美國最大的軍火商，也是頂級的網路戰公司，洛克希德馬丁公司提出的“攻擊鏈”模型認為，一次成功的黑客攻擊一般都會經歷以下這7個步驟：

　　1、偵察

　　2、準備武器

　　3、投放武器

　　4、滲透攻擊

　　5、植入后門

　　6、控制

　　7、目標行動

　　這7步環環相扣，完整地描述了黑客進攻的一般規律。

　　了解攻擊鏈模型，可以幫助我們了解如何防御黑客的進攻。

　　從防御的角度看，如果想阻止一次網絡攻擊，那就必須打斷攻擊鏈中的一步或幾步。打斷的步驟越多，防御體系越全面，黑客攻擊的成功率就越低。最新一代的綜合多層防御體系就是“零信任”體系。

　　下面就來介紹攻擊鏈模型中，黑客每一步會如何攻擊，我們一般要如何防御，以及零信任在不同階段如何發揮其獨特的作用。

　　1、偵察

　　任何攻擊的第一步都是收集信息，了解目標的弱點。

       攻擊：

　　黑客可以從公開渠道收集信息。例如，

　?。?）WHOIS查詢域名注冊信息

　?。?）百度、谷歌搜索目標公司信息

　?。?）SHODAN上搜索目標服務器信息

　　（4）查看公司官網

　　公開信息搜集完成，下一步就是直接去掃描目標的服務器。

　?。?）NMAP掃描IP段和開放的端口

　　（2）Banner信息抓取

　?。?）漏洞掃描（通常漏洞掃描行為都太明顯了，所以目前很多黑客都會縮小范圍、降低掃描速度，以防被發現）

　　防御

　　公開渠道的保密工作：

　?。?）不在招聘網站、微博上暴露自家的機密

　?。?）不在官網的錯誤提示中暴露服務器信息

　　服務器的防護措施：

　?。?）服務器上不必要的端口一定要關掉。端口開的越少，攻擊者可以利用的入口就越少

　?。?）采用蜜罐產品，可以用來吸引黑客，轉移攻擊目標，讓黑客暴露自己

　　（3）帶IPS（入侵防御）的防火墻產品可以過濾一些威脅，監測黑客的掃描行為

　?。?）一些黑客會通過TOR網絡連接或多層代理跳轉連接過來，大多數下一代防火墻都可以阻斷一些已知的惡意IP

　　零信任

　　之所以黑客可以偵察到信息，是因為服務器對陌生人是默認信任的，除非發現異常才進行防御。

　　而零信任默認對任何人都不信任，陌生人必須驗證自己的身份之后，才能看到服務器的信息。所以，在合適的場景下，零信任體系可以完美地對抗攻擊者的偵察行動。

　?。?）零信任體系中一般有一個零信任網關作為網絡的統一入口。

　?。?）零信任網關平時不對外映射任何端口，合法用戶通過私有協議通知網關，網關驗證用戶身份后，才會對合法用戶的IP開放指定端口。

　?。?）對沒有合法身份的人來說，零信任網絡是完全不暴露任何端口的。

　　黑客一般都會尋找有價值的目標下手。如果使用了零信任體系，那么正在尋找目標的攻擊者很可能會發現偵察不到什么信息，然后轉向其他目標。

　　2、準備武器

　　知道目標的弱點之后，就可以針對弱點準備攻擊用的工具了。

　　攻擊

　　制作攻擊工具的方式很多，下面是一些常見的：

　?。?）用Metasploit框架編寫一些攻擊腳本

　　（2）Exploit-DB上查詢已知的漏洞

　?。?）用Veil框架生成可以繞過殺毒軟件的木馬

　　（4）用各類社會工程學工具制作釣魚網站

　?。?）其他如CAIN AND ABEL、SQLMAP、AIRCRACK、MAL TEGOWEB APP、WAPITI、BURPSUIT、FRATRAT等等不一一說明了。

防御

　　黑客可以準備攻擊工具，我們可以準備防御工具：

　　（1）補丁管理：時至今日，大部分的攻擊還是針對漏洞的，補上就沒漏洞了，沒漏洞就不會被攻擊了

