一、是侦察阶段。此阶段包括收集电子邮件地址、搜索网站和社交媒体、探测网络边缘查找可利用的漏洞、扫描端口和流量进而设法突破防御。安全策略应当包括下一代防火墙、Web应用防火墙和入侵防御系统等,用以检测和对扫描和探测等做出检测和响应。尤其重要的是,要优先重视物联网和操作技术(OT)的感知技术,并且利用欺骗技术使攻击者更加难以确定真实设备、端口以及通信等。
二、是武器化。此阶段一般涉及构建一个漏洞利用程序来对付一个已知的漏洞,例如针对一个尚未应用补丁的已发布的漏洞。但这个阶段也有可能涉及通过高级勒索软件或其他的基于恶意软件攻击的零日漏洞,从而使得安全检测更为困难。安全系统需要包括高级威胁防护(ATP)技术等,例如沙箱技术,用以检测、分析和防止新产生的可以绕过传统安全方法的恶意软件。而且这个阶段还要求能够包括网络、端点和云等在内的一致性的反病毒功能。
三、是传递。最常见的恶意软件传递机制仍是受感染的电子邮件和受损害的网页。安全邮件网关和Web安全方案需要能够检测和阻止受到感染的附件、链接、网站等。凭据被盗的预防和针对钓鱼攻击的积极的员工培训有助于更好地减少攻击面。由于一些复杂攻击越来越成为一种大型攻击策略的一部分,所以这些安全功能需要在网络、端点和云中持续地应用。
四、是漏洞利用、安装和通信。这种围绕着相同数据集的协调多种技术的伎俩极其危险。一旦恶意软件成功损害了一个目标,它的目的就是利用受害者的漏洞在目标系统上执行代码,构建命令和控制通信,然后在网络中迁移和扩散。IPS、反病毒、沙箱、Web和视频过滤等都可被用于破坏这种攻击连环套。更大的问题是,企业沙箱的分析结果如何能够快速地发送到反病毒、DNS等技术上,从而可以阻止新发现的攻击。此外,企业的安全运营中心团队可以从端点检测和响应、扩展威胁检测与响应(XDR)工具中获益,可以看到和检测在端点、网络、云中的横向迁移行为。高级人工智能、欺骗、SOAR(安全编排与自动化响应)是帮助企业进行实时检测和响应的关键。
五、是扩展和泄露数据。攻击者一旦进入目标系统,就会建立一个桥头堡,在网络中横向迁移活动,查找和确认有价值的数据,然后将数据泄露出去。这一步可能是自动化的,或者可能涉及到入侵者的直接行动。行为分析等解决方案可以有助于检测未授权的行为,而欺骗技术可用于干扰攻击者,并迫使其激发警报,因而可以减少攻击者在网络内部长期隐藏的可能性。