攻击链由攻击流程与防御概念构成。攻击流程分为侦察目标、制作工具、传递工具、触发工具、安装设置、命令与控制、目标达成等七个阶段。这七个阶段详细介绍如下:
1、侦察目标阶段
侦察目标阶段是攻击者为达成目标,进行探测、识别及确定攻击对象(目标)的过程。在这个阶段,可通过网络收集企业/机关网站、报道资料、招标公告、职员的社会关系网、学会成员目录等各种与目标相关的情报。
2、制作工具阶段
制作工具阶段是指通过侦察阶段确定目标后,准备网络攻击武器的阶段。网络武器可由攻击者直接制造,也可利用自动化工具来制造。
3、传递工具阶段
传递工具阶段是指将制造完成的网络攻击武器向目标散布的阶段。据洛克希德·马丁公司网络安全保障小组称,自2004年至2010年间使用最为频繁的散布手段有邮件附件、网站、USB等。
4、触发工具阶段
触发工具阶段是指网络攻击武器散布到目标系统后,启动恶意代码的阶段。在大部分的情况下,往往会利用应用程序或操作系统的漏洞及缺陷。
5、安装设置阶段
安装设置阶段是指攻击者在目标系统设置特洛伊木马、后门等,一定期限内在目标系统营造活动环境的阶段。
6、命令与控制阶段
这一阶段是指攻击者建立目标系统攻击路径的阶段。在大部分情况下,智能型网络攻击并非是单纯的自动攻击,而是在攻击者的直接参与下实施的。一旦攻击路径确立后,攻击者将能够自由接近目标系统。
7、目标达成阶段
这一阶段是指攻击者达到预期目标的阶段。攻击目标呈现多样化,具体来讲有侦察、敏感情报收集、破坏数据的完整性、摧毁系统等。
▼▼攻击链安全分析中的应用
攻击链在网络安全中应用广泛,在多源异构网络安全监测数据综合分析中,一方面可以依据当前安全事件阶段进行追踪溯源,另外一个方面可以利用攻击链模型对重大网络安全威胁进行及时预警,预测攻击者的下一步攻击计划,提前采取安全处置措施。
▼▼攻击阶段展示与关联分析
可以利用关联分析技术将每一个安全事件确定一个攻击阶段,攻击阶段之间也存在关联性,每个安全事件以攻击阶段来体现,通过攻击的目的地址来关联在时间轴上其他攻击阶段的告警。不但可以很好的确定安全事件的优先级,还可以方便地展示攻击时间与路径。
声明:本文来自微言晓意,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。