美國最大的軍火商，也是頂級的網(wǎng)路戰(zhàn)公司,，洛克希德馬丁公司提出的“攻擊鏈”模型認為,，一次成功的黑客攻擊一般都會經(jīng)歷以下這7個步驟：

　　1、偵察

　　2,、準(zhǔn)備武器

　　3,、投放武器

　　4、滲透攻擊

　　5,、植入后門

　　6,、控制

　　7、目標(biāo)行動

　　這7步環(huán)環(huán)相扣,，完整地描述了黑客進攻的一般規(guī)律,。

　　了解攻擊鏈模型，可以幫助我們了解如何防御黑客的進攻,。

　　從防御的角度看,，如果想阻止一次網(wǎng)絡(luò)攻擊，那就必須打斷攻擊鏈中的一步或幾步,。打斷的步驟越多,，防御體系越全面，黑客攻擊的成功率就越低,。最新一代的綜合多層防御體系就是“零信任”體系,。

　　下面就來介紹攻擊鏈模型中，黑客每一步會如何攻擊,，我們一般要如何防御,，以及零信任在不同階段如何發(fā)揮其獨特的作用。

　　1,、偵察

　　任何攻擊的第一步都是收集信息,，了解目標(biāo)的弱點。

　　黑客可以從公開渠道收集信息,。例如,，

　?。?）WHOIS查詢域名注冊信息

　　（2）百度,、谷歌搜索目標(biāo)公司信息

　?。?）SHODAN上搜索目標(biāo)服務(wù)器信息

　　（4）查看公司官網(wǎng)

　　公開信息搜集完成,，下一步就是直接去掃描目標(biāo)的服務(wù)器,。

　　（1）NMAP掃描IP段和開放的端口

　?。?）Banner信息抓取

　?。?）漏洞掃描（通常漏洞掃描行為都太明顯了，所以目前很多黑客都會縮小范圍,、降低掃描速度,，以防被發(fā)現(xiàn)）

　　公開渠道的保密工作：

　　（1）不在招聘網(wǎng)站,、微博上暴露自家的機密

　?。?）不在官網(wǎng)的錯誤提示中暴露服務(wù)器信息

　　服務(wù)器的防護措施：

　　（1）服務(wù)器上不必要的端口一定要關(guān)掉,。端口開的越少,，攻擊者可以利用的入口就越少

　　（2）采用蜜罐產(chǎn)品,，可以用來吸引黑客,，轉(zhuǎn)移攻擊目標(biāo)，讓黑客暴露自己

　?。?）帶IPS（入侵防御）的防火墻產(chǎn)品可以過濾一些威脅,，監(jiān)測黑客的掃描行為

　　（4）一些黑客會通過TOR網(wǎng)絡(luò)連接或多層代理跳轉(zhuǎn)連接過來,，大多數(shù)下一代防火墻都可以阻斷一些已知的惡意IP

　　之所以黑客可以偵察到信息，是因為服務(wù)器對陌生人是默認信任的,，除非發(fā)現(xiàn)異常才進行防御,。

　　而零信任默認對任何人都不信任，陌生人必須驗證自己的身份之后,，才能看到服務(wù)器的信息,。所以，在合適的場景下,，零信任體系可以完美地對抗攻擊者的偵察行動,。

　　（1）零信任體系中一般有一個零信任網(wǎng)關(guān)作為網(wǎng)絡(luò)的統(tǒng)一入口,。

　?。?）零信任網(wǎng)關(guān)平時不對外映射任何端口,，合法用戶通過私有協(xié)議通知網(wǎng)關(guān)，網(wǎng)關(guān)驗證用戶身份后,，才會對合法用戶的IP開放指定端口,。