　?。?）禁用office宏，瀏覽器插件等等

　?。?）安裝殺毒軟件，部署防毒墻

　　（4）IPS上設置檢測規則，以便檢測攻擊行為

　?。?）郵件安全產品，檢測釣魚郵件

　　（6）敏感系統開啟多因子認證

　　（7）開啟服務器的日志審計功能

零信任

　　零信任需要部署客戶端和網關，為后續的攻擊做好準備

　?。?）零信任需要部署網關，作為網絡的統一入口

　?。?）零信任一般會要求用戶安裝一個客戶端，以便進行設備檢測

　?。?）還可以提前收集數據，分析用戶行為習慣，建立行為基線

　　3、投放武器

　　有針對性地將武器（惡意代碼）輸送至目標環境內。

　　攻擊

　　不同的投放方式：

　?。?）網站：感染用戶常用的網站，以便傳播木馬或病毒

　　（2）郵件：偵察階段如果發現目標公司有合作伙伴的話，黑客可以偽裝成合作伙伴發送郵件，郵件附帶病毒，公司的小白員工很可能就上當了

　?。?）USB：U盤病毒越來越少見了

　　防御

　　（1）郵件安全檢測產品，可以識別垃圾郵件，把來自惡意IP郵件會被屏蔽掉，把沒有合法數字簽名的郵件屏蔽掉，這樣可以減少病毒的傳播

　?。?）上網行為管理產品，屏蔽惡意網站，避免員工亂下載東西

　?。?）關閉USB，或者不給用戶管理員權限，可以避免大部分USB病毒傳播的情況

　?。?）DNS過濾，在DNS解析時過濾惡意域名，可以阻斷病毒利用Https協議通信

　　零信任

　　零信任客戶端持續對用戶進行檢測，檢測合格了才允許接入零信任網絡。

　　電腦上如果存在惡意代碼或者可疑進程，零信任會對用戶的可信等級進行降級。信任等級低的用戶不能連接敏感度高的業務系統。

　　這樣，就可以大大降低病毒木馬在企業內部傳播的可能性。

　　4、滲透攻擊

　　利用漏洞或缺陷觸發已經投放的惡意代碼，獲得系統控制權限。

攻擊

　?。?）緩存溢出攻擊

　?。?）SQL注入攻擊

　?。?）運行木馬、惡意軟件

　?。?）在客戶端執行Javascript惡意代碼

　　防御

　　如果黑客已經到了可以執行惡意代碼這一步了，那么我們剩下的防御手段也就不多了

　?。?）DEP（數據執行保護）可以檢測內存中是否有惡意代碼正在執行

　　（2）有些殺毒軟件會監測內存，攔截惡意的漏洞利用行為

　　（3）檢測沙箱技術，可以讓軟件在模擬環境里運行，通過對軟件的行為進行分析，進而識別惡意軟件

　　零信任

　　零信任的主要針對網絡內連接的管控，端上的安全需要與傳統產品進行集成。

　　5、植入后門

　　植入惡意程序及后門，以后即使漏洞被修復了或者系統重啟了，黑客還可以利用后門進來持續獲得控制權限。

　　攻擊

　　（1）DLL劫持，替換正常的DLL，每次運行都會執行惡意操作

　?。?）meterpreter或類似的攻擊載荷可以在觸發漏洞后能夠返回一個控制通道

　?。?）安裝一個遠程接入工具

　　（4）修改注冊表，讓惡意程序自動啟動

　?。?）利用PowerShell運行惡意代碼

　　防御

　　（1）Linux上可以利用chroot jail隔離惡意程序，限制它的訪問權限

　?。?）Windows可以關閉Powershell

　?。?）建立應急響應機制，發現威脅時，隔離設備，遠程擦除設備上的信息

　?。?）日常備份，被入侵后可以恢復到正常狀態

　　零信任

　　大部分零信任架構都會融入UBA/EDR方案，監控系統上是否有惡意程序安裝、是否發生了異常行為、注冊表是否發生改變。

　　如果發現了入侵跡象，將記錄日志并發出告警，嚴重時在零信任網關上執行相應的隔離策略。

