美國(guó)最大的軍火商，也是頂級(jí)的網(wǎng)路戰(zhàn)公司，洛克希德馬丁公司提出的“攻擊鏈”模型認(rèn)為，一次成功的黑客攻擊一般都會(huì)經(jīng)歷以下這7個(gè)步驟：

　　1、偵察

　　2、準(zhǔn)備武器

　　3、投放武器

　　4、滲透攻擊

　　5、植入后門(mén)

　　6、控制

　　7、目標(biāo)行動(dòng)

　　這7步環(huán)環(huán)相扣，完整地描述了黑客進(jìn)攻的一般規(guī)律。

　　了解攻擊鏈模型，可以幫助我們了解如何防御黑客的進(jìn)攻。

　　從防御的角度看，如果想阻止一次網(wǎng)絡(luò)攻擊，那就必須打斷攻擊鏈中的一步或幾步。打斷的步驟越多，防御體系越全面，黑客攻擊的成功率就越低。最新一代的綜合多層防御體系就是“零信任”體系。

　　下面就來(lái)介紹攻擊鏈模型中，黑客每一步會(huì)如何攻擊，我們一般要如何防御，以及零信任在不同階段如何發(fā)揮其獨(dú)特的作用。

　　1、偵察

　　任何攻擊的第一步都是收集信息，了解目標(biāo)的弱點(diǎn)。

　　黑客可以從公開(kāi)渠道收集信息。例如，

　　（1）WHOIS查詢(xún)域名注冊(cè)信息

　　（2）百度、谷歌搜索目標(biāo)公司信息

　　（3）SHODAN上搜索目標(biāo)服務(wù)器信息

　　（4）查看公司官網(wǎng)

　　公開(kāi)信息搜集完成，下一步就是直接去掃描目標(biāo)的服務(wù)器。

　　（1）NMAP掃描IP段和開(kāi)放的端口

　　（2）Banner信息抓取

　　（3）漏洞掃描（通常漏洞掃描行為都太明顯了，所以目前很多黑客都會(huì)縮小范圍、降低掃描速度，以防被發(fā)現(xiàn)）

　　公開(kāi)渠道的保密工作：

　　（1）不在招聘網(wǎng)站、微博上暴露自家的機(jī)密

　　（2）不在官網(wǎng)的錯(cuò)誤提示中暴露服務(wù)器信息

　　服務(wù)器的防護(hù)措施：

　　（1）服務(wù)器上不必要的端口一定要關(guān)掉。端口開(kāi)的越少，攻擊者可以利用的入口就越少

　　（2）采用蜜罐產(chǎn)品，可以用來(lái)吸引黑客，轉(zhuǎn)移攻擊目標(biāo)，讓黑客暴露自己

　　（3）帶IPS（入侵防御）的防火墻產(chǎn)品可以過(guò)濾一些威脅，監(jiān)測(cè)黑客的掃描行為

　　（4）一些黑客會(huì)通過(guò)TOR網(wǎng)絡(luò)連接或多層代理跳轉(zhuǎn)連接過(guò)來(lái)，大多數(shù)下一代防火墻都可以阻斷一些已知的惡意IP

　　之所以黑客可以偵察到信息，是因?yàn)榉?wù)器對(duì)陌生人是默認(rèn)信任的，除非發(fā)現(xiàn)異常才進(jìn)行防御。

　　而零信任默認(rèn)對(duì)任何人都不信任，陌生人必須驗(yàn)證自己的身份之后，才能看到服務(wù)器的信息。所以，在合適的場(chǎng)景下，零信任體系可以完美地對(duì)抗攻擊者的偵察行動(dòng)。

　　（1）零信任體系中一般有一個(gè)零信任網(wǎng)關(guān)作為網(wǎng)絡(luò)的統(tǒng)一入口。

　　（2）零信任網(wǎng)關(guān)平時(shí)不對(duì)外映射任何端口，合法用戶(hù)通過(guò)私有協(xié)議通知網(wǎng)關(guān)，網(wǎng)關(guān)驗(yàn)證用戶(hù)身份后，才會(huì)對(duì)合法用戶(hù)的IP開(kāi)放指定端口。

　　（3）對(duì)沒(méi)有合法身份的人來(lái)說(shuō)，零信任網(wǎng)絡(luò)是完全不暴露任何端口的。

　　黑客一般都會(huì)尋找有價(jià)值的目標(biāo)下手。如果使用了零信任體系，那么正在尋找目標(biāo)的攻擊者很可能會(huì)發(fā)現(xiàn)偵察不到什么信息，然后轉(zhuǎn)向其他目標(biāo)。

