網(wǎng)絡空間是一個沒有硝煙的戰(zhàn)場，任何組織和機構在網(wǎng)絡空間內都是渺小和脆弱的個體，網(wǎng)絡攻擊的來源無法確定，發(fā)起攻擊的時間不可預見，要在這個戰(zhàn)場中安穩(wěn)生存實屬不易。所幸的是，網(wǎng)絡攻擊的手段都是類似的，有規(guī)律可循的。

　　美國最大的軍火商洛克希德馬丁公司(Lockheed Martin)提出的“網(wǎng)絡攻擊鏈”( Cyber Kill Chain)模型，也被稱為“網(wǎng)絡殺傷鏈”模型，其描述了一次完整的網(wǎng)絡攻擊需要經(jīng)歷七個階段，如圖所示：

圖1:“網(wǎng)絡攻擊鏈”模型

　　偵查目標(Reconnaissance)：偵查目標，充分利用社會工程學了解目標網(wǎng)絡。

　　制作工具(Weaponization)：主要是指制作定向攻擊工具，例如帶有惡意代碼的pdf文件或office文件。

　　傳送工具(Delivery)：輸送攻擊工具到目標系統(tǒng)上，常用的手法包括郵件的附件、網(wǎng)站(掛馬)、U盤等。

　　觸發(fā)工具(Exploitation)：利用目標系統(tǒng)的應用或操作系統(tǒng)漏洞，在目標系統(tǒng)觸發(fā)攻擊工具運行。

　　安裝木馬(Installation)：遠程控制程序(特馬)的安裝，使得攻擊者可以長期潛伏在目標系統(tǒng)中。

　　建立連接(Command and Control)：與互聯(lián)網(wǎng)控制器服務器建立一個C2信道。

　　執(zhí)行攻擊(Actions on Objectives)：執(zhí)行所需要得攻擊行為，例如偷取信息、篡改信息等。

　　“網(wǎng)絡攻擊鏈”模型認為任何網(wǎng)絡攻擊都可以對應到上述七個步驟中，分析該模型每個步驟可能使用的攻擊方法，可以為網(wǎng)絡安全保障人員提供針對各個攻擊環(huán)節(jié)的防護思路，建立精準、完整的網(wǎng)絡安全防護體系，減少網(wǎng)絡攻擊給組織或機構帶來的損失。

　　1.偵查目標(Reconnaissance)

　　在軍事對抗中，情報是制定謀略的基礎，一招制勝的前提。兵法有云，“知己知彼，百戰(zhàn)不殆”，官渡之戰(zhàn)中，曹軍利用信息優(yōu)勢掌控戰(zhàn)局，精準定位袁軍的薄弱點，對烏巢糧倉發(fā)動奇襲，一舉攻破要害，以少勝多。在網(wǎng)絡戰(zhàn)場中，入侵的第一步也是偵查目標，攻擊者會從各種渠道收集入侵目標的信息，繪制目標畫像和信息拓撲，尋找目標的弱點，制定入侵策略。

　　常見的目標偵查手段例舉如下：

　　通過Googlehacking或爬蟲工具收集目標暴露在互聯(lián)網(wǎng)的敏感信息，如企業(yè)架構、員工郵箱、采購信息、泄密文件等;

　　通過Rayspace、Shodan、Fofa、Zoomeye等專業(yè)的網(wǎng)絡空間資產(chǎn)探測工具收集目標的互聯(lián)網(wǎng)資產(chǎn)信息，如在線設備、網(wǎng)站、應用系統(tǒng)及其使用的服務和組件等信息;

　　通過站長工具、愛站、微步在線等工具查詢目標的whois信息，包括目標相關域名的IP以及所有者信息等;

　　通過Nmap、Ping、Dnsmap、Nslookup等工具，收集目標網(wǎng)絡空間資產(chǎn)的狀態(tài)信息、屬性信息、關聯(lián)信息等;

