背景
现代网络战需要深入了解攻击者策略和敏捷响应,以保护组织免受不断变化的威胁。通过这种方式,网络杀伤链提供了一个强大的框架来理解和对抗这些威胁,将攻击周期划分为不同的阶段。
该链的核心是侦察阶段,攻击者彻底搜索有关目标的信息。此阶段虽然是初始阶段,但却至关重要,因为它为攻击者提供了有关相关系统的基础设施和漏洞的基本见解。
本文探讨了这一步骤以及网络安全专业人员如何在可疑活动演变成更严重的威胁之前检测并阻止它。例如,通过使用 OSINT(开源情报)技术和网络流量监控,组织可以领先攻击者一步,保护其网络和敏感数据免受毁灭性的网络攻击。
什么是网络杀伤链?
首先,在深入研究之前,我们需要了解什么是网络杀伤链。
它就像一种破坏链,是从军事战略中提取的概念,由洛克希德·马丁公司(成立于1995年的航空航天产品制造商。世界上最大的军用产品生产商之一)开发,并被改编成网络安全模型一次攻击由 7 个阶段组成。一旦确定了攻击的阶段,安全操作员就可以进行干预,从而有助于打破攻击链。
目标是预测攻击者的行为并减少攻击的影响,在威胁仍处于早期阶段时识别威胁。
在这篇文章中,我们将重点关注第一阶段,侦察。
值得注意的是,与传统战争一样,成功的网络攻击通常始于非常有效的信息收集,而侦察是网络杀伤链的第一步。
通过这种方式,可以获得目标的大量数据和相关信息,从而进入链中的下一个执行步骤。
安全专业人员和攻击者都可以在侦察阶段采用类似的技术来识别威胁,特别是通过使用 OSINT(开源情报)
为了更好地理解,让我们首先概念化实践:
OSINT(即开源情报)是从公共来源收集和分析信息,例如社交媒体、在线论坛、公共数据库、政府记录和新闻网站。
除了开源情报之外,他们还可以主动搜索潜在威胁,例如威胁狩猎,它由一种网络安全方法组成,旨在识别组织环境内部或外部的恶意活动。
如果正确并结合使用这两种技术,则可以成为识别网络杀伤链侦察阶段要素的强大工具。
我们将讨论攻击者处于该链初始阶段的两个实例,以及网络防御专业人员如何检测他们的行为并迅速做出响应,以防止进展到第二阶段(武器化)。
在第一种情况下,我们假设有一个攻击者,我们将其称为X 先生,他选择一家银行机构作为策划攻击的目标。利用 OSINT 技术,他开始对该银行的 LinkedIn、Facebook、Twitter 和 Instagram 等社交网络进行广泛研究,目的是寻找有关该公司员工的信息。它甚至搜索具有特定职位的员工,例如系统管理员或高级管理人员,以识别鱼叉式网络钓鱼攻击的潜在目标。然后,他开始搜索公共记录,例如域名和财产记录,目的是获取有关公司所有者、实际地址和法律历史的数据。最后,X 先生对该银行的网站进行了分析,以检查可能的员工、合作伙伴和客户名单,以及有关所提供产品和服务的详细信息。
然而,X 先生并不知道 John 的存在,John 是一位来自上述银行机构的细心且坚持不懈的威胁猎手,他不断地在另一边采取行动,并且已经实施了一些检测技术,并通过这些技术注意到了一些值得关注的动作。更仔细的分析。约翰使用社交媒体监控工具来跟踪对公司、员工和高管的提及,并使用在线搜索活动分析工具来搜索可能与他工作的公司相关的关键词。有趣的是,这些是用于营销目的的资源,但它们可以提供重要的数据。他还积极搜索可疑消息应用程序组(例如 Telegram)中提及该公司名称的内容,并发现对该机构的多次暗示与营销工具观察到的对该公司兴趣增加的同一时期一致。
在第二种假设情况下,X 先生使用 Nmap 等工具来识别公司系统中哪些端口是开放的。请记住,此类工具将数据包发送到各种端口并分析响应以确定它们是否打开,从而检查是否存在可在网络杀伤链演变的后续步骤中利用的任何漏洞。
nmap 执行的端口扫描示例。
