What is the Cyber Kill Chain?

由洛克希德-马丁公司开发的 "网络死亡链"（Cyber Kill Chain）是一份网络攻击的阶段列表，威胁行为者必须完成这些阶段才能实现其目标。通过识别攻击的进展阶段，组织可以更好地防御和阻止网络事件。

什么是网络杀伤链？

由洛克希德-马丁公司开发的 Cyber Kill^Chain® 列出了网络攻击的各个阶段，威胁行为者必须完成这些阶段才能实现其目标。通过识别攻击的进展阶段，组织可以更好地防御和阻止网络事件。

尽管 "网络杀伤链 "是十多年前提出的，但许多组织仍在使用它来帮助定义其网络安全流程。

网络杀伤链模型是一个循序渐进的过程，概述了网络攻击的潜在路径。该模型的理念是，在攻击过程中，只要组织能够识别攻击的进程，就有机会在几个点上进行干预并阻止攻击。

根据 "网络杀伤链 "方法，网络攻击的第一个迹象是攻击者探索网络的弱点和漏洞。在这个阶段，威胁者会使用网络钓鱼等手段收集信息，如电子邮件地址、登录凭证、应用程序和操作系统的详细信息。

接下来，攻击者会根据他们的发现创建攻击载体。例如，他们可能会使用远程访问恶意软件、病毒或蠕虫来利用已知漏洞。他们还会在系统中设置后门，以便在原始入口被封堵时获得访问权。

这是攻击者发起攻击的阶段。他们使用的具体载体将取决于从第 1 和第 2 阶段收集到的信息以及攻击目标。然后，他们等待最佳时机发动攻击。

在利用阶段，攻击者会在受害者的系统中执行恶意代码。他们可以攻击特定设备，发送带有恶意链接的电子邮件，或在浏览器层面攻击整个网络。

在这一阶段，攻击者会在受害者的系统中安装恶意软件、勒索软件或病毒。如果这一阶段成功实施，环境将被发起攻击的人控制。

此时，攻击者已经完全远程控制了目标网络上的设备或身份。在这一阶段很难追踪攻击者，因为他们看起来与其他用户无异，从而可以在整个网络中横向移动，为未来的攻击建立更多的入口点。

这一阶段可能立即发生，也可能在攻击者再次发动大规模攻击之前，对您的网络进行更多的侦察和了解。当攻击者决定采取行动实现其目标（如数据加密、外渗或破坏）时，组织将任由攻击者摆布。

网络杀伤链可以帮助组织建立抵御攻击的网络安全战略。它向组织展示了攻击的不同级别，以及可能缺乏安全的地方。

作为 "网络死亡链 "模式的一部分，组织应采用安全技术在流程的每个阶段保护其网络。这些解决方案和服务可能包括

网络杀伤链为网络安全团队提供了一个框架，使其能够根据自身需求和漏洞设计安全生态系统。

随着技术的发展，威胁行为者的技能和能力也在不断提高。网络攻击变得越来越复杂，组织要从攻击中恢复过来的成本也越来越高。但网络杀伤链的基本设计却没有改变。

安全专家批评 "网络杀伤链 "模式只注重外围安全。许多组织采用软件定义的系统来实现协作和简化数据共享，但 "网络杀戮链 "并不能满足远程办公组织或物联网设备以及其他非业务网络终端的需求。

它也没有考虑到创新威胁行为者的各种攻击类型和技术。网络杀伤链模型没有考虑基于网络的攻击、内部威胁和被泄露的凭证。

Cyber Kill Chain 和 MITRE^ATT&CK®都是应对针对企业和其他组织的网络攻击的框架。Cyber Kill Chain 针对网络攻击过程提供了高层次的概述，而MITRE ATT&CK则为企业提供了有关网络攻击的更细粒度的信息。

MITRE ATT&CK 旨在获取有关网络威胁的情报，并为不同的网络攻击提供标准参考和词汇。它是一个免费开放的资源，将网络上的网络安全信息整理成一个简单的分层框架。此外，该框架的每个层次都根据不同的攻击技术提供了详细的操作步骤，以便不同技能水平的专业人员都能为其组织提供一个安全的环境。

另一方面，"网络杀伤链 "声称，网络攻击往往每次都遵循相同的技术和策略。事实并非如此，随着技术的发展，新的攻击载体和方法不断被发现。MITRE ATT&CK 并不是攻击和防御策略的序列；它是一个广泛的知识库，为网络安全专业人员提供可操作的信息，以应对来自其领域专家的特定攻击类型。

BlackBerry在 MITRE ATT&CK 2022 年的评估中，该公司的Cylance 网络安全解决方案套件在任何破坏发生之前，就已成功阻止了 Wizard Spider 和 Sandworm 攻击仿真。

BlackBerry's CylancePROTECT^®和 CylanceOPTICS^®和 ® 解决方案提供了对单个攻击技术的高置信度综合检测，有助于减少因误报而浪费的资源。