　　6、指揮控制

　　到了這一步，服務器已經完全被黑客控制了，被控制的服務器可以立即執行攻擊，也可以等待來自黑客遠端服務器的進一步指令。

　   攻擊　

　　被控制的服務器與外部的指揮控制（command & control）服務器建立加密的通信連接。

   　防御

　　限制異常通信

　?。?）網絡分段隔離可以限制設備的訪問權限，阻斷黑客的通信

　?。?）通過異常行為日志及時發現攻擊者和被入侵的設備

　　（3）下一代防火墻可以攔截已知的C&C服務器的通信

　?。?）有些DNS提供僵尸網絡和C&C服務器的攔截功能，有些攻擊者或利用fast flux技術躲避攔截，阻斷對新出現的域名的訪問，可以有效阻斷這類遠程訪問

　?。?）利用下一代防火墻的應用層管控功能，阻斷非必要的telnet、ssh、rdp、netcat、powershell的通信，如果確實需要用的話，一定要做IP白名單限制

　?。?）黑客一般會對通信進行加密，使用SSL深度包檢測（DPI）技術可以檢測每個數據包的內容

　　（7）IOC（失陷指標）是一種用來發現入侵的工具，在主機或網絡上出現IOC時，代表主機可能被入侵了，IOC可以通過本地agent收集

　　零信任

　　零信任架構中的微隔離模塊可以對網絡進行更細粒度的隔離。

　?。?）平時對設備的訪問權限進行白名單機制的管控，默認不允許設備訪問未知IP，即使被黑客入侵了，也無法與C&C服務器的通信

　?。?）被感染的設備被檢測到之后，會被完全隔離，只留一個端口用來確認設備是否恢復正常，正常后才能繼續接入零信任網絡

　　7、目標行動

　　開展直接的入侵攻擊行為，竊取數據、破壞系統運行，或者在內部網絡進一步橫向移動。

　　攻擊

　　攻擊者進攻的目的可能是為了金錢、為了政治、從事間諜活動，或者內部惡意破壞等等。

　?。?）拖庫，竊取機密文件，竊取重點人員的郵件、聊天記錄

　?。?）掃描整個內網，以受控主機為跳板，橫向攻擊更重要的系統

　    防御

　?。?）DLP數據防泄密工具可以保護本地數據，禁止數據通過網絡傳輸離開設備

　　（2）UBA可以分析用戶試圖竊取數據的行為

　　零信任

　　零信任的理念就是假設設備最終大概率都會進入攻擊鏈的最后一步，被入侵。所以，任何設備都是不可信的。除非設備能證明自己是安全的，才能獲得接入網絡的權力。

　　用戶的每一次訪問請求（per request）都會被檢測。用戶的訪問請求到達零信任網關時，網關會對請求進行一系列的檢查。

　　（1）檢查是否包含敏感數據，包含的話，會依據后臺規則進行阻斷或日志記錄

　　（2）檢查此次行為與之前的用戶行為習慣是否相符，如不相符，則立即觸發強認證，用戶需要輸入短信驗證碼進行驗證，才能繼續訪問其他資源

　　零信任會對每個服務器做細粒度的訪問控制。即使一個服務器被攻陷，也不會在內網大面積蔓延。

　　總  結

　　攻擊鏈不只是揭示黑客如何進攻的模型，也是一個安全規劃的藍圖。

　　對照攻擊鏈模型，可以發現零信任是一個非常全面的防御體系。零信任可以切斷黑客攻擊鏈上的多個關鍵節點。

　　1、偵察階段，可以隱藏服務器信息，極大減少信息暴露

　　2、投放武器階段，可以通過對設備可信等級的檢測，及時隔離威脅，減少病毒木馬的傳播

　　3、植入后門階段，可以通過對終端行為的檢測，及時發現威脅，并進行響應

　　4、指揮控制階段，可以通過白名單策略，默認阻斷被入侵設備與遠端服務器的通信

　　5、目標行動階段，可以通過微隔離手段限制黑客進一步的橫向攻擊