　　2、準(zhǔn)備武器

　　知道目標(biāo)的弱點(diǎn)之后，就可以針對(duì)弱點(diǎn)準(zhǔn)備攻擊用的工具了。

　　制作攻擊工具的方式很多，下面是一些常見(jiàn)的：

　　（1）用Metasploit框架編寫(xiě)一些攻擊腳本

　　（2）Exploit-DB上查詢(xún)已知的漏洞

　　（3）用Veil框架生成可以繞過(guò)殺毒軟件的木馬

　　（4）用各類(lèi)社會(huì)工程學(xué)工具制作釣魚(yú)網(wǎng)站

　　（5）其他如CAIN AND ABEL、SQLMAP、AIRCRACK、MAL TEGOWEB APP、WAPITI、BURPSUIT、FRATRAT等等不一一說(shuō)明了。

　　黑客可以準(zhǔn)備攻擊工具，我們可以準(zhǔn)備防御工具：

　　（1）補(bǔ)丁管理：時(shí)至今日，大部分的攻擊還是針對(duì)漏洞的，補(bǔ)上就沒(méi)漏洞了，沒(méi)漏洞就不會(huì)被攻擊了

　　（2）禁用office宏，瀏覽器插件等等

　　（3）安裝殺毒軟件，部署防毒墻

　　（4）IPS上設(shè)置檢測(cè)規(guī)則，以便檢測(cè)攻擊行為

　　（5）郵件安全產(chǎn)品，檢測(cè)釣魚(yú)郵件

　　（6）敏感系統(tǒng)開(kāi)啟多因子認(rèn)證

　　（7）開(kāi)啟服務(wù)器的日志審計(jì)功能

　　零信任需要部署客戶(hù)端和網(wǎng)關(guān)，為后續(xù)的攻擊做好準(zhǔn)備

　　（1）零信任需要部署網(wǎng)關(guān)，作為網(wǎng)絡(luò)的統(tǒng)一入口

　　（2）零信任一般會(huì)要求用戶(hù)安裝一個(gè)客戶(hù)端，以便進(jìn)行設(shè)備檢測(cè)

　　（3）還可以提前收集數(shù)據(jù)，分析用戶(hù)行為習(xí)慣，建立行為基線(xiàn)

　　3、投放武器

　　有針對(duì)性地將武器（惡意代碼）輸送至目標(biāo)環(huán)境內(nèi)。

　　不同的投放方式：

　　（1）網(wǎng)站：感染用戶(hù)常用的網(wǎng)站，以便傳播木馬或病毒

　　（2）郵件：偵察階段如果發(fā)現(xiàn)目標(biāo)公司有合作伙伴的話(huà)，黑客可以偽裝成合作伙伴發(fā)送郵件，郵件附帶病毒，公司的小白員工很可能就上當(dāng)了

　　（3）USB：U盤(pán)病毒越來(lái)越少見(jiàn)了

　　（1）郵件安全檢測(cè)產(chǎn)品，可以識(shí)別垃圾郵件，把來(lái)自惡意IP郵件會(huì)被屏蔽掉，把沒(méi)有合法數(shù)字簽名的郵件屏蔽掉，這樣可以減少病毒的傳播

　　（2）上網(wǎng)行為管理產(chǎn)品，屏蔽惡意網(wǎng)站，避免員工亂下載東西

　　（3）關(guān)閉USB，或者不給用戶(hù)管理員權(quán)限，可以避免大部分USB病毒傳播的情況

　　（4）DNS過(guò)濾，在DNS解析時(shí)過(guò)濾惡意域名，可以阻斷病毒利用Https協(xié)議通信

　　零信任客戶(hù)端持續(xù)對(duì)用戶(hù)進(jìn)行檢測(cè)，檢測(cè)合格了才允許接入零信任網(wǎng)絡(luò)。

　　電腦上如果存在惡意代碼或者可疑進(jìn)程，零信任會(huì)對(duì)用戶(hù)的可信等級(jí)進(jìn)行降級(jí)。信任等級(jí)低的用戶(hù)不能連接敏感度高的業(yè)務(wù)系統(tǒng)。

