網絡空間是一個沒有硝煙的戰場，任何組織和機構在網絡空間內都是渺小和脆弱的個體，網絡攻擊的來源無法確定，發起攻擊的時間不可預見，要在這個戰場中安穩生存實屬不易。所幸的是，網絡攻擊的手段都是類似的，有規律可循的。

　　美國最大的軍火商洛克希德馬丁公司(Lockheed Martin)提出的“網絡攻擊鏈”( Cyber Kill Chain)模型，也被稱為“網絡殺傷鏈”模型，其描述了一次完整的網絡攻擊需要經歷七個階段，如圖所示：

圖1:“網絡攻擊鏈”模型

　　偵查目標(Reconnaissance)：偵查目標，充分利用社會工程學了解目標網絡。

　　制作工具(Weaponization)：主要是指制作定向攻擊工具，例如帶有惡意代碼的pdf文件或office文件。

　　傳送工具(Delivery)：輸送攻擊工具到目標系統上，常用的手法包括郵件的附件、網站(掛馬)、U盤等。

　　觸發工具(Exploitation)：利用目標系統的應用或操作系統漏洞，在目標系統觸發攻擊工具運行。

　　安裝木馬(Installation)：遠程控制程序(特馬)的安裝，使得攻擊者可以長期潛伏在目標系統中。

　　建立連接(Command and Control)：與互聯網控制器服務器建立一個C2信道。

　　執行攻擊(Actions on Objectives)：執行所需要得攻擊行為，例如偷取信息、篡改信息等。

　　“網絡攻擊鏈”模型認為任何網絡攻擊都可以對應到上述七個步驟中，分析該模型每個步驟可能使用的攻擊方法，可以為網絡安全保障人員提供針對各個攻擊環節的防護思路，建立精準、完整的網絡安全防護體系，減少網絡攻擊給組織或機構帶來的損失。

　　1.偵查目標(Reconnaissance)

　　在軍事對抗中，情報是制定謀略的基礎，一招制勝的前提。兵法有云，“知己知彼，百戰不殆”，官渡之戰中，曹軍利用信息優勢掌控戰局，精準定位袁軍的薄弱點，對烏巢糧倉發動奇襲，一舉攻破要害，以少勝多。在網絡戰場中，入侵的第一步也是偵查目標，攻擊者會從各種渠道收集入侵目標的信息，繪制目標畫像和信息拓撲，尋找目標的弱點，制定入侵策略。

　　常見的目標偵查手段例舉如下：

　　通過Googlehacking或爬蟲工具收集目標暴露在互聯網的敏感信息，如企業架構、員工郵箱、采購信息、泄密文件等;

　　通過Rayspace、Shodan、Fofa、Zoomeye等專業的網絡空間資產探測工具收集目標的互聯網資產信息，如在線設備、網站、應用系統及其使用的服務和組件等信息;

　　通過站長工具、愛站、微步在線等工具查詢目標的whois信息，包括目標相關域名的IP以及所有者信息等;

　　通過Nmap、Ping、Dnsmap、Nslookup等工具，收集目標網絡空間資產的狀態信息、屬性信息、關聯信息等;

　　通過Github、GitLab、BitBucket等源代碼托管平臺，收集目標及其關聯系統的源碼信息;

　　利用社會工程學方法，通過客服電話、人員潛入、社工庫查詢等方式，獲取目標相關信息。

　　攻擊者收集目標信息的方法遠不止上文所述，組織和機構面對來自多角度、多方式的信息偵查，可以通過以下防御措施降低安全風險：

　　不在公開網站暴露組織的敏感信息，利用互聯網敏感信息檢測工具，定期檢測暴露在互聯網的組織敏感信息并定期處理，收斂信息暴露面;

　　服務器配置加固，關閉不必要的端口和服務，網站錯誤回顯避免暴露服務器信息，可以利用基線核查工具或漏洞掃描工具，定期對服務器安全性進行評估和加固;

　　網絡邊界部署WAF、入侵防御、防火墻等安全防護設備，有效抵御掃描器、網絡爬蟲等攻擊;

