因为事件响应不再是纯被动响应过程。IR 一直以来担负的是减小攻击影响、了解攻击具体情况和修复被利用漏洞的任务。但现在,从攻击链的角度出发,“事件” 可能只是攻击中的一小部分,防御者有机会在伤害造成前主动介入。

对手看起来似乎总是魔高一丈,基于事件的响应、基于特征码的检测,以及其他传统安全方法永远不能完全弥补该差距,无论这些传统方式执行得有多好。安全团队需融入基于意图的响应、基于行为的检测,从杀伤链的角度出发,领先对手一步。支撑这一转变的技术正在兴起,事件响应的未来甚为明朗。

(0)

相关推荐

  • 网络安全攻防:APT攻击特点

    一次性付费进群,长期免费索取资料. 回复公众号:微信群 可查看进群流程. 微信公众号:计算机与网络安全 ID:Computer-network 01 什么是APT攻击 APT(Advanced Per ...

  • 清晨碎语 | 闲话历史学习(20210516)

    前几天,根据要求,通过网络学了几节党史讲座. 党校教授讲的,很不错. 听到了一些以前不了解的东西. 比如一大一些分量很重的同志为啥没有出席会议,党的生日为啥是七一而不是开会的日子,下半阶段的会议为啥去 ...

  • 网络钓鱼攻击非常容易构建

    ◤ 01 以人为目标,而不是IT基础设施 从历史上看,许多网络攻击往往以攻击关键信息基础设施为目标,需要专业知识来熟练地实施欺骗,使用户相信攻击者是系统用户或熟人. 但是,网络钓鱼攻击是一种侧重于针对 ...

  • 从杀伤链到杀伤网——全域作战视角下的杀伤链战略

    1996年,美国前空军参谋长罗纳德·福格尔曼将军在空军协会研讨会上提出杀伤链概念-在打击一个目标的过程中各个相互依赖的环节构成的有序链条,将作战分为发现(find).定位(fix).跟踪(track) ...

  • 下一代网络靶场:将事件响应演习带入云端

    HW期间,为防范钓鱼,即日起FreeBuf将取消投稿文章的一切外部链接.给您带来的不便,敬请谅解~ IBM X-Force始终秉承"以事件响应为中心",使客户始终处于网络安全体验的 ...

  • 美国空军的武器功能分解和杀伤链

    国2021 年 5 月 26 日 雷·奥尔德曼 美国太平洋舰队无人系统集成战斗(UxS IBP) 21 的照片,此模式集成了有人和无人能力以产生作战优势.(美国海军首席大众传播专家 Shannon R ...

  • 论文故事 | 从全球价值链视角重新理解地理距离与国际贸易之间的关系

    ISSN 1005-3425 CN42-1348/F 双月刊 本次为大家带来的是<经济评论>2021年第3期的第5篇论文<地理距离如何影响全球价值链合作:理论模型与国际经验>, ...

  • 美军通过“橙旗”“绿旗”演习联合测试自主性集成和超远距离杀伤链集成

    2021年6月24日,美军位于加利福尼亚州爱德华兹空军基地的空军测试中心第412测试联队主导的"橙旗21-2"演习(Orange Flag)与远在2000多英里外的佛罗里达州埃格林 ...

  • 浅谈采用区块链技术 解决应急管理保障体系

    金任群先生 西安交通大学EMBA,商务部电商协会副会长.自二零一一年一月起担任中通快递集团服务和支持副总裁.自二零零九年六月至二零一零年十二月担任天天快递副总裁,自二零零六年九月至二零零九年五月担任申 ...

  • 《作战概念探析》之二十七:杀伤链的结构

    杀伤链的结构 杀伤链的结构,可用锁链式结构和珠链式结构来描述.两种链式结构的共同特点均为"闭合",这也是杀伤过程闭合的必然要求. 所谓的"锁链式结构",作战行动 ...

  • 【军事观点】美军空战场杀伤链发展与启示

    简介 本文研究了美军空战场杀伤链的概念.发展历程.平台构成.职责.指挥关系和工作流程,并针对空中作战典型任务流程,分析了空战场杀伤链各环节的主要工作及其信息流程.基于空对空和空对地杀伤链工作机制,阐述 ...

  • 洛克希德·马丁定义的“杀伤链”

    对信息安全专家来说,用洛克希德-马丁公司的网络杀伤链(Kill Chain,也称网络攻击生命周期)来识别和防止入侵的方法可能并不陌生.然而,攻击者始终在改进攻击手段,这可能要求企业重新审视网络杀伤链. ...