經(jīng)典殺傷鏈對內(nèi)部威脅無效 對付新型殺傷鏈需要主動出擊
大多數(shù)安全人員對殺傷鏈模型并不陌生。該模型由洛克希德馬丁公司于2011年創(chuàng)建,描述了壞人偷盜敏感信息通常會經(jīng)歷的7個階段:偵察、武器化、投放、漏洞利用、安裝、命令與控制、在目標(biāo)上操作。安全分析師和調(diào)查人員的目標(biāo),就是要盡早趕在敏感數(shù)據(jù)被帶出門前撕裂這個鏈條。該模型對某些攻擊類型有效,但并不適用于其他多種攻擊類型。
現(xiàn)代攻擊方式更為高端復(fù)雜,攻擊者可能來自內(nèi)部和外部,或許是心懷惡意的雇員,可能是被感染的用戶,又或者是徹底的外部黑客。經(jīng)典殺傷鏈模型是為公司企業(yè)對抗外部威脅準(zhǔn)備的,一些公司企業(yè)試圖將該模型套用到其他類型的威脅上,比如內(nèi)部人威脅,但因內(nèi)部人威脅的行為模式與外部人不同,該經(jīng)典模型完全沒有效果。
被動vs主動
殺傷鏈模型從本質(zhì)上就是被動型的。該模型的目標(biāo)是在傷害造成前阻止正在進(jìn)行中的潛在攻擊。傳統(tǒng)殺傷鏈與該目標(biāo)一致,但用于惡意內(nèi)部人之類威脅的模型還有其他樣式,也符合被動網(wǎng)絡(luò)風(fēng)險模型。對抗威脅特別有效的另一網(wǎng)絡(luò)風(fēng)險模型是主動式的。該模型突破傳統(tǒng)思路,尋求在攻擊發(fā)生前就減小攻擊界面。我們可以首先看幾個被動網(wǎng)絡(luò)風(fēng)險模型,主要分為兩大類:
(1) 離職風(fēng)險:準(zhǔn)備離職的員工會提升數(shù)據(jù)丟失風(fēng)險。他們看起來不甚高明,離職過程中也不會表現(xiàn)出太多引人注意的行為。殺傷鏈風(fēng)格的被動風(fēng)險模型從檢測早期指標(biāo)開始,比如說,某雇員表現(xiàn)與平時有異,經(jīng)常訪問求職網(wǎng)站什么的。不過,即便雇員訪問此類網(wǎng)站,也不一定就代表著他們已對公司構(gòu)成威脅。只有當(dāng)他們進(jìn)入下一階段,比如在奇怪工作時間上傳較大加密文件到云存儲空間,才會轉(zhuǎn)變?yōu)闈撛谕{。
這兩個階段的結(jié)合——反復(fù)訪問求職網(wǎng)站+在奇怪的工作時間上傳大文件,就是該員工已成離職風(fēng)險需要密切關(guān)注的指征了。下一階段涉及該員工積極嘗試從公司網(wǎng)絡(luò)中拉出敏感數(shù)據(jù)。他可能會試圖將敏感數(shù)據(jù)用電子郵件發(fā)送到外部地址,被封之后還繼續(xù)嘗試其他方法,直到達(dá)成目的。
該殺傷鏈風(fēng)格風(fēng)險模型的目標(biāo),是在數(shù)據(jù)滲漏發(fā)生前識別出成為離職風(fēng)險的人并著手處理。或者,即便他們真的滲漏數(shù)據(jù)了,也要在對公司造成真正傷害前發(fā)現(xiàn)滲漏行為并加以阻止。
(2) 長期內(nèi)鬼:與離職風(fēng)險不同,長期內(nèi)鬼是更加復(fù)雜的一類內(nèi)部人,他們沒有離開公司的意愿,會反復(fù)找尋任何他們能染指的敏感數(shù)據(jù),用以出售盈利抑或危害公司。公司企業(yè)看不到這些員工登錄求職網(wǎng)站,但他們會訪問能讓他們規(guī)避網(wǎng)絡(luò)代理的那些網(wǎng)站。此類網(wǎng)站能讓他們隱蔽地跳轉(zhuǎn)到暗網(wǎng),繞開安全控制,轉(zhuǎn)移數(shù)據(jù)。
該殺傷鏈的下一階段,是長期內(nèi)鬼持續(xù)嘗試登錄自己通常不具有權(quán)限的那些系統(tǒng)。他們靜靜地?fù)u晃不應(yīng)打開的門,探查不屬于自己/自己同事/所處團(tuán)隊的角色應(yīng)該知道的敏感數(shù)據(jù)。
訪問可疑網(wǎng)站+嘗試登錄權(quán)限范圍外的系統(tǒng),就是該員工可能是長期內(nèi)鬼的良好指標(biāo)了。下一階段就到了這名員工真正展開數(shù)據(jù)滲漏的時候。比如說,經(jīng)常性加密少量敏感數(shù)據(jù)并滲漏到外部網(wǎng)絡(luò)。將數(shù)據(jù)分散成小量多批滲漏的做法旨在規(guī)避檢測,而加密數(shù)據(jù)則是為了讓公司更難以看出里面到底隱藏了什么。
顯然,公司的目標(biāo)是要在內(nèi)鬼進(jìn)行到最后的滲漏階段之前就加以阻止。該殺傷鏈顯示出了事件的發(fā)展進(jìn)程,讓公司企業(yè)可以在傷害造成前扼住威脅。
內(nèi)部人威脅模型是一連串被動事件的例子。很多公司嘗試將之套入最初的經(jīng)典殺傷鏈連模型中,但往往發(fā)現(xiàn)自己需要跳過幾個階段,就好像是在把方形的楔子硬敲入原型的孔洞似的,根本不合套。利用殺傷鏈概念無可厚非,但成功的關(guān)鍵在于要足夠靈活,適應(yīng)當(dāng)前復(fù)雜的威脅態(tài)勢。
想要跨越到主動網(wǎng)絡(luò)風(fēng)險管理,不妨考慮用對抗勒索軟件的預(yù)測模型。該鏈不去查找正在進(jìn)行中的威脅的各項指標(biāo),而是先識別出哪些機(jī)器、應(yīng)用和系統(tǒng)易遭受勒索軟件攻擊,然后確定出其中哪些存有敏感數(shù)據(jù)。此后,公司企業(yè)就能很容易地了解哪些資產(chǎn)需要更好地修復(fù)或應(yīng)用更嚴(yán)密的安全控制措施了,而最終將會識別出到底哪臺機(jī)器正被攻擊,他們的響應(yīng)效果又如何。綜合起來,這種做法能夠很有遠(yuǎn)見地減小攻擊界面,領(lǐng)先攻擊者一步。
被動式殺傷鏈模型是要在為時已晚之前發(fā)現(xiàn)威脅并阻止之;主動式模型則是在攻擊襲來前減少攻擊機(jī)會。如果公司企業(yè)在應(yīng)用經(jīng)典殺傷鏈模型之外還能采納其他模型,將能以更少的人力和時間成本取得更大的威脅追捕成果,在攻擊者造成傷害前預(yù)先束縛住他們的手腳。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