它使用网络流量监控工具(例如wireshark)来识别表明端口或服务扫描的模式。
该工具适用于数据包。这是监控网络的方式之一,甚至是最详细的。除了所使用的内容和协议之外,该工具还可以发现源地址和目标地址以及各种其他信息。
John 还使用了带宽分析方法,重点关注通过网络传输的数据量,以便检测消耗更多带宽的流量峰值等。
流量也很重要,因为在这种形式的监控中,其想法是使用有关流量的汇总信息,收集聚合数据而不是单个数据包。这包括以下记录:数据量、源和目标 IP 地址以及通信端口。
通过这种方式,John 注意到,例如,对多个连续或顺序端口的大量请求触发了扫描信号。
因此,他立即启动了隔离可疑流量的程序:实施新的防火墙规则或在入侵检测和防御系统中阻止来自参与端口扫描的IP地址的流量,以防止攻击者继续并发展其恶意活动。
案例示例
假设一家公司(我们称之为“ CompanyX ”)在竞争激烈的行业中运营,并提供大量信息,包括财务数据、知识产权和个人客户信息。意识到保护这些数据免受网络威胁的重要性,CompanyX 的网络安全团队实施了数据泄漏检测系统。
该系统持续运行,同时监控各种互联网渠道,包括暗网、地下论坛、文件共享网站和社交网络,寻找可能表明数据泄露的可疑活动迹象。它使用先进的算法来识别与非法销售或共享相关信息相关的行为模式。
某一天,CompanyX 的数据泄漏检测系统检测到地下论坛上的一个帖子引起了网络安全团队的注意。该帖子表明,绰号为“ DarkHacker123 ”的用户正在出售属于 CompanyX 的大量机密数据。这些数据包括员工电子邮件地址、财务信息和客户联系方式。
面对这一发现,CompanyX 的网络安全团队立即采取行动。他们开始详细调查,以验证泄露数据的真实性,并确定攻击者如何获取这些数据。这可能涉及分析泄露的数据以识别行为模式,检查网络安全日志以确定可能受到损害的入口点,以及与适当的当局沟通以报告事件。
与此同时,网络安全团队立即采取措施,减轻数据泄露造成的损失。这可能包括更改访问凭据、执行数据安全策略、联系受影响的客户以提醒他们该事件,以及与业务合作伙伴协调以确保在其运营中实施额外的安全措施。
事件如何与杀伤链的侦察阶段关联?
正如之前在网络杀伤链中所说,侦察阶段是攻击者在实施实际攻击之前寻求获取目标信息的第一个阶段。在此阶段,攻击者试图了解公司的基础设施、识别其漏洞并制定有效的攻击计划。
在提供的示例中,名为“DarkHacker123”的攻击者正在进行侦察活动,同时尝试收集有关 CompanyX 的敏感信息。这种信息收集至关重要,以便攻击者能够更有效地计划和执行有针对性的网络攻击。
因此,很巧的是,上述攻击者一获得数据,就开始在秘密论坛上提供这些数据,甚至还没有发展到网络杀伤链的下一阶段。
结论
及早发现网络杀伤链早期阶段的侦察活动对于加强组织的网络防御至关重要。通过将开源情报技术与网络流量监控相结合,网络安全专业人员可以识别可疑的行为模式并迅速采取行动阻止攻击企图。
通过实际示例,例如利用社交媒体监控工具来查明攻击者资料以及对网络流量进行深入分析以检测端口扫描,我们说明了安全专业人员如何领先攻击者一步。
在日益复杂和具有威胁性的情况下,组织必须投资于主动网络防御策略,并准备好面对不断发展的数字环境的挑战。通过采取综合的网络安全方法,我们可以保护我们的系统和数据免受日益增长的网络威胁,并确保数字世界中业务运营的弹性。
原创文章,作者:SnowFlake,如若转载,请注明出处:https://www.cncso.com/identifying-hacking-in-the-early-phase-of-the-cyber-kill-chain.html
