网络杀伤链Cyber​​ Kill Chain和防御方法【含动画】

最新推荐文章于 2024-05-03 18:19:48 发布
最新推荐文章于 2024-05-03 18:19:48 发布
阅读量8.8k 收藏 72
点赞数 12
分类专栏: 网络安全 文章标签: 安全 杀伤链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengpengjy/article/details/118277278
版权

        由 Lockheed Martin 开发的 Cyber​​ Kill Chain® 框架是 Intelligence Driven Defense® 模型的一部分,用于识别和预防网络入侵活动。该模型确定了对手必须完成哪些任务才能实现其目标。Cyber​​ Kill Chain® 的七个步骤增强了对攻击的可见性,并丰富了分析师对对手战术、技术和程序的理解。

网络杀伤链攻击过程及防御方式

网络杀伤链由 7 个步骤组成:侦察、武器化、投递、漏洞利用、安装、指挥和控制,目标行动。下面对每个步骤做简单介绍。


 

基于这些阶段,提供了以下方法进行防御,不同阶段采用不同的方法相结合:
检测 - 确定渗透组织的尝试。
拒绝 - 在攻击发生时停止攻击。
中断——干预是攻击者完成的数据通信,然后停止它。
降级——为了限制网络安全攻击的有效性,以尽量减少其不良影响。
欺骗 – 通过向攻击者提供错误信息或误导他们来误导攻击者。
遏制 - 遏制和限制攻击的范围,使其仅限于组织的某些部分。

以下将描述每个阶段的攻击过程及相应的防御方式。

1.侦察 Reconnaissance

攻击者收集有关目标和攻击策略的数据。这包括收集电子邮件地址和收集其他信息。入侵者使用自动扫描器来查找系统中的漏洞点。这包括扫描防火墙、入侵防御系统等,以获得攻击的入口点。

防御:

检测:网络分析;威胁情报;网络入侵检测系统
拒绝:信息共享政策;防火墙访问控制列表
 

2. 武器化  Weaponization

攻击者利用安全漏洞开发恶意软件。攻击者根据他们的需求和攻击意图设计恶意软件。此过程还涉及攻击者试图减少被组织现有的安全解决方案检测到的机会。

防御:

检测:威胁情报;网络入侵检测系统
拒绝:网络入侵防御系统
 

3. 投递 Delivery

攻击者通过网络钓鱼电子邮件或其他某种媒介传播武器化的恶意软件。武器化有效载荷最常见的传送媒介包括网站、可移动磁盘和电子邮件。这是安全团队可以阻止攻击的最重要阶段。

防御:

检测:端点恶意软件保护
拒绝:变更管理;应用白名单;代理过滤器;基于主机的入侵防御系统
中断:内联防病毒
降级:排队
遏制:路由器访问控制列表;应用感知防火墙;信任区;区域间网络入侵检测系统

 

4. 漏洞利用 Exploitation

恶意代码被传送到组织的系统中。边界在这里被破坏。攻击者有机会通过安装工具、运行脚本和修改安全证书来利用组织的系统。
大多数情况下,目标是应用程序或操作系统的漏洞。利用攻击的示例可以是脚本编写、动态数据交换和本地作业调度。

防御:

检测:端点恶意软件保护;基于主机的入侵检测系统
拒绝:安全密码;补丁管理
中断:数据执行保护
遏制:应用感知防火墙;信任区;区域间网络入侵检测系统

5. 安装 Installstion

恶意软件安装了后门或远程访问木马,提供对入侵者的访问权限。这也是可以使用 HIPS(基于主机的入侵防御系统)等系统阻止攻击的另一个重要阶段。

防御:

检测:安全信息和事件管理(SIEM);基于主机的入侵检测系统
拒绝:权限分离;强密码;两因素身份验证
中断:路由器访问控制列表
遏制:应用感知防火墙;信任区;区域间网络入侵检测系统

6. 指挥与控制  Command and Control

攻击者可以控制组织的系统和网络。攻击者获得特权帐户的访问权限并尝试暴力攻击、搜索凭据并更改权限以接管控制权。

防御: 

检测:网络入侵检测系统;基于主机的入侵检测系统
拒绝:防火墙访问控制列表;网络分割
中断:基于主机的入侵防御系统
降级:Tarpit。(Tarpit 是计算机系统(通常是服务器)上的一项服务,它故意延迟传入连接。该技术是为了防御计算机蠕虫而开发的,其想法是网络滥用(如垃圾邮件或广泛扫描)如果持续时间过长,则效果较差,因此吸引力也较低。这个概念类似于焦油坑,动物可以在其中陷入困境并慢慢沉入水面,就像在沼泽中一样。)
欺骗:域名系统重定向
遏制:信任区;域名系统漏洞

7. 目标行动 Actions on Objective

攻击者最终从系统中提取数据。目标涉及从组织环境中收集、加密和提取机密信息。

防御:

