网络杀伤链
网络杀伤链 是什么?
网络杀伤链洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
网络杀伤链(Cyber Kill Chain)由洛克希德·马丁公司于 2011 年发布,将一次入侵划分为七个连续阶段:侦察、武器化、投递、利用、安装、命令与控制以及目标行动。该模型鼓励防御者在每一步检测、拒绝、干扰、降低、欺骗或摧毁攻击者的行为,因为只要切断任何一个环节,整个攻击链就会失败。它是最早被广泛采用的以攻击者为中心的框架之一,至今仍用于映射防御控制、规划遥测优先级以及阐述事件时间线。批评者指出它更适合传统的恶意软件投递型入侵,对内部滥用、云原生攻击和低噪音间谍活动覆盖不足;许多团队现在将其与 MITRE ATT&CK 结合使用。
● 示例
- 01
将一起钓鱼到勒索软件的事件映射到七个阶段,以确定哪些控制失效。
- 02
把 EDR、邮件安全和网络防御与具体的杀伤链阶段对齐。
● 常见问题
网络杀伤链 是什么?
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。 它属于网络安全的 防御与运营 分类。
网络杀伤链 是什么意思?
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
网络杀伤链 是如何工作的?
网络杀伤链(Cyber Kill Chain)由洛克希德·马丁公司于 2011 年发布,将一次入侵划分为七个连续阶段:侦察、武器化、投递、利用、安装、命令与控制以及目标行动。该模型鼓励防御者在每一步检测、拒绝、干扰、降低、欺骗或摧毁攻击者的行为,因为只要切断任何一个环节,整个攻击链就会失败。它是最早被广泛采用的以攻击者为中心的框架之一,至今仍用于映射防御控制、规划遥测优先级以及阐述事件时间线。批评者指出它更适合传统的恶意软件投递型入侵,对内部滥用、云原生攻击和低噪音间谍活动覆盖不足;许多团队现在将其与 MITRE ATT&CK 结合使用。
如何防御 网络杀伤链?
针对 网络杀伤链 的防御通常结合技术控制与运营实践,详见上方完整定义。
网络杀伤链 还有哪些其他名称?
常见的别称包括: 洛克希德·马丁杀伤链, 入侵杀伤链。
● 相关术语
- defense-ops№ 905
侦察
攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。
- defense-ops№ 535
初始访问
MITRE ATT&CK 战术 TA0001,涵盖攻击者首次在目标环境中建立立足点所使用的各种技术。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- malware№ 201
命令与控制(C2)
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
- defense-ops№ 315
钻石模型(入侵分析)
一种入侵分析框架,将每一个恶意事件与四个顶点关联起来:对手、能力、基础设施和受害者。
- defense-ops№ 527
入侵指标(IoC)
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
● 参见
- № 397执行(MITRE 战术)
- № 817持久化
- № 298防御规避
- № 325发现(MITRE 战术)
- № 199收集(MITRE 战术)
- № 398数据外泄
- № 518影响(MITRE 战术)