为什么“网络杀戮链”需要升级
用于分析网络攻击的最受欢迎的模型之一并没有足够关注在成功的对手进入网络之后,他们不可避免会做的,这一周在拉斯维加斯本周告诉黑色帽子2016年与会者。
“如果他们持久的话,每个攻击者都会成为一名内在人,”在会议上发言的安全顾问Sean Malone说。“我们需要在违约之中运作。”
更多的:“Mayhem”赢得了Darpa Cyber Grand Challenge的$ 2M一等奖
他批评一种称为网络杀戮链的受欢迎的防御计划,该计划定义了七步攻击者必须取得成功:侦察,武器化,交付,开发,安装,指挥和控制以及行动和目标。
问题是,它假设传统的周边防守,防火墙是入侵者的主要障碍。马龙说,但是,这是不再是这种情况,所以组织必须在该周长内牛排脱茬。
新的网络杀链
这意味着添加更多步骤,实际上只有相同的设置,只有这个时间在内部这个词之前,所以杀戮链成为内部侦察,内部武器等。例如,内部剥削可能包括特权升级,网络内的横向移动,并操纵inpidual目标机器。
在内部侦察期间,对手可以访问单个用户的工作站,并将其用于本地文件,网络共享,浏览器历史记录和访问Wiki和SharePoint。目标是PUTO如何如何帮助映射网络并使能够移动到更有价值的资产。
在内部网络杀链链的每个阶段,安全架构师应该p出来什么策略,技术和程序(TTP)对手可能使用,然后建立防守TTP。在可能完全修补的内部剥削的情况下,包括开发和测试系统,以及安装有效的端点保护产品。
每个攻击阶段都在受害者的网络内部可以在几分钟到几个月的任何地方,包括攻击到位并准备好的最终等待时间。但是,马龙说,攻击者将为推出最佳时间来推动最佳时间,以获得最大的影响。
侦察和武器化可能每人需要数月。很难破坏武器,因为它在攻击者的网站上脱机。Malone说,但捍卫者可以采取措施使他们的系统和应用程序变硬,因此武器化更困难。这还可以包括在网络上引入虚假设备 - 混淆 - 使任务更加困难。
在执行成功攻击后,这种新的杀戮链延伸到恢复中发生的事情。企业网络安全团队需要计划处理报告违约,联系执法,处理不利宣传等。他说,应该通过计划和人员来思考这些步骤,以便处理它们。
更大的目标是建立一个更具弹性的企业。它不会阻止所有的对手,但它将停止更多。其中一个目标是在杀戮链的每一步准备良好的防御,以便减缓攻击者并使其更昂贵的速度。
“如果对手访问内部公司网络,用户名和密码,网络设备,系统,备份和应用程序的所有文档和规范,则”您必须询问您会做什么。
他说,袭击者有目标,并愿意花费一定数量的资源来实现它们。马龙说,如果捍卫者可以提高成本 - 无论是货币,人员还是时间 - 以上攻击者所期望获得的价值,那么他们就可以更频繁地成功。这是一个经济模型,基于未经防御的前提是完美的。
黑帽:如何制作和部署恶意USB密钥
这个故事,“为什么”网络杀戮链“需要升级”最初由网络世界发布。