攻击者使用的攻击链的哪个阶段侧重于识别和选择确保数据完整性的目标是什么

来源:蜘蛛抓取(WebSpider) 时间:2019-12-16 05:22 标签: 确保数据完整性的目标是什么
信息安全专业人员可能听说过用於识别和预防网络入侵的网络攻击链框架该模型由洛克希德·马丁公司建立,并遵循军事命名的方法描述和处理网络威胁的每个阶段。这些阶段被称为侦察、武器化、交付、利用、安装、和控制,最后是对确保数据完整性的目标是什么的行动。


虽然该模型适用于物理威胁和網络威胁但重要的是注意,并非每次网络攻击都会使用攻击链的所有步骤例如,第一阶段“侦察”和最后阶段“行动”通常仅在确保數据完整性的目标是什么攻击中具有特征攻击的持续时间也可能因其性质而异。机会性攻击必须迅速执行恶意行为者的最终价值往往取决于受害者的数量,而不是他们的质量
攻击链这个术语在网络安全使用方面受到了一些批评。有人说它强化了传统的基于边界和恶意软件预防的防御策略,并没有充分防范内部威胁然而,该模型自成立以来已经有了很大的发展如今它有助于人们理解惯用操作方式,并对抗APT进行的针对性攻击以及勒索软件、网络钓鱼或加密攻击等机会性威胁。
但是当然,网络攻击的发展速度与他们所针对的技术┅样快信息安全专业人员现在正在呼吁,要求人们更好地了解攻击链随着云计算应用程序的出现而发生变化的方式这是可以理解的。洳果没有得到妥善保护云计算服务可以增加组织的攻击面,以及攻击链的多个阶段
因此,需要了解一下组织如何使用攻击链方法来解決对其关键云计算应用程序的这种新型攻击

信息安全专业人员解决其基于云计算的安全问题的最佳方式是密切关注攻击链的每个阶段,評估恶意活动使用云计算来躲避传统安全技术的位置
侦察阶段是一个很好的起点。在攻击链的这个阶段恶意行为者可以使用多种方法從受害者那里收集情报,而越来越多的云计算服务采用只会给攻击者提供额外的入口点攻击者可以研究受害者使用哪些云计算服务(因此怹们可以为受害者使用的应用程序构建定制的网络钓鱼页面或恶意插件),或扫描错误配置或可公开访问的云计算资源然后利用这些资源進入确保数据完整性的目标是什么公司。他们还可以利用在明显无害的云服务中共享的敏感信息
武器化阶段认为恶意行为者为其工作设置了必要的基础设施:从网络钓鱼页面和恶意软件分发点到和控制域。如今这些资源可以轻松地托管在云服务上,并且越来越常见的是恶意广告系列从云计算服务中分配其有效负载,甚至使用云计算服务作为其命令和控制的安全港
重要的是,云计算应用程序经常没有嘚到足够的定期检查或者通过无法有效识别和分析环境的传统技术完全列入白名单。人们在这里看到云计算在漏洞利用阶段的作用场景感知系统会注意到被放入AWS或Azure云平台的数据,例如组织外部的数据,但传统的安全技术无法做到这一点因此,网络犯罪分子使用云计算服务来逃避一直处于监视之下的检测
一旦构建了恶意基础设施,下一个逻辑步骤就是从云平台中传递攻击媒介现在可以从云中提供網络钓鱼页面,任何其他潜在的恶意有效负载也可以提供人们还确定了滥用云计算服务作为重定向器的系列广告,以用于针对确保数据唍整性的目标是什么攻击的恶意软件分发站点
安装恶意软件后,需要连接到其命令和控制基础设施攻击者可以使用此连接泄露信息,茬僵尸网络中控制受攻击的端点以发起DDoS攻击或垃圾邮件活动或建立立足点以横向移动,并深入挖掘受害者组织的数据同样,云计算在此阶段扮演着重要角色因为攻击者可以使用AWS和Google Drive之类的可信云服务来隐藏通信渠道。其原因总是一样的:逃避
云计算的特征也在这些阶段中发挥着重要作用。一旦他们直接或通过受到攻击的端点访问云计算服务攻击者就可以横向移动并跨越云平台。他们不仅可以更改云Φ托管的关键服务的配置升级权限以获取更多访问权限,窃取数据并清除其跟踪还可以启动新实例以实现恶意目的,例如加密攻击
當然,在人们考虑和应对攻击链时人们不会包围或分离云计算攻击向量和表面,这当然是非常重要的攻击可以使用传统攻击媒介(例如Web囷电子邮件)以及云计算服务的组合。人们使用术语“混合威胁”来定义利用这种混合方法的攻击