　　通過Github、GitLab、BitBucket等源代碼托管平臺，收集目標及其關聯(lián)系統(tǒng)的源碼信息;

　　利用社會工程學方法，通過客服電話、人員潛入、社工庫查詢等方式，獲取目標相關信息。

　　攻擊者收集目標信息的方法遠不止上文所述，組織和機構面對來自多角度、多方式的信息偵查，可以通過以下防御措施降低安全風險：

　　不在公開網(wǎng)站暴露組織的敏感信息，利用互聯(lián)網(wǎng)敏感信息檢測工具，定期檢測暴露在互聯(lián)網(wǎng)的組織敏感信息并定期處理，收斂信息暴露面;

　　服務器配置加固，關閉不必要的端口和服務，網(wǎng)站錯誤回顯避免暴露服務器信息，可以利用基線核查工具或漏洞掃描工具，定期對服務器安全性進行評估和加固;

　　網(wǎng)絡邊界部署WAF、入侵防御、防火墻等安全防護設備，有效抵御掃描器、網(wǎng)絡爬蟲等攻擊;

　　部署蜜罐網(wǎng)絡，混淆攻擊者的偵測目標，主動識別黑客身份，對入侵者進行溯源打擊。

　　目標偵查階段的有力防護，可以在網(wǎng)絡攻擊的初始階段拖延入侵進度，限制攻擊者的攻擊手段，增加攻擊者的入侵成本，讓攻擊者知難而退。

　　2.制作工具(Weaponization)

　　“工欲善其事，必先利其器”。攻擊者對目標偵查完畢后，會根據(jù)目標特點和入侵目的，組合“傳統(tǒng)兵器”，定制“特種武器”，打造具有針對性的“武器庫”，常見的“武器”例舉以下幾種：

　　利用Metasploit框架編寫的攻擊腳本;

　　EXP庫中的漏洞利用工具;

　　僵尸程序、特洛伊木馬、網(wǎng)絡蠕蟲等惡意程序;

　　利用社會工程學成果制作的釣魚網(wǎng)站、弱口令庫;

　　SQLMap、BurpSuite、中國菜刀、中國蟻劍、AWVS、WAPITI等常用攻擊工具。

　　通常在一次具有針對性的攻擊中，還可能會制作智能攻擊腳本，通過調用工具集實現(xiàn)自動化攻打擊，利用混淆、加殼、加密等技術制作變種惡意程序，利用AI技術Bypass動態(tài)檢測，利用自學習攻擊模型進行情報庫污染等。面對各式各樣的攻擊工具，可以通過以下措施強化安全防線：

　　采用漏洞掃描工具，及時發(fā)現(xiàn)系統(tǒng)和應用中的漏洞，并采取修補或防護措施;

　　安裝防毒墻、殺毒軟件，對病毒傳播進行定向防護;

　　利用網(wǎng)站監(jiān)測工具對釣魚網(wǎng)站進行定位打擊;

　　開啟WAF、防火墻等產(chǎn)品的攻擊防護策略，阻斷掃描、注入、拒絕服務、暴力破解等入侵行為。

　　斷敵兵刃，可奪其志。針對攻擊工具的定向防護，可以有效遏制攻擊者的入侵，讓攻擊者無計可施。

　　3.傳送工具(Delivery)

　　攻擊者打造“武器庫”后，將進行“武器”投放，特洛伊戰(zhàn)爭的故事非常經(jīng)典，古希臘間諜誘騙特洛伊國王將大型木馬雕像運往城中，隱藏在大型木馬中的希臘軍隊在城中發(fā)動奇襲，一舉攻破了特洛伊王國，這也是特洛伊木馬命名的由來。同樣，在網(wǎng)絡空間中，攻破一個系統(tǒng)最有效的方式，就是將惡意代碼傳送至目標系統(tǒng)。

