1.6 网络空间欺骗链与网络空间杀伤链
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一1.6 网络空间欺骗链与网络空间杀伤链,攻击者在目标网络空间中对有价值的信息实施攻击时都遵从一个通用的行为模式。攻击者通常利用的网络空间攻击策略,可被网络空间杀伤链或者攻击周期划分为6个阶段。类似于网络空间杀伤链,网络空间欺骗链并非一直是线性的。每前进的一步都可能是递归或者不连贯的。杀伤链的一次运行可以模拟一次入侵,但是多重跨越式入侵则是以前一次的入侵结果为基础,且省略了一些必要阶段的(见图1.5)。类似地,抵赖与欺骗策划者和网络空间防御操作员为了达到他们的目标,会选择性地实施网络空间欺骗链。网络空间欺骗链同时也可以用于网络空间杀伤链的任何一个阶段,且欺骗操作的目的与杀伤链的每个阶段都息息相关,正如以下假定的抵赖与欺骗策略。
侦察:如果防御方可以察觉攻击者侦察的力度,就可在传递阶段为攻击者提供为了实现防御目的而设置的一系列角色和Web足迹。值得注意的是,欺骗操作可被用于影响攻击链中攻击者将来的行为。
武器化:让攻击者对企业机构漏洞、防御姿态,以及防御方可抵御攻击武器化载荷的能力产生错觉。如果侦察阶段成功,攻击者将会尝试给一个或多个自以为真实而实则是虚假的人员角色传输武器化载荷。
漏洞利用:识别(攻击者)对漏洞利用的企图,可以让防御方利用蜜罐环境使攻击者进行重定向。所谓蜜罐环境就是看似包含了丰富的漏洞信息的网络组成部分,实则是防御方单独设立,且可以监测的网络区域。其目标就是隐藏所有可能被“发现”或暴露蜜罐的信息,以增加攻击者侦察的时间长度。
控制:当攻击者拥有了唾手可得的接入权限时,通过给攻击者提供由抵赖与欺骗策划者设计的、具有丰富信息的互动型蜜罐,能帮助防御方识别攻击者的动机、意图和能力成熟度。
执行:通过模拟系统中断使攻击者的攻击步伐放缓,以便于收集网络空间情报。
维持:通过适时增加和定期去除虚假人员角色信息以保持高互动性蜜罐环境的真实性,同时还要维持现有人员角色及其“间谍零钱包”,比如文件、邮件、密码修改记录、登录记录、浏览记录等。
这些例子启示我们,在一次入侵过程中,可能需要不止一种欺骗运营。下面的例子展示了如何通过构建网络空间欺骗链引导攻击者采用合法凭证这个TTTP实时攻击。该TTTP的ATT&CK矩阵定义如下:
攻击者可利用凭证访问技术盗取特定用户和服务账户的合法凭据。被盗取的凭证主要用于绕过各种资源、主机节点、网络内部,甚至是被持续访问的远程系统的接入控制机制。被盗取的凭证也可以增加攻击者在特定系统上,或者是接入限定的网络区域的权限。攻击者可以选择在利用合法凭证进行合法接入时不使用恶意软件和工具,以增加检测攻击存在性的难度。
凭证和权限的重叠增加了网络的风险,因为攻击者可以利用合法凭证实现账号的转移、接入控制的规避。合法凭证TTP可实现攻击策略中的持续性、权限提升和防御规避。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一1.6 网络空间欺骗链与网络空间杀伤链