初代冠军:网络杀伤链与其时代局限
洛克希德·马丁公司于2011年发布的《网络杀伤链》报告,在当时具有革命性意义。其提出的七阶段模型(侦察、武器化、投放、利用、安装、指挥与控制、目标行动)为防御者提供了一种结构化的方法,促使他们将攻击视为一个连续的过程,而非孤立的事件。
这一框架深刻地塑造了一代安全从业者的思维模式,但面对日新月异的威胁,其局限性也逐渐暴露。
图1:洛克希德·马丁公司提出的经典网络杀伤链七阶段模型。
该框架最大的贡献之一是引入了主动防御的理念。安全团队意识到,如果能够在早期阶段(例如侦察或武器载荷运送过程)探测并拦截攻击活动,就有可能彻底阻止整场入侵。于是,检测策略开始围绕每个阶段构建,威胁情报报告也习惯于根据攻击链阶段来整理调查结果。这种模式曾一度非常有效,但只是暂时的。
局限一:对边界和恶意软件的过度关注
最初的网络杀伤链是针对特定威胁场景构建的:即外部攻击者利用恶意软件突破网络边界。然而,现代威胁往往不遵循这些既定规则。
- 供应链攻击:以2020年的SolarWinds事件为例,攻击者无需费力突破系统边界,因为他们已通过受信的软件更新潜入内部。此次攻击完全绕过了传统的侦察、武器化和投放阶段。
- 内部威胁:当攻击者是拥有合法凭证的内部人员时,由于无需利用任何漏洞,所谓的“利用”阶段根本不存在。
- 云环境攻击:在AWS或Azure等云环境中,“边界”的定义变得模糊。攻击者常常通过暴露的管理接口或配置错误的身份服务获取初始访问权限,完全跳过了传统的“武器化”和“交付”阶段。
这种对初始访问的聚焦,造成了一个显著盲点:入侵之后发生了什么?模型的最后一个阶段“目标行动”过于笼统,它没有描述现代高级持续性威胁(APT)攻击中常见的、可能持续数周甚至数月的内部侦察、横向移动和权限提升过程。
局限二:僵化的线性序列假设
网络杀伤链默认攻击遵循一个线性、确定的顺序,仿佛切断其中一环就能阻止整场攻击。
但现实中的攻击者并非按剧本行事。他们会随机应变,反复经历某些阶段,或并行执行多个操作。攻击者可能先建立初始访问,然后退回侦察阶段以绘制内部网络地图,甚至完全跳过武器化,直接利用现有工具发起攻击。
2017年的NotPetya攻击便是明证。该恶意软件通过被入侵的软件更新(供应链)、利用EternalBlue漏洞(技术利用)以及窃取凭证进行横向移动(入侵后活动)等多种途径并行传播,其过程是一系列重叠并行的阶段,而非固定序列。
现代勒索软件攻击同样混乱。初始访问代理出售凭证给勒索软件运营者,直接绕过了前六个阶段。随后,攻击者会进行广泛的内部侦察、横向移动和数据窃取,最后才部署勒索软件。实际的加密行为可能已是攻击链的第17或18阶段,而非第7阶段。
这两个核心局限——侧重于外围防御和假设线性序列——并非细微瑕疵,它们代表了经典模型在分析现代复杂威胁时的根本缺陷。模型需要的是演进,而非简单的修补。
统一杀伤链:面向现代威胁的元模型
2017年,保罗·波尔斯发表了《统一杀伤链》论文,从根本上重新构建了网络攻击的建模方式。他将网络杀伤链、MITRE ATT&CK 等概念综合成一个全面而灵活的元框架,以应对现代攻击的复杂性。
图2:统一杀伤链提出的“进入”、“穿过”、“退出”三大战略周期。
UKC的核心创新在于明确承认攻击并非线性过程,而是迭代循环。攻击者会根据环境反馈不断调整策略。这种从“确定性链条”到“灵活生命周期”的理念转变,更真实地反映了高级威胁行为体的作战方式。
该框架将攻击活动细化至18个不同阶段,并将其组织到三个战略周期中,尤其在消耗APT大部分时间的入侵后活动方面,提供了前所未有的精细度。
三大战略周期:进入、穿过与退出
1. 进入周期:获得准入与建立立足点(阶段1-8)
此周期涵盖了从外部侦察到在目标内部建立持久控制的完整过程,大致对应原始杀伤链的范围,但阶段划分更细致。
图3:“进入”周期包含侦察、武器化、社会工程、投送、漏洞利用、持久化、防御规避和命令与控制八个阶段。
- 侦察 – 收集目标信息。
- 武器化 – 准备攻击工具与载荷。
- 社会工程 – 操纵人员(这是对原模型的重要补充)。
- 投送 – 传送武器化载荷。
- 漏洞利用 – 触发漏洞以获取代码执行权限。
- 持久化 – 确保重启或凭证更改后访问不丢失。
- 防御规避 – 绕过安全检测机制。
- 指挥与控制 – 建立远程通信信道。
2. 穿过周期:内部探索与横向移动(阶段9-14)
这是UKC最具价值的扩展,它明确建模了入侵后攻击者如何在网络内部活动,这正是老练攻击者花费最多时间的部分。
图4:“穿过”周期详细描述了攻击者进入内部后的六个关键活动阶段。
- 枢纽化 – 利用已控系统作为跳板,访问其他网络区域。
