当前位置：首页 > news >正文

蓝队基础，网络七杀伤链详解

news 2026/1/3 3:58:26

声明！
学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec

网络七杀伤链

七个阶段

网络杀伤链模型描述了网络攻击的七个阶段，这些阶段共同构成了攻击者从信息收集到实现攻击目的的完整过程。以下是网络杀伤链的详细阶段：
侦察(Reconnaissance):
攻击者对目标进行信息收集和探测，了解目标的网络架构、系统配置、潜在漏洞以及用户活动等相关情况。这一阶段旨在为后续攻击做准备。

武器化(Weaponization)：
根据侦察所获取的信息，攻击者将恶意软件或攻击工具进行制和包装，使其能够利用目标系统的特定漏洞。这一阶段将普通的恶意软件或工具转化为
具有攻击性的“武器”

投送(Delivery)：
将经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中常见的投送方式包括通过电子邮件附件、恶意链接、受感染的移动存储设备等。

利用(Exploitation)：
一旦投送成功，恶意软件会利用目标系统存在的漏洞来触发并扩行恶意代码，从而获取对目标系统的初步访问权限或控制权

安装（Installation):
在成功利用漏洞进入目标系统后，攻击者会进一步在目标系统内安装额外的恶意软件组件，如后门程序、远程控制工具等。这些组件允许攻击者长期、稳定地控制目标系统。

指挥与控制(Command&Control):
安装在目标系统内的恶意软件会与攻击者所控制的
部服务器建立连接。这一连接允许攻击者远程对目标系统下达指令、获取数据以及进行进一步的控。

行动(Action)：
这是网络攻击的最后阶段。攻击者通过已经建立的指挥与控制通道，在目标系统上执行其预期的恶意活动，如窃取敏感信息、篡改数据、发起拒绝服务攻击等。这些活动旨在达成攻击者的目的。

日志收集

日志收集是网络安全监控的基础，它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Wb服务器、数据库、，身份认证服务器、防火墙、路由和交换机，以及应用程序服务器和工作站。为了有效地收集这些日志，需要配置日志源以生成日志，并将其转发给日志收集器，然后上传到SIEM(安全信息和事件管理)系统。

在Windows系统中，可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统则通常使用syslog来收集和聚合日志，并将其转发到指定的日志收集器。此外，随着互联网技术的发展，楼宇管理和工控网络日志也成为了重要的日志来源，这些系统现在通岸连接到企业网络，并可能成为攻击者的主要目标。

日志搜索与分析

收集到的日志数据需要进行有效的搜索和分析，以便及时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。此外，SIEM系统能够关联日志与活动，识别可疑内容，而Splunk也可以作为SIEM解决方案之一。

监控告警

监控告警是网络安全响应的重要组成部分。告警可以来自SIEM系统，但也可以直接来自安装在系统和网络中的传感器实时告警系统，如IDS（入侵检测系统）设备。此外，事后告警系统，如AIDE（监视系统文件的修改）等，也可以提供重要的安全信息。在某些情况下，事件可能不会从日志或警报中触发，例如攻击者更改了用户密码后，用户可能会直接联系管理员进行通告。

事件响应

事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后，会进行分析评估，并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域，通常由L3级分析师处理。他们会对内存、硬盘等存储设备以合法方式进行取证，以保护数据的完整性。

Cyber Hunting（网络狩猎）

网络狩猎是SOC（安全运营中心）L3级分析师的一门新兴学科。它假设网络已被渗透，通过主动寻找恶意软件（或入侵者），争取在攻击造成损失之前发现。网络狩猎需要寻找一系列指标，以还原网络攻击时间线。MITRE ATT&CK框架是网络威胁猎人的一个关键资源，它提供了攻击者行为方式及其使用工具的信息，有助于发现攻击痕迹。网络威胁搜寻需要非常了解正常状态，并能够识别入侵和异常活动。

威胁情报

威胁情报是网络安全管理的重要组成部分。妥协指标（IOC）是用于识别恶意软件或恶意活动的签名，通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模，手动获取和记录威胁情报已不再可行。因此，自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达（STIX）和可信智能信息自动交换（TAXII）协议，以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报，并将其输入IDS、SIEM等工具，从而实现威胁情报的近乎实时更新，以确保击败已知威胁。此外，AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。

安全管理

安全管理是一组确保公司业务安全的日常流程。它涵盖了多个方面，包括身份管理（IAM）、访问控制、特权管理（PAM）、媒体消毒、人事安全、证书管理以及远程访问等。IAM是任何安全程序的基础，也是黑客攻击的主要目标。访问控制需要配置和验证用户访问系统的权限，并制定审计规则。PAM系统使非特权用户能够请求特权访问，以提升权限。媒体消毒涉及在生命周期结束时对敏感数据进行安全清理和销毁。人事安全是公认的业务安全程序之一。证书管理对于维护PKI架构的完整性至关重要。而后疫情时代，远程访问已成为攻击的重点，因此需要加强对其的安全管理。

零信任网络

在2010年谷歌遭受极光行动网络攻击之后，其内部网络管理方式发生了深刻变革，并创造了“零信任”一词，用以描述一种始终假设内部网络可能已被破坏的运行方式。这种全新的安全理念在NIST特别出版物800-207:零信任架构中得到了正式确立，并现已成为所有美国政府机构必须强制实施的安全标准。

零信任架构的核心在于其四个关键特征：

即时访问（Just-In-Time Access, JITA）：用户或服务在需要时才被授予访问权限，且权限具有时效性，一旦任务完成或时间过期，权限即被收回。
只需足够的访问权限（Least Privilege Access, LPA 或 JEA, Just Enough Access）：用户或服务仅被授予完成特定任务所需的最小权限集，以减少潜在的安全风险。
动态访问策略：访问控制策略根据用户身份、设备状态、位置、时间等多种因素动态调整，以适应不断变化的安全环境。
微观分割：将网络划分为多个小型的、相互隔离的安全区域，以限制攻击者在网络内的横向移动能力。

安全和基础设施

在构建零信任网络的同时，还需关注以下安全和基础设施方面的要素：

数据备份/恢复：作为重要的运营技术，数据备份在发生灾难或攻击事件时，是恢复业务连续性和数据完整性的关键安全资产。
变更管理：安全策略需要与系统的变化过程紧密关联，确保在提交变更前已充分评估风险，并制定详细的变更管理计划，包括推出计划、回滚计划、影响评估和依赖关系清单。
管理物理环境：数据中心环境的物理和电子安全同样重要，包括物理访问控制、机房环境监控（如功率、温度、气压等）。

事件响应

有效的事件响应机制是零信任网络不可或缺的一部分。事件管理生命周期通常包括以下几个阶段：

准备：了解系统及现有控制措施，通过培训和演练提高组织的应急响应能力。
响应：识别安全事件、进行调查、采取行动以响应事件并恢复业务服务。
后续：事后进一步调查、形成报告、总结经验教训，并据此改进安全流程和策略。

SABSA多层控制策略

SABSA（Sherwood Applied Business Security Architecture）多层控制策略提供了一种全面的安全框架，包括威慑、预防、遏制、检测和通知恢复等多个层次的控制措施。

网络七杀伤链

七个阶段

日志收集

日志搜索与分析

监控告警

事件响应

Cyber Hunting（网络狩猎）

威胁情报

安全管理

零信任网络

零信任架构的核心在于其四个关键特征：

安全和基础设施

事件响应

SABSA多层控制策略

相关文章：