其实在我之前文章里面,也反复提到一些框架和模型,为什么要反复提网络安全框架和模型,在我的认知层面里,我觉得做任何事情,都需要遵循一定方法论和规则,当你不能成为第一个吃螃蟹的人,那就必须站在前人总结的基础上去学习、理解并应用。任何领域、任何行业都有相匹配的方法和体系,比如华为的三大流程IPD、LTC及ITR,费曼学习法等,类似这样的流程、框架呀实在太多了,多学习流程和框架的好处就是,做相关事情有方法可循,可以快速构建你的思维体系来解决问题,同时基于你对框架和流程的理解和深入,可以站在框架和流程之上的角度来思考和解决问题,这样看问题的角度和深度就不一样了。从网络攻防的角度,必须了解三个攻击模型,这三个模型只是从不同的角度呈现了黑客攻击的路径和方法,黑客并不一定完全按照这些模型的思路,但是至少有一个稍微清楚的路径了,常言道尽信书不如无书,不能拘泥于这些模型,要活学活用,真正从实战出发,从溯源取证角度去分析和总结,就像古龙写的武侠小说一样,没有明确的武功招式,往往是无招胜有招,这就是一种境界。下面重点介绍一下三种模型,仅做参考。
1. 渗透测试执行标准(PTES)
渗透测试执行标准由7个部分组成,包括前期交互、情报收集、威胁建模、漏洞分析、渗透利用、后渗透、撰写报告。在中国,渗透测试必须经过授权,否则就违背了网络安全法。前期交互主要指开展渗透测试工作前,与客户进行沟通和交流,确定测试范围、目标、限制条件及相关要求,以及签订合同等,主要是前期的准备工作。情报收集主要指通过主动或被动方式收集渗透测试相关的信息,比如目标网络、端口、操作系统、相关组件、协议、漏洞等信息。威胁建模指对情报收集阶段获取的情报信息进行威胁建模,找出系统中最薄弱的环节,确定高效准确的攻击方法。漏洞分析发现系统和应用程序中可被攻击者利用的缺陷的过程。渗透利用是指利用之前发现的漏洞进行真正的攻击取得目标系统的访问控制权。后渗透指取得访问控制权之后进行权限维持并获取目标系统的数据,达到网络攻击目的。撰写报告指向被渗透方提交渗透结果以及修复方案。
传送门:www.pentest-standard.org
2. 网空杀伤链(CyberKillChain)
杀伤链也叫七步杀,用于识别和预防网络入侵活动,由洛克希德·马丁公司开发。该模型确定了对手必须完成什么才能实现。包括侦察、武器研发、载荷投递、渗透利用、安装执行、命令控制、任务执行。侦察指收集电子邮件、组织、系统等各种信息,就是针对目标及目标外围的各种情报信息。武器研发指开发各种攻击所需要的poc、exp等各种程序。载荷投递指通过电子邮件、网络、USB等方式向目标进行投递。渗透利用指投递成功之后在目标网络或资产上进行渗透利用获得初步控制权。安装执行指将木马在目标资产上正常运行,具备执行下一步动作的条件。命令控制指通过各种方式将木马持久化并与攻击服务器保持隐蔽持久的通道。任务执行指达成前期写下的目标,比如窃取数据、破坏系统等各种恶意行为。
传送门:https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
3. MITREATT&CK框架
ATT&CK是由MITRE公司在2013年提出的战略、战术及程序的对抗框架,可用用于对抗模拟、红队渗透测试、蓝队防御、威胁情报分析等,有三个版本ATT&CK Matrix for Enterprise、ATT&CK Matrix for Mobile、ATT&CK Matrix for ICS。
传送门:https://attack.mitre.org/官网
https://mitre-attack.github.io/attack-navigator/导航器(可以做攻击路线图)
还有CALDERA是MITER官方基于ATT&CK推出的网络安全红蓝对抗框架,可用于自动化红队行动、手工红队行动、自动化应急响应等攻防实践。https://github.com/mitre/caldera
总之,了解攻击模型对网络安全人士至关重要,因为它有助于预测和理解潜在威胁,指导有效的防御策略。攻击模型提供了对黑客可能采用的技术和方法的深入了解,使安全专业人员能够更全面地评估系统和网络的脆弱性。通过研究不同的攻击模型,安全团队可以更好地了解威胁面,并采取相应的对策,包括加强防护措施、改进监控和应急响应计划。这种深入了解攻击模型的方法有助于提高网络安全的整体水平,确保组织能够更加强大地抵御不断演进的威胁。