　　這樣，就可以大大降低病毒木馬在企業(yè)內(nèi)部傳播的可能性。

　　4、滲透攻擊

　　利用漏洞或缺陷觸發(fā)已經(jīng)投放的惡意代碼，獲得系統(tǒng)控制權(quán)限。

　　（1）緩存溢出攻擊

　　（2）SQL注入攻擊

　　（3）運(yùn)行木馬、惡意軟件

　　（4）在客戶(hù)端執(zhí)行Javascript惡意代碼

　　如果黑客已經(jīng)到了可以執(zhí)行惡意代碼這一步了，那么我們剩下的防御手段也就不多了

　　（1）DEP（數(shù)據(jù)執(zhí)行保護(hù)）可以檢測(cè)內(nèi)存中是否有惡意代碼正在執(zhí)行

　　（2）有些殺毒軟件會(huì)監(jiān)測(cè)內(nèi)存，攔截惡意的漏洞利用行為

　　（3）檢測(cè)沙箱技術(shù)，可以讓軟件在模擬環(huán)境里運(yùn)行，通過(guò)對(duì)軟件的行為進(jìn)行分析，進(jìn)而識(shí)別惡意軟件

　　零信任的主要針對(duì)網(wǎng)絡(luò)內(nèi)連接的管控，端上的安全需要與傳統(tǒng)產(chǎn)品進(jìn)行集成。

　　5、植入后門(mén)

　　植入惡意程序及后門(mén)，以后即使漏洞被修復(fù)了或者系統(tǒng)重啟了，黑客還可以利用后門(mén)進(jìn)來(lái)持續(xù)獲得控制權(quán)限。

　　（1）DLL劫持，替換正常的DLL，每次運(yùn)行都會(huì)執(zhí)行惡意操作

　　（2）meterpreter或類(lèi)似的攻擊載荷可以在觸發(fā)漏洞后能夠返回一個(gè)控制通道

　　（3）安裝一個(gè)遠(yuǎn)程接入工具

　　（4）修改注冊(cè)表，讓惡意程序自動(dòng)啟動(dòng)

　　（5）利用PowerShell運(yùn)行惡意代碼

　　（1）Linux上可以利用chroot jail隔離惡意程序，限制它的訪(fǎng)問(wèn)權(quán)限

　　（2）Windows可以關(guān)閉Powershell

　　（3）建立應(yīng)急響應(yīng)機(jī)制，發(fā)現(xiàn)威脅時(shí)，隔離設(shè)備，遠(yuǎn)程擦除設(shè)備上的信息

　　（4）日常備份，被入侵后可以恢復(fù)到正常狀態(tài)

　　大部分零信任架構(gòu)都會(huì)融入U(xiǎn)BA/EDR方案，監(jiān)控系統(tǒng)上是否有惡意程序安裝、是否發(fā)生了異常行為、注冊(cè)表是否發(fā)生改變。

　　如果發(fā)現(xiàn)了入侵跡象，將記錄日志并發(fā)出告警，嚴(yán)重時(shí)在零信任網(wǎng)關(guān)上執(zhí)行相應(yīng)的隔離策略。

　　6、指揮控制

　　到了這一步，服務(wù)器已經(jīng)完全被黑客控制了，被控制的服務(wù)器可以立即執(zhí)行攻擊，也可以等待來(lái)自黑客遠(yuǎn)端服務(wù)器的進(jìn)一步指令。

　　被控制的服務(wù)器與外部的指揮控制（command & control）服務(wù)器建立加密的通信連接。

　　限制異常通信

　　（1）網(wǎng)絡(luò)分段隔離可以限制設(shè)備的訪(fǎng)問(wèn)權(quán)限，阻斷黑客的通信

　　（2）通過(guò)異常行為日志及時(shí)發(fā)現(xiàn)攻擊者和被入侵的設(shè)備

　　（3）下一代防火墻可以攔截已知的C&C服務(wù)器的通信

　　（4）有些DNS提供僵尸網(wǎng)絡(luò)和C&C服務(wù)器的攔截功能，有些攻擊者或利用fast flux技術(shù)躲避攔截，阻斷對(duì)新出現(xiàn)的域名的訪(fǎng)問(wèn)，可以有效阻斷這類(lèi)遠(yuǎn)程訪(fǎng)問(wèn)

　　（5）利用下一代防火墻的應(yīng)用層管控功能，阻斷非必要的telnet、ssh、rdp、netcat、powershell的通信，如果確實(shí)需要用的話(huà)，一定要做IP白名單限制

　　（6）黑客一般會(huì)對(duì)通信進(jìn)行加密，使用SSL深度包檢測(cè)（DPI）技術(shù)可以檢測(cè)每個(gè)數(shù)據(jù)包的內(nèi)容