　　部署蜜罐網絡，混淆攻擊者的偵測目標，主動識別黑客身份，對入侵者進行溯源打擊。

　　目標偵查階段的有力防護，可以在網絡攻擊的初始階段拖延入侵進度，限制攻擊者的攻擊手段，增加攻擊者的入侵成本，讓攻擊者知難而退。

　　2.制作工具(Weaponization)

　　“工欲善其事，必先利其器”。攻擊者對目標偵查完畢后，會根據目標特點和入侵目的，組合“傳統兵器”，定制“特種武器”，打造具有針對性的“武器庫”，常見的“武器”例舉以下幾種：

　　利用Metasploit框架編寫的攻擊腳本;

　　EXP庫中的漏洞利用工具;

　　僵尸程序、特洛伊木馬、網絡蠕蟲等惡意程序;

　　利用社會工程學成果制作的釣魚網站、弱口令庫;

　　SQLMap、BurpSuite、中國菜刀、中國蟻劍、AWVS、WAPITI等常用攻擊工具。

　　通常在一次具有針對性的攻擊中，還可能會制作智能攻擊腳本，通過調用工具集實現自動化攻打擊，利用混淆、加殼、加密等技術制作變種惡意程序，利用AI技術Bypass動態檢測，利用自學習攻擊模型進行情報庫污染等。面對各式各樣的攻擊工具，可以通過以下措施強化安全防線：

　　采用漏洞掃描工具，及時發現系統和應用中的漏洞，并采取修補或防護措施;

　　安裝防毒墻、殺毒軟件，對病毒傳播進行定向防護;

　　利用網站監測工具對釣魚網站進行定位打擊;

　　開啟WAF、防火墻等產品的攻擊防護策略，阻斷掃描、注入、拒絕服務、暴力破解等入侵行為。

　　斷敵兵刃，可奪其志。針對攻擊工具的定向防護，可以有效遏制攻擊者的入侵，讓攻擊者無計可施。

　　3.傳送工具(Delivery)

　　攻擊者打造“武器庫”后，將進行“武器”投放，特洛伊戰爭的故事非常經典，古希臘間諜誘騙特洛伊國王將大型木馬雕像運往城中，隱藏在大型木馬中的希臘軍隊在城中發動奇襲，一舉攻破了特洛伊王國，這也是特洛伊木馬命名的由來。同樣，在網絡空間中，攻破一個系統最有效的方式，就是將惡意代碼傳送至目標系統。

　　通常情況下，傳送惡意代碼的方式可以分為物理傳輸和網絡傳輸。

　　物理傳輸通過U盤、外設、硬盤等物理介質，將惡意代碼輸送至目標主機

　　網絡傳輸通過釣魚郵件、掛馬網站、即時通訊軟件等方式誘導受害者下載惡意文件

表1 惡意代碼傳送方式

　　針對以上惡意代碼的傳送方式，可以通過以下措施進行防范：

　　安裝主機防護軟件，檢測來源于物理介質的惡意代碼傳輸;

　　部署網絡邊界防護產品，及時發現并阻斷病毒和惡意程序的傳輸行為;

　　部署郵件安全網關產品，識別電子郵箱中的惡意文件和危險鏈接，有效防范來源于電子郵件的惡意攻擊;

　　提高人員網絡安全防護意識，具備基本的網絡欺騙鑒別能力。

　　據相關報告統計，2019年全球19.8%的計算機至少檢測到一次惡意軟件類攻擊;2020年垃圾郵件在電子郵件流量中占50.37%，共檢測到184435643個惡意附件，反釣魚軟件阻止了434898635次詐騙網站訪問。龐大的數據說明了惡意代碼的網絡傳播行為尤為猖獗，全網計算機用戶的網絡安全防護意識仍待提高。

　　4.觸發工具(Exploitation)

　　攻擊者將惡意程序傳送到目標系統后，會利用目標系統或應用中存在的漏洞，執行惡意程序中包含的惡意代碼，常被利用的安全漏洞有SQL注入、XSS、弱口令、任意文件上傳、任意代碼執行、緩沖區溢出等。除此之外，多數惡意程序本身就具備迷惑性的特點，會誘導計算機用戶主動運行惡意程序，執行惡意代碼。

　　當惡意程序已經被傳輸到主機后，我們可以采用以下防護手段：

　　安裝殺毒軟件，對惡意軟件進行攔截、查殺;