- 发现 – 探查和绘制内部网络环境与资产。
- 权限提升 – 获取更高特权(如管理员权限)。
- 执行 – 在系统上运行代码或命令。
- 凭证访问 – 窃取密码、令牌等认证凭据。
- 横向移动 – 利用凭据或漏洞在网络中横向扩散。
在典型的APT事件中,攻击者会反复循环“发现→凭证访问→横向移动→发现”这一过程,逐步扩大控制范围。
值得注意的是,这里也是许多组织检测能力的薄弱环节。投入重金的边界防御(对应“进入”周期)与相对滞后的内部网络监控形成了反差。理解这些阶段有助于将防御投资优先集中在最关键的领域。
3. 退出周期:达成最终目标(阶段15-18)
此周期详细拆解了攻击者的最终行动,将模糊的“目标行动”具体化。
图5:“退出”周期聚焦于攻击的最终目标,包括数据收集、外泄、施加影响等。
- 收集 – 聚合目标数据。
- 数据外泄 – 将数据窃取至外部。
- 影响 – 破坏运营、篡改数据或部署勒索软件。
- 目标 – 实现其战略意图(如间谍、破坏、勒索)。
并非所有攻击都会经历全部阶段。间谍APT侧重收集与外泄,可能忽略“影响”;勒索软件团伙则直奔“影响”阶段。UKC提供的是全面的可能性地图,而非强制剧本。
UKC如何弥补经典模型的缺陷
解决“边界”问题
UKC通过明确纳入社会工程、凭证访问、横向移动等阶段,自然涵盖了内部威胁和云环境攻击。更重要的是,其“进入-穿过-退出”的三周期结构,迫使防御者必须思考边界被突破后的情况。整整一半的阶段(“穿过”和“退出”)都专注于初始入侵之后,这与“假定失陷”和“纵深防御”的现代安全理念完美契合。
解决“线性”问题
UKC不假定固定顺序。18个阶段可以以任何顺序发生、循环或并行。攻击者可能多次执行“发现”,建立多个“C2”通道作为冗余,并在攻击全程持续进行“收集”与“外泄”。
该模型特别指出了“枢纽化”作为一个独立关键阶段的价值。这是攻击者在网络区域间移动的咽喉要道,也是防御者通过良好网络分段所能创造的绝佳检测机会。
此外,UKC将“目标行动”分解为“收集”、“外泄”、“影响”,正好对应信息安全CIA三性(机密性、完整性、可用性),让防御控制措施能与威胁直接对标。最后,“目标”阶段促使分析师像情报专家一样思考攻击者的战略意图,从而更好地预测其攻击路径。
正确理解UKC的定位
- UKC不取代MITRE ATT&CK。ATT&CK提供具体战术技术,UKC提供战略框架,两者互补。
- UKC不是检测框架。它不指导具体日志收集或SIEM规则,而是告诉你防御应围绕攻击者的哪些目标来规划。
- UKC并非万能。对于简单恶意软件,经典杀伤链可能已足够。
UKC与其他主流框架的协同关系
你可能会问:“我们不是已经有MITRE ATT&CK了吗?”没错,而这正是关键——统一杀伤链旨在整合而非替代。
MITRE ATT&CK:战术技术库
ATT&CK是一个基于真实世界观察的、包含数百种战术技术的庞大知识库,是威胁情报的通用语言。
图6:MITRE ATT&CK矩阵,提供了详尽的攻击战术与技术分类。
但ATT&CK是“与时间无关”的分类法,它告诉你对手“能做什么”,而非“何时做”。UKC则提供了ATT&CK所缺乏的叙事顺序。你可以将ATT&CK中的具体技术(如T1566网络钓鱼)映射到UKC的特定阶段(初始访问),从而理解攻击的演进脉络。
实战应用:在威胁报告中,可用UKC阶段构建叙事主线(“攻击者通过钓鱼进入,横向移动至核心区,最后窃取数据”),再用ATT&CK技术填充细节(“使用了T1566.001鱼叉附件,通过T1021.001 RDP横向移动”)。
钻石模型:归因分析框架
钻石模型将安全事件分解为四个核心要素:攻击者、能力、基础设施、受害者,擅长于事件关联与归因分析。
图7:钻石模型,用于分析攻击事件的核心要素及其关联。
UKC的每个阶段都可以被视为一个“钻石事件”进行分析。例如,“投递”阶段构成一个钻石:攻击者(APT28)利用基础设施(被黑网站)向受害者(目标公司)投送了能力(恶意PDF)。通过这种方式,可以将攻击活动与特定威胁行为体关联起来。
框架间的协同定位
三大框架各司其职,形成互补:
- 统一杀伤链:提供战略路线图与阶段流程。
- MITRE ATT&CK:提供战术手册与缓解措施。
- 钻石模型:提供情报分析与归因工具。
在实际的威胁情报工作中,你无需三选一,而应结合使用:用UKC构建报告结构,用ATT&CK充实技术细节,用钻石模型支撑归因判断。掌握这种协同应用之道,是构建高效威胁情报能力的关键。
想要深入了解网络安全框架实践或与同行交流,欢迎访问云栈社区,获取更多技术资源与深度讨论。
发表于 2025-12-30 02:59:26
|
查看: 25|
回复: 0