　　（3）對沒有合法身份的人來說,，零信任網(wǎng)絡(luò)是完全不暴露任何端口的,。

　　黑客一般都會尋找有價值的目標(biāo)下手。如果使用了零信任體系,，那么正在尋找目標(biāo)的攻擊者很可能會發(fā)現(xiàn)偵察不到什么信息,，然后轉(zhuǎn)向其他目標(biāo)。

　　2,、準(zhǔn)備武器

　　知道目標(biāo)的弱點之后,，就可以針對弱點準(zhǔn)備攻擊用的工具了。

　　制作攻擊工具的方式很多,，下面是一些常見的：

　?。?）用Metasploit框架編寫一些攻擊腳本

　　（2）Exploit-DB上查詢已知的漏洞

　?。?）用Veil框架生成可以繞過殺毒軟件的木馬

　?。?）用各類社會工程學(xué)工具制作釣魚網(wǎng)站

　　（5）其他如CAIN AND ABEL,、SQLMAP,、AIRCRACK、MAL TEGOWEB APP,、WAPITI,、BURPSUIT、FRATRAT等等不一一說明了,。

　　黑客可以準(zhǔn)備攻擊工具,，我們可以準(zhǔn)備防御工具：

　　（1）補丁管理：時至今日,，大部分的攻擊還是針對漏洞的,，補上就沒漏洞了，沒漏洞就不會被攻擊了

　?。?）禁用office宏,，瀏覽器插件等等

　　（3）安裝殺毒軟件,，部署防毒墻

　?。?）IPS上設(shè)置檢測規(guī)則，以便檢測攻擊行為

　　（5）郵件安全產(chǎn)品,，檢測釣魚郵件

　?。?）敏感系統(tǒng)開啟多因子認證

　　（7）開啟服務(wù)器的日志審計功能

　　零信任需要部署客戶端和網(wǎng)關(guān),，為后續(xù)的攻擊做好準(zhǔn)備

　?。?）零信任需要部署網(wǎng)關(guān)，作為網(wǎng)絡(luò)的統(tǒng)一入口

　?。?）零信任一般會要求用戶安裝一個客戶端,，以便進行設(shè)備檢測

　　（3）還可以提前收集數(shù)據(jù),，分析用戶行為習(xí)慣,，建立行為基線

　　3、投放武器

　　有針對性地將武器（惡意代碼）輸送至目標(biāo)環(huán)境內(nèi),。

　　不同的投放方式：

　?。?）網(wǎng)站：感染用戶常用的網(wǎng)站，以便傳播木馬或病毒

　?。?）郵件：偵察階段如果發(fā)現(xiàn)目標(biāo)公司有合作伙伴的話,，黑客可以偽裝成合作伙伴發(fā)送郵件，郵件附帶病毒,，公司的小白員工很可能就上當(dāng)了

