Meta公司研究人员近日发布白皮书,发布了新的“十阶段在线操作杀伤链”。
Meta研究人员提出,网络安全研究界开发了各种杀伤链来定义和描述不同威胁的分类,但每个杀伤链都是针对特定类型量身定制的;新的“在线操作杀伤链”旨在通过提供一个分析框架来填补上述空白,该框架可应用于广泛的在线操作,尤其是以人类为目标的在线操作,包括但不限于网络攻击、影响力操作、在线欺诈、人口贩卖和恐怖分子招募;希望跨平台、开源社区和民主机构内的调查人员能够建立一个共同的框架,以实现更有效的协作,从而分析、描述、比较和破坏在线操作。
Meta的新“在线操作杀伤链”采用与洛克希德·马丁公司2011年提出的“入侵杀伤链”类似的方法,更新的步骤与当今的威胁保持一致;新框架仍然使用逐步分类法来理解和识别高级威胁,但考虑了威胁行为者在发起网络攻击时使用的新攻击媒介和技术;该杀伤链由十个环节组成,每个环节都代表一个顶级策略,每种策略都分解为更详细的技术,再分解为更详细的程序。新杀伤链在其开发过程中使用了六项指导原则:一是基于观察;二是为战术分析而设计;三是适用于多种平台;四是针对人对人的操作进行了优化;五是适用一个或多个平台;六是模块化。新杀伤链定义的十个阶段包括:一是获取资产;二是伪装资产;三是收集信息;四是协调与计划;五是测试防御;六是逃避检测;七是无差别接触;八是针对性接触;九是渗透资产;十是长期驻留。
奇安网情局编译有关情况,供读者参考。
/
Facebook母公司Meta研究人员本·尼莫和埃里克·哈钦斯近日发布题为《在线操作阶段性战术分析》的白皮书,提出了一种处理在线威胁的新框架方法,使用共享模型来识别、描述、比较和破坏攻击链的各个阶段。新框架一是十阶段杀伤链模型,Meta认为该模型将比现有的杀伤链模型范围更具包容性并更有效。
01
洛克希德·马丁公司“七阶段入侵杀伤链”
网络安全理论家长期以来一直试图了解攻击的各个阶段,该想法很简单,即:如果能识别攻击过程中的各个阶段,就更有能力破坏攻击并保护资产。这导致了杀伤链的发展,即各个阶段的顺序列表。2011年,洛克希德·马丁公司提出了初始且仍然具有标志性的杀伤链,对被称为“入侵杀伤链”的攻击进行了七阶段分析。
洛克希德·马丁将该杀伤链描述为“一个系统化的过程,用于瞄准并与对手接触以产生预期的效果。”该杀伤链是网络攻击的一系列阶段,威胁行为者必须完成这些阶段才能实现其目标。通过识别攻击的进展阶段,各机构可以更好地防御和阻止网络事件。尽管该杀伤链是十多年前推出的,但许多组织仍在使用它来帮助定义其网络安全流程。
洛克希德·马丁“入侵杀伤链”的七个阶段包括:
第一阶段:侦察。攻击者首先探索网络的弱点和漏洞,使用网络钓鱼等策略收集电子邮件地址、登录凭据、应用程序和操作系统详细信息等信息。
第二阶段:武器化。攻击者根据发现创建一个攻击向量,例如可能使用远程访问恶意软件、病毒或蠕虫来利用已知漏洞。如果原始入口点被阻止,攻击者还会在系统中放置后门以获得访问权限。
第三阶段:投递。攻击者发起攻击,所使用的具体载体将取决于从第一、第二阶段收集的信息以及攻击目标。