　　通常情況下，傳送惡意代碼的方式可以分為物理傳輸和網(wǎng)絡傳輸。

　　物理傳輸通過U盤、外設、硬盤等物理介質，將惡意代碼輸送至目標主機

　　網(wǎng)絡傳輸通過釣魚郵件、掛馬網(wǎng)站、即時通訊軟件等方式誘導受害者下載惡意文件

表1 惡意代碼傳送方式

　　針對以上惡意代碼的傳送方式，可以通過以下措施進行防范：

　　安裝主機防護軟件，檢測來源于物理介質的惡意代碼傳輸;

　　部署網(wǎng)絡邊界防護產(chǎn)品，及時發(fā)現(xiàn)并阻斷病毒和惡意程序的傳輸行為;

　　部署郵件安全網(wǎng)關產(chǎn)品，識別電子郵箱中的惡意文件和危險鏈接，有效防范來源于電子郵件的惡意攻擊;

　　提高人員網(wǎng)絡安全防護意識，具備基本的網(wǎng)絡欺騙鑒別能力。

　　據(jù)相關報告統(tǒng)計，2019年全球19.8%的計算機至少檢測到一次惡意軟件類攻擊;2020年垃圾郵件在電子郵件流量中占50.37%，共檢測到184435643個惡意附件，反釣魚軟件阻止了434898635次詐騙網(wǎng)站訪問。龐大的數(shù)據(jù)說明了惡意代碼的網(wǎng)絡傳播行為尤為猖獗，全網(wǎng)計算機用戶的網(wǎng)絡安全防護意識仍待提高。

　　4.觸發(fā)工具(Exploitation)

　　攻擊者將惡意程序傳送到目標系統(tǒng)后，會利用目標系統(tǒng)或應用中存在的漏洞，執(zhí)行惡意程序中包含的惡意代碼，常被利用的安全漏洞有SQL注入、XSS、弱口令、任意文件上傳、任意代碼執(zhí)行、緩沖區(qū)溢出等。除此之外，多數(shù)惡意程序本身就具備迷惑性的特點，會誘導計算機用戶主動運行惡意程序，執(zhí)行惡意代碼。

　　當惡意程序已經(jīng)被傳輸?shù)街鳈C后，我們可以采用以下防護手段：

　　安裝殺毒軟件，對惡意軟件進行攔截、查殺;

　　利用沙箱工具，檢查未知文件的安全性，動態(tài)分析文件行為，深度鑒別文件危害性;

　　部署安全防護產(chǎn)品，防御利用常見安全漏洞發(fā)起的攻擊，攔截遠程執(zhí)行惡意代碼的命令。

　　如果攻擊已經(jīng)進展到了觸發(fā)工具的階段，說明攻擊者對目標系統(tǒng)的入侵已接近成功，意味著目標系統(tǒng)已經(jīng)岌岌可危，可能隨時被攻擊者獲取權限。

　　5.安裝木馬(Installation)

　　攻擊者在獲取到目標系統(tǒng)的控制權限后，將在目標系統(tǒng)中安裝木馬，植入后門，后門程序通常具有極強的隱蔽性，很難被正常用戶發(fā)現(xiàn)。植入后門程序的作用是使得攻擊者可以長期保持對目標系統(tǒng)的控制權限，即使目標系統(tǒng)修復漏洞后，攻擊者仍然具有目標系統(tǒng)的連接方式。

　　簡單的后門可能是擁有一個或多個賬戶的使用權限，復雜的后門可能是擁有特定的系統(tǒng)連接方式，對系統(tǒng)有安全存取權，可以采取以下措施對后門程序進行檢測和防護：

　　監(jiān)控系統(tǒng)日志，對于修改注冊表、調整安全配置、添加賬戶、修改權限表、安裝遠程工具等敏感操作進行管控和審計;

　　利用漏洞掃描工具，定期檢查系統(tǒng)是否被植入后門，及時查殺后門程序，修復后門漏洞;