检测:端点恶意软件保护
拒绝:静态数据加密
中断:端点恶意软件保护
降级:服务质量
欺骗:蜜罐
遏制:事件响应

参考:

1、The Cyber Kill Chain

 https://www.youtube.com/watch?v=LqCbpiDyN8o&list=PLSNNzog5eyduYEO-6i6B0uShqjusETugo&index=5

2、What Is the Cyber Kill Chain and How It Can Protect Against Attacks:https://www.computer.org/publications/tech-news/trends/what-is-the-cyber-kill-chain-and-how-it-can-protect-against-attacks

3、 Cyber Kill Chain官网:https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

云上笛暮
关注
  • 12
    点赞
  • 72
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
网络安全杀伤链:权限提升
华章IT官方博客
05-26 532
本文摘自《网络安全与攻防策略:现代威胁应用之道》4.4章节,网络安全杀伤链-权限提升。作者从威胁行为者的身份分析网络安全,便于读者朋友更好地理解执行攻击的原理、动机和步骤。我们称其为网络安...
20210410网络杀伤链和渗透测试流程复习梳理
qq_45290991的博客
04-10 494
一堆破事,,终于有机会重新开始学习了,,现在要每天加班了,,不然就快毕业没本领在单位可是站不住脚的呀…… 洛克希德·马丁定义的“杀伤链”https://www.aqniu.com/news-views/29381.html APT 攻击链及事件响应策略 https://cloud.tencent.com/developer/article/1349684 我个人的理解就拿一个域渗透举例子吧,一个域里面有好多主机,其中有一台主机上面搭建了一个网站,开了80端口和22端口、53端口等可能有危险的端口,,.
网安常用的三个攻击方式
2301_81475812的博客
02-13 378
渗透测试执行标准由7个部分组成,包括前期交互、情报收集、威胁建模、漏洞分析、渗透利用、后渗透、撰写报告。情报收集主要指通过主动或被动方式收集渗透测试相关的信息,比如目标网络、端口、操作系统、相关组件、协议、漏洞等信息。&CK是由MITRE公司在2013年提出的战略、战术及程序的对抗框架,可用用于对抗 模拟、红队渗透测试、蓝队防御、威胁情报分析等,有三个版本ATT&CK Matrix for Enterprise、ATT&CK Matrix for Mobile、ATT&CK Matrix for ICS。
网络杀伤链模型
weixin_46239998的博客
04-25 958
网络杀伤链模型
2024年网安最新网络安全知识:什么是供应链攻击?
最新发布
2401_84264583的博客
05-03 1026
这些在 IT 网络中实施并相互链接的恶意工具,尤其是在安全措施不足或漏洞百出的环境中,为网络威胁留下了漏洞,并增加了数据泄露的风险。最终,源自对供应链实施的软件的攻击称为软件供应链攻击。在关于这次大规模供应链攻击的声明中,相关公司提到他们面临着与他们之前所面临的完全不同的国家支持的事件。在另一种情况下,这些供应链攻击的基础是依靠后台的渗透和静默监控,而不是立即下载或泄漏数据,这是基于第三方供应商完成的软件和固件更新。另一方面,基于软件和固件的攻击比基于硬件的攻击需要更多的知识和技能。
攻防演练学习之浅析ATT&CK和Cyber Kill Chain
ZL_1618的博客
08-01 1906
以前也时不时会在freebuf上看文章,但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在同名公众号(非典型产品经理笔记)上写的原创内容,挑一部分发一下。后续新内容会考虑同步在freebuf上发送。本系列当前共14篇。理解事物从描述开始。要理解一件事情,首先要能描述它,不可描述的事情,显然很难被解析、被应对,难以发展和演进。网络攻防因其抽象性,更是如此。下图为洛克希德·马丁公司官网(
抽丝剥茧:复盘美国中央情报局CIA的复杂网络武器杀伤
blackorbird的博客
09-30 951
由于原文大部分为技术分析,为了对整个关于CIA的网络武器泄露事请进行完整复盘,黑鸟在此给各位交代一下背景。首先,万恶之源来源于维基解密泄露的CIA文档,其中对于CIA的网...
Ops-3-Classic Kill Chain Model Overview
aotanbuguai66454的博客
04-05 392
一、Kill Chain OverviewThe kill chain is broken down into seven phases:Reconnaissance[侦察]Weaponization[武器化]Delivery[交货]Exploitation[开发]Installation[安装]Command-and-control[命令与控制]Actions on objective...
网络空间欺骗:构筑欺骗防御的科学基石》一1.6 网络空间欺骗链与网络空间杀伤链...
weixin_33734785的博客
09-01 184