　?。?）USB：U盤病毒越來越少見了

　　（1）郵件安全檢測產(chǎn)品,，可以識別垃圾郵件,，把來自惡意IP郵件會被屏蔽掉，把沒有合法數(shù)字簽名的郵件屏蔽掉,，這樣可以減少病毒的傳播

　?。?）上網(wǎng)行為管理產(chǎn)品，屏蔽惡意網(wǎng)站,，避免員工亂下載東西

　?。?）關(guān)閉USB，或者不給用戶管理員權(quán)限,，可以避免大部分USB病毒傳播的情況

　?。?）DNS過濾，在DNS解析時過濾惡意域名,，可以阻斷病毒利用Https協(xié)議通信

　　零信任客戶端持續(xù)對用戶進行檢測，檢測合格了才允許接入零信任網(wǎng)絡(luò),。

　　電腦上如果存在惡意代碼或者可疑進程,，零信任會對用戶的可信等級進行降級。信任等級低的用戶不能連接敏感度高的業(yè)務(wù)系統(tǒng)。

　　這樣,，就可以大大降低病毒木馬在企業(yè)內(nèi)部傳播的可能性,。

　　4、滲透攻擊

　　利用漏洞或缺陷觸發(fā)已經(jīng)投放的惡意代碼,，獲得系統(tǒng)控制權(quán)限,。

　　（1）緩存溢出攻擊

　?。?）SQL注入攻擊

　?。?）運行木馬、惡意軟件

　?。?）在客戶端執(zhí)行Javascript惡意代碼

　　如果黑客已經(jīng)到了可以執(zhí)行惡意代碼這一步了,，那么我們剩下的防御手段也就不多了

　　（1）DEP（數(shù)據(jù)執(zhí)行保護）可以檢測內(nèi)存中是否有惡意代碼正在執(zhí)行

　?。?）有些殺毒軟件會監(jiān)測內(nèi)存,，攔截惡意的漏洞利用行為

　　（3）檢測沙箱技術(shù),，可以讓軟件在模擬環(huán)境里運行,，通過對軟件的行為進行分析，進而識別惡意軟件

　　零信任的主要針對網(wǎng)絡(luò)內(nèi)連接的管控,，端上的安全需要與傳統(tǒng)產(chǎn)品進行集成,。

　　5、植入后門

　　植入惡意程序及后門,，以后即使漏洞被修復(fù)了或者系統(tǒng)重啟了,，黑客還可以利用后門進來持續(xù)獲得控制權(quán)限。

　?。?）DLL劫持,，替換正常的DLL，每次運行都會執(zhí)行惡意操作

　?。?）meterpreter或類似的攻擊載荷可以在觸發(fā)漏洞后能夠返回一個控制通道

　?。?）安裝一個遠程接入工具

　　（4）修改注冊表,，讓惡意程序自動啟動

　?。?）利用PowerShell運行惡意代碼

　　（1）Linux上可以利用chroot jail隔離惡意程序,，限制它的訪問權(quán)限

　?。?）Windows可以關(guān)閉Powershell

　　（3）建立應(yīng)急響應(yīng)機制,，發(fā)現(xiàn)威脅時,，隔離設(shè)備，遠程擦除設(shè)備上的信息

　　（4）日常備份,，被入侵后可以恢復(fù)到正常狀態(tài)

　　大部分零信任架構(gòu)都會融入UBA/EDR方案,，監(jiān)控系統(tǒng)上是否有惡意程序安裝、是否發(fā)生了異常行為,、注冊表是否發(fā)生改變,。

　　如果發(fā)現(xiàn)了入侵跡象，將記錄日志并發(fā)出告警,，嚴(yán)重時在零信任網(wǎng)關(guān)上執(zhí)行相應(yīng)的隔離策略,。

　　6、指揮控制

　　到了這一步,，服務(wù)器已經(jīng)完全被黑客控制了,，被控制的服務(wù)器可以立即執(zhí)行攻擊，也可以等待來自黑客遠端服務(wù)器的進一步指令,。

　　被控制的服務(wù)器與外部的指揮控制（command & control）服務(wù)器建立加密的通信連接,。

　　限制異常通信

　　（1）網(wǎng)絡(luò)分段隔離可以限制設(shè)備的訪問權(quán)限,，阻斷黑客的通信

　?。?）通過異常行為日志及時發(fā)現(xiàn)攻擊者和被入侵的設(shè)備

　　（3）下一代防火墻可以攔截已知的C&C服務(wù)器的通信

　?。?）有些DNS提供僵尸網(wǎng)絡(luò)和C&C服務(wù)器的攔截功能,，有些攻擊者或利用fast flux技術(shù)躲避攔截，阻斷對新出現(xiàn)的域名的訪問,，可以有效阻斷這類遠程訪問

　?。?）利用下一代防火墻的應(yīng)用層管控功能，阻斷非必要的telnet,、ssh,、rdp、netcat,、powershell的通信,，如果確實需要用的話，一定要做IP白名單限制