　　（7）IOC（失陷指標(biāo)）是一種用來(lái)發(fā)現(xiàn)入侵的工具，在主機(jī)或網(wǎng)絡(luò)上出現(xiàn)IOC時(shí)，代表主機(jī)可能被入侵了，IOC可以通過(guò)本地agent收集

　　零信任架構(gòu)中的微隔離模塊可以對(duì)網(wǎng)絡(luò)進(jìn)行更細(xì)粒度的隔離。

　　（1）平時(shí)對(duì)設(shè)備的訪(fǎng)問(wèn)權(quán)限進(jìn)行白名單機(jī)制的管控，默認(rèn)不允許設(shè)備訪(fǎng)問(wèn)未知IP，即使被黑客入侵了，也無(wú)法與C&C服務(wù)器的通信

　　（2）被感染的設(shè)備被檢測(cè)到之后，會(huì)被完全隔離，只留一個(gè)端口用來(lái)確認(rèn)設(shè)備是否恢復(fù)正常，正常后才能繼續(xù)接入零信任網(wǎng)絡(luò)

　　7、目標(biāo)行動(dòng)

　　開(kāi)展直接的入侵攻擊行為，竊取數(shù)據(jù)、破壞系統(tǒng)運(yùn)行，或者在內(nèi)部網(wǎng)絡(luò)進(jìn)一步橫向移動(dòng)。

　　攻擊者進(jìn)攻的目的可能是為了金錢(qián)、為了政治、從事間諜活動(dòng)，或者內(nèi)部惡意破壞等等。

　　（1）拖庫(kù)，竊取機(jī)密文件，竊取重點(diǎn)人員的郵件、聊天記錄

　　（2）掃描整個(gè)內(nèi)網(wǎng)，以受控主機(jī)為跳板，橫向攻擊更重要的系統(tǒng)

　　（1）DLP數(shù)據(jù)防泄密工具可以保護(hù)本地?cái)?shù)據(jù)，禁止數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸離開(kāi)設(shè)備

　　（2）UBA可以分析用戶(hù)試圖竊取數(shù)據(jù)的行為

　　零信任的理念就是假設(shè)設(shè)備最終大概率都會(huì)進(jìn)入攻擊鏈的最后一步，被入侵。所以，任何設(shè)備都是不可信的。除非設(shè)備能證明自己是安全的，才能獲得接入網(wǎng)絡(luò)的權(quán)力。

　　用戶(hù)的每一次訪(fǎng)問(wèn)請(qǐng)求（per request）都會(huì)被檢測(cè)。用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求到達(dá)零信任網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)會(huì)對(duì)請(qǐng)求進(jìn)行一系列的檢查。

　　（1）檢查是否包含敏感數(shù)據(jù)，包含的話(huà)，會(huì)依據(jù)后臺(tái)規(guī)則進(jìn)行阻斷或日志記錄

　　（2）檢查此次行為與之前的用戶(hù)行為習(xí)慣是否相符，如不相符，則立即觸發(fā)強(qiáng)認(rèn)證，用戶(hù)需要輸入短信驗(yàn)證碼進(jìn)行驗(yàn)證，才能繼續(xù)訪(fǎng)問(wèn)其他資源

　　零信任會(huì)對(duì)每個(gè)服務(wù)器做細(xì)粒度的訪(fǎng)問(wèn)控制。即使一個(gè)服務(wù)器被攻陷，也不會(huì)在內(nèi)網(wǎng)大面積蔓延。

　　總  結(jié)

　　攻擊鏈不只是揭示黑客如何進(jìn)攻的模型，也是一個(gè)安全規(guī)劃的藍(lán)圖。

　　對(duì)照攻擊鏈模型，可以發(fā)現(xiàn)零信任是一個(gè)非常全面的防御體系。零信任可以切斷黑客攻擊鏈上的多個(gè)關(guān)鍵節(jié)點(diǎn)。

　　1、偵察階段，可以隱藏服務(wù)器信息，極大減少信息暴露

　　2、投放武器階段，可以通過(guò)對(duì)設(shè)備可信等級(jí)的檢測(cè)，及時(shí)隔離威脅，減少病毒木馬的傳播

　　3、植入后門(mén)階段，可以通過(guò)對(duì)終端行為的檢測(cè)，及時(shí)發(fā)現(xiàn)威脅，并進(jìn)行響應(yīng)

　　4、指揮控制階段，可以通過(guò)白名單策略，默認(rèn)阻斷被入侵設(shè)備與遠(yuǎn)端服務(wù)器的通信

　　5、目標(biāo)行動(dòng)階段，可以通過(guò)微隔離手段限制黑客進(jìn)一步的橫向攻擊