　　定期備份系統(tǒng)狀態(tài)，被入侵后可以恢復到正常狀態(tài)。

　　6.建立連接(Command and Control)

　　目標系統(tǒng)被植入后門后，攻擊者會開始建立目標系統(tǒng)與控制服務器的連接通道，到了這一步意味著目標系統(tǒng)已經(jīng)完全失陷，攻擊者已經(jīng)具備目標系統(tǒng)的完整控制權限，失陷主機已經(jīng)成為攻擊者的肉雞，攻擊者隨時可以利用該據(jù)點進行橫向滲透，擴大攻擊成果，或者立即發(fā)起攻擊。

　　倘若攻擊者已經(jīng)“hand on the keyboard”，那么被入侵者能施展的防護手段已經(jīng)不多了，可以采取以下措施進行檢測和預防：

　　部署專業(yè)的僵木蠕檢測產(chǎn)品，檢查網(wǎng)絡中的僵尸主機和受控資產(chǎn)，切斷失陷主機與僵尸網(wǎng)絡的通信;

　　網(wǎng)絡邊界部署非法外聯(lián)檢測產(chǎn)品，識別網(wǎng)絡中的異常通信，及時阻斷未經(jīng)授權的連接;

　　對于重要系統(tǒng)應當采用白名單機制進行訪問控制。

　　7.執(zhí)行攻擊(Actions on Objectives)

　　經(jīng)歷了前6個階段的攻擊后，攻擊者可以根據(jù)商業(yè)或政治意圖，開始干擾目標系統(tǒng)的保密性、完整性和可用性，進行信息竊取、破壞、加密等行為，或利用失陷主機作為跳板，入侵網(wǎng)絡中的其他系統(tǒng)。

　　此時，受害者的損失已經(jīng)不可避免，但是組織和機構仍然可以事先采取預防措施，面對攻勢及時發(fā)起應急響應，有效控制受害面，緩解攻擊強度，降低損失。

　　信息系統(tǒng)采取分級分域安全管理辦法，做好網(wǎng)絡域與域之間的安全隔離，級與級之間的訪問控制，防止攻擊擴散;

　　建立健全的數(shù)據(jù)安全管理制度，部署數(shù)據(jù)防泄漏產(chǎn)品，嚴格控制數(shù)據(jù)訪問權限，阻止數(shù)據(jù)竊取;

　　建立健全的網(wǎng)絡安全應急響應機制，針對突發(fā)的網(wǎng)絡安全事件可以快速定位威脅，緩解并根除攻擊，及時修復業(yè)務;

　　對于重要業(yè)務有災備方案，面對不可逆轉的破壞具備恢復能力。

　　總結：隨著信息科技的蓬勃發(fā)展，創(chuàng)新技術和新興產(chǎn)業(yè)快速融入信息化時代的同時，也增加了網(wǎng)絡空間的脆弱性，為黑客提供了更多的攻擊手段，傳統(tǒng)的安全防護思路顯得有些無所適從。

　　基于人工智能(AI)與機器學習(ML)的自動化攻防將成為網(wǎng)絡安全對抗的主流形式，擴展檢測和響應(XDR)和威脅情報(TI)技術的逐步落地，為精準檢測、快速響應提供了有力幫助。網(wǎng)絡資產(chǎn)攻擊面管理(CASSM)和入侵與攻擊模擬(BAS)等新興技術理念的實踐應用，也為企業(yè)安全運營提供了更多思路。深入研究產(chǎn)業(yè)應用場景，探索網(wǎng)絡安全創(chuàng)新技術，是提升網(wǎng)絡空間安全能力的有效途徑。

　　更多關于網(wǎng)絡安全培訓的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務經(jīng)驗，采用全程面授高品質、高體驗培養(yǎng)模式，擁有國內一體化教學管理及學員服務，助力更多學員實現(xiàn)高薪夢想。