　?。?）黑客一般會對通信進行加密,，使用SSL深度包檢測（DPI）技術(shù)可以檢測每個數(shù)據(jù)包的內(nèi)容

　　（7）IOC（失陷指標(biāo)）是一種用來發(fā)現(xiàn)入侵的工具,，在主機或網(wǎng)絡(luò)上出現(xiàn)IOC時,，代表主機可能被入侵了，IOC可以通過本地agent收集

　　零信任架構(gòu)中的微隔離模塊可以對網(wǎng)絡(luò)進行更細粒度的隔離,。

　?。?）平時對設(shè)備的訪問權(quán)限進行白名單機制的管控,，默認不允許設(shè)備訪問未知IP，即使被黑客入侵了,，也無法與C&C服務(wù)器的通信

　　（2）被感染的設(shè)備被檢測到之后,，會被完全隔離,，只留一個端口用來確認設(shè)備是否恢復(fù)正常，正常后才能繼續(xù)接入零信任網(wǎng)絡(luò)

　　7,、目標(biāo)行動

　　開展直接的入侵攻擊行為,，竊取數(shù)據(jù)、破壞系統(tǒng)運行,，或者在內(nèi)部網(wǎng)絡(luò)進一步橫向移動,。

　　攻擊者進攻的目的可能是為了金錢、為了政治,、從事間諜活動,，或者內(nèi)部惡意破壞等等。

　?。?）拖庫,，竊取機密文件，竊取重點人員的郵件,、聊天記錄

　?。?）掃描整個內(nèi)網(wǎng)，以受控主機為跳板,，橫向攻擊更重要的系統(tǒng)

　?。?）DLP數(shù)據(jù)防泄密工具可以保護本地數(shù)據(jù)，禁止數(shù)據(jù)通過網(wǎng)絡(luò)傳輸離開設(shè)備

　?。?）UBA可以分析用戶試圖竊取數(shù)據(jù)的行為

　　零信任的理念就是假設(shè)設(shè)備最終大概率都會進入攻擊鏈的最后一步,，被入侵。所以,，任何設(shè)備都是不可信的,。除非設(shè)備能證明自己是安全的，才能獲得接入網(wǎng)絡(luò)的權(quán)力,。

　　用戶的每一次訪問請求（per request）都會被檢測,。用戶的訪問請求到達零信任網(wǎng)關(guān)時，網(wǎng)關(guān)會對請求進行一系列的檢查,。

　?。?）檢查是否包含敏感數(shù)據(jù)，包含的話,，會依據(jù)后臺規(guī)則進行阻斷或日志記錄

　?。?）檢查此次行為與之前的用戶行為習(xí)慣是否相符,，如不相符，則立即觸發(fā)強認證,，用戶需要輸入短信驗證碼進行驗證,，才能繼續(xù)訪問其他資源

　　零信任會對每個服務(wù)器做細粒度的訪問控制。即使一個服務(wù)器被攻陷,，也不會在內(nèi)網(wǎng)大面積蔓延,。

　　總  結(jié)

　　攻擊鏈不只是揭示黑客如何進攻的模型，也是一個安全規(guī)劃的藍圖,。

　　對照攻擊鏈模型,，可以發(fā)現(xiàn)零信任是一個非常全面的防御體系。零信任可以切斷黑客攻擊鏈上的多個關(guān)鍵節(jié)點,。

　　1,、偵察階段，可以隱藏服務(wù)器信息,，極大減少信息暴露

　　2,、投放武器階段，可以通過對設(shè)備可信等級的檢測,，及時隔離威脅,，減少病毒木馬的傳播

　　3、植入后門階段,，可以通過對終端行為的檢測,，及時發(fā)現(xiàn)威脅，并進行響應(yīng)

　　4,、指揮控制階段,，可以通過白名單策略，默認阻斷被入侵設(shè)備與遠端服務(wù)器的通信

　　5,、目標(biāo)行動階段,，可以通過微隔離手段限制黑客進一步的橫向攻擊