1.6 网络空间欺骗链与网络空间杀伤链 本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一1.6 网络空间欺骗链与网络空间杀伤链,攻击者在目标网络空间中对有价值的信息实施攻击时都遵从一个通用的行为模式。攻击者通常利用的网络空间攻击策略,可被网络空间杀伤链或者攻击周期划分为6个阶段。类似于网络空间杀伤链,网络空间欺骗链并非一直是线性的。每前进的一步都可能是递...
基于Cyber Kill Chain的铁路信息网络安全防御研究.docx
11-29
基于Cyber Kill Chain的铁路信息网络安全防御研究 本文旨在研究铁路信息网络安全防御,基于Cyber Kill Chain模型,提出相应的网络安全防御措施,以实现全方位、深层次的网络安全防御体系。 一、铁路信息网络安全...
cybergloveplus:Cyber​​glove Plus和Cyber​​glove Plus UI
04-20
网络手套 ROS节点,用于与我们的数据手套/ Vlad的cybergloveplus程序包接口并移植到ROS 用法 rosparam set serialport /dev/ttyS0 :设置正确的端口 rosrun cybergloveplus cyberglove_calib_min_max :当人类主人多...
Introdução ao Mitre Att_ck e ao Cyber Kill Chain.pdf
10-06
本文将对《Introdução ao Mitre Att_ck e ao Cyber Kill Chain》文件进行详细解读,涵盖渗透测试、网络安全、Mitre Att&ck 和 Cyber Kill Chain 等知识点。 渗透测试 渗透测试(Penetration Testing)是指对系统...
Cyber​​tek:Cyber​​tek网站
02-17
Cyber​​tek网站的构建过程中,CSS(Cascading Style Sheets)扮演着至关重要的角色。...通过使用CSS,我们可以将内容与表现分离...通过熟练运用这些技巧和方法Cyber​​tek能够创建一个既美观又功能强大的在线平台。
Proyecto_Cyber-Rockola:Cyber​​-Rockola 网络项目
07-20
Laravel 试图通过简化大多数 Web 项目中使用的常见任务(例如身份验证、路由、会话、排队和缓存)来减轻开发过程中的痛苦。 Laravel 易于访问,但功能强大,为大型、健壮的应用程序提供了强大的工具。 出色的控制...
kill-chain的角度检测APT攻击
蚁景网安学院
04-01 375
点击蓝色关注我们前言最近一直在考虑如何结合kill chain检测APT攻击。出发点是因为尽管APT是一种特殊、高级攻击手段,但是它还是会具有攻击的common feature,只要可以把握住共同特征,就能进行检测。而kill chain就是个非常好的common feature描述。在预研期间看到了一些觉得比较好的工作,这里和各位师傅一起分享下。如题所述,这篇文章是介绍...
网络安全】基于网络攻击链的安全防护
2201_75857562的博客
02-11 673
基于网络攻击链的安全防护
网络安全常用术语解读 」杀链Kill Chain详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-19 2509
早在2009年,Lockheed Martin公司就提出了杀链(Kill Chain)理论,现在也称之为攻击者杀链(Attacker Kill Chain)。杀链其实就是攻击者进行网络攻击时所采取的步骤。。在第1-6步的任何时刻进行成功拦截,都能够实现对目标的保护。Note:这是一个完整的、端到端的过程,故称之为“链”,任何不足都会中断整个过程。
洛克希德·马丁定义的“杀伤链”
kuaizai__的博客
07-05 4100
洛克希德·马丁定义的“杀伤链” 对信息安全专家来说,用洛克希德-马丁公司的网络杀伤链(Kill Chain,也称网络攻击生命周期)来识别和防止入侵的方法可能并不陌生。然而,**攻击者始终在改进攻击手段,这可能要求企业重新审视网络杀伤链。**本文将回顾杀伤链模型对网络安全的意义,以及怎样在今天的威胁环境中使用它。 什么是网络杀伤链? “杀伤链”这个概念源自军事领域,它是一个描述攻击环节的六阶段模型,该理论也可以用来反制此类攻击(即反杀伤链)。杀伤链共有“发现-定位-跟踪-瞄准-打击-达成目标”六个环节 侦察
ros2和cyberrt
01-01
ROS2和Cyberrt是两种不同的机器人操作系统。ROS2是Robot Operating System 2的简称,它是一个灵活的机器人软件框架,旨在实现机器人系统的通用性和易用性。ROS2的设计目标是使机器人系统更加灵活、可靠和安全。 相比之下,Cyberrt则是一个针对无人系统和人工智能的操作系统。它包括了许多先进的技术,如虚拟现实、增强现实、自然语言处理和机器学习等。Cyberrt旨在为各种无人系统提供一套通用的软件平台,以实现无人系统的智能化和自动化。 虽然ROS2和Cyberrt都是面向机器人系统的操作系统,但它们的设计目标和应用领域有所不同。ROS2更注重机器人系统的通用性和易用性,而Cyberrt则更关注无人系统的智能化和自动化。因此,对于不同的机器人系统需求,可以根据具体的应用场景选择使用ROS2还是Cyberrt,或者结合两者的特点进行开发,以实现更好的机器人系统性能和功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云上笛暮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值