　　利用沙箱工具，檢查未知文件的安全性，動態分析文件行為，深度鑒別文件危害性;

　　部署安全防護產品，防御利用常見安全漏洞發起的攻擊，攔截遠程執行惡意代碼的命令。

　　如果攻擊已經進展到了觸發工具的階段，說明攻擊者對目標系統的入侵已接近成功，意味著目標系統已經岌岌可危，可能隨時被攻擊者獲取權限。

　　5.安裝木馬(Installation)

　　攻擊者在獲取到目標系統的控制權限后，將在目標系統中安裝木馬，植入后門，后門程序通常具有極強的隱蔽性，很難被正常用戶發現。植入后門程序的作用是使得攻擊者可以長期保持對目標系統的控制權限，即使目標系統修復漏洞后，攻擊者仍然具有目標系統的連接方式。

　　簡單的后門可能是擁有一個或多個賬戶的使用權限，復雜的后門可能是擁有特定的系統連接方式，對系統有安全存取權，可以采取以下措施對后門程序進行檢測和防護：

　　監控系統日志，對于修改注冊表、調整安全配置、添加賬戶、修改權限表、安裝遠程工具等敏感操作進行管控和審計;

　　利用漏洞掃描工具，定期檢查系統是否被植入后門，及時查殺后門程序，修復后門漏洞;

　　定期備份系統狀態，被入侵后可以恢復到正常狀態。

　　6.建立連接(Command and Control)

　　目標系統被植入后門后，攻擊者會開始建立目標系統與控制服務器的連接通道，到了這一步意味著目標系統已經完全失陷，攻擊者已經具備目標系統的完整控制權限，失陷主機已經成為攻擊者的肉雞，攻擊者隨時可以利用該據點進行橫向滲透，擴大攻擊成果，或者立即發起攻擊。

　　倘若攻擊者已經“hand on the keyboard”，那么被入侵者能施展的防護手段已經不多了，可以采取以下措施進行檢測和預防：

　　部署專業的僵木蠕檢測產品，檢查網絡中的僵尸主機和受控資產，切斷失陷主機與僵尸網絡的通信;

　　網絡邊界部署非法外聯檢測產品，識別網絡中的異常通信，及時阻斷未經授權的連接;

　　對于重要系統應當采用白名單機制進行訪問控制。

　　7.執行攻擊(Actions on Objectives)

　　經歷了前6個階段的攻擊后，攻擊者可以根據商業或政治意圖，開始干擾目標系統的保密性、完整性和可用性，進行信息竊取、破壞、加密等行為，或利用失陷主機作為跳板，入侵網絡中的其他系統。

　　此時，受害者的損失已經不可避免，但是組織和機構仍然可以事先采取預防措施，面對攻勢及時發起應急響應，有效控制受害面，緩解攻擊強度，降低損失。

　　信息系統采取分級分域安全管理辦法，做好網絡域與域之間的安全隔離，級與級之間的訪問控制，防止攻擊擴散;

　　建立健全的數據安全管理制度，部署數據防泄漏產品，嚴格控制數據訪問權限，阻止數據竊取;

　　建立健全的網絡安全應急響應機制，針對突發的網絡安全事件可以快速定位威脅，緩解并根除攻擊，及時修復業務;

　　對于重要業務有災備方案，面對不可逆轉的破壞具備恢復能力。

　　總結：隨著信息科技的蓬勃發展，創新技術和新興產業快速融入信息化時代的同時，也增加了網絡空間的脆弱性，為黑客提供了更多的攻擊手段，傳統的安全防護思路顯得有些無所適從。

　　基于人工智能(AI)與機器學習(ML)的自動化攻防將成為網絡安全對抗的主流形式，擴展檢測和響應(XDR)和威脅情報(TI)技術的逐步落地，為精準檢測、快速響應提供了有力幫助。網絡資產攻擊面管理(CASSM)和入侵與攻擊模擬(BAS)等新興技術理念的實踐應用，也為企業安全運營提供了更多思路。深入研究產業應用場景，探索網絡安全創新技術，是提升網絡空間安全能力的有效途徑。

　　更多關于網絡安全培訓的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務經驗，采用全程面授高品質、高體驗培養模式，擁有國內一體化教學管理及學員服務，助力更多學員實現高薪夢想。