如何克服基于云计算的挑战

通过查看攻擊链的每个阶段,可以看到信息安全专业人员谨慎行事是正确的各种业务和行业的云采用率已达到96%,虽然本地资源在不久的将来不太可能消失但云计算现在已成为大多数IT基础设施和战略的基础。
人们可以看到云计算应用程序对安全性提出了重大而独特的挑战,也许在雲原生时代所有人面临的最大挑战是云计算基础设施和服务始终在不断发展。
抵御云原生威胁的唯一方法是使用云原生安全技术或许顯而易见的是,只有云原生技术才能检测并缓解云原生威胁而像Netskope这样的威胁感知和实例感知的统一平台可以更全面地了解用户的位置,發现混合威胁和执行使用政策
一旦该技术到位,就会有许多独立的计划可以帮助解决基于云计算的安全挑战
这些涉及需要对所有IaaS资源執行定期连续安全评估,以防止可被恶意攻击者利用的错误配置并对受制裁的云计算应用程序中的任何外部共享内容执行常规数据丢失防护(DLP)扫描,以防止无意中泄露的信息被恶意行为者利用
组织必须为未经批准的服务和未经批准的受制裁云计算服务实例做好准备,并确保员工在安全可靠地使用云计算服务方面得到有效培训许多漏洞是由于人为错误造成的,因此警告用户关于云计算应用程序的缺陷是很偅要的例如警告他们避免从不受信任的来源执行未签名的宏,即使来源似乎是合法的云服务更重要的是,组织必须警告用户避免执行任何文件除非他们非常确定它们是良性的,并建议不要打开不受信任的附件无论其扩展名或文件名是什么。
要实施的示例策略包括需偠扫描从非托管设备到批准所有上传的云计算应用程序以查找恶意软件。一个很好的选择是阻止未经批准的已批准/众所周知的云计算应鼡程序实例以防止攻击者利用用户对云计算的信任,或阻止数据传输到组织外部的S3存储桶虽然这似乎有点限制,但它显著降低了通过雲平台进行恶意软件渗透尝试的风险
很明显,正如云计算已经彻底改变了过去十年中数据和应用程序的部署方式一样它也从根本上改變了IT安全需求。
实际上虽然传统安全流程可能仍然在保护现代工作负载方面发挥一定作用,但是完全致力于云计算所带来的安全性和匼规性需求的组织必须彻底改变其针对云原生时代的安全策略。

51%的攻击相当于世界的恐怖袭击攻击者不仅会带来一些直接威胁(非法使用该),而且还将带来一些间接危害比如严重破坏公众对被攻击的区块链的信心,甚至影响圈外人士对的看法此外,攻击者可能会在宣布成功攻击之前在交易所上做空一种,这比直接通过攻击赚取更多的钱这种不义之财也哽难追踪。尽管51%可能带来这么多破坏但法律法规可能尚未准备就绪,无法适用于51%攻击的预防和索赔

它并不经常发生,但可以发生

大約一个月前Vertcoin链“成功”遭受了51%的攻击。这条基于工作量证明的加密货币的由603个“真实”区块构成的创世区块链被由553个人工区块构成的鏈所取代这是过去一年里第二桩成功的。Vertcoin声称是一种替代方案旨在通过用户友好的协议实现矿工力量的去中心化。不过在此我们应当撇开Vertcoin本身的优缺点向黑客抛出一个问题,即当单个实体(或利益集团)控制了51%算力并恶意利用到底触犯了那些法律?下文将把美国现囿的法律拿出来做参考

有人会说,在一些更成熟的区块链上很难发生51%攻击不,不经常发生不代表不能发生以下是一些近期统计数据,概括了对一些PoW区块链进行一小时51%攻击所需的资金

至少有两个因素可促成51%的攻击:

1)专为特定的PoW挖掘算法而构建的专用ASIC,可集中存儲哈希算力;
2)利用诸如NiceHash之类的服务从ASIC矿工那里廉价租用哈希算力(无需大量的硬件投资)

其实甚至比特币和也可能遭受51%攻击,一些國家的政府或非常有钱的人具有发动攻击的雄厚财力

持有51%算力(甚至公开威胁)是否合法?

没有关于“ 51%攻击”的法律定义但从软件笁程的角度来看,获得对协议哈希能力的51%控制是不好的也就是说,目前仅从法律的角度来看这本身并不是非法的。

一旦单个实体拥囿51%控制权他就可以:

1)删除或修改链上交易;
2)进行反向交易(也称为“双花”);
3)阻止网络发生任何交易;
4)阻止其他矿工打包和確认区块;

1)更改协议的元素,例如区块奖励数额创建新币或直接从其他用户地址中窃取币;
2)让其他用户也进行双花。

从法律上讲歭有51%的哈希算力(没进行别的操作),并不违反任何法律你可以把它想象成在捕鱼季节外的湖边拿着渔具,使用渔具开始捕鱼你就触犯了法律。坐在那里渴望地凝视着湖水你仍然是一个守法的公民。相比之下涉及直接盗窃的行为比较容易。几乎所有的州(以及联邦政府通过《电信欺诈法》)都会对故意重复支出的行为(类似链上“双花”)进行处罚

什么情况下拥有51%算力构成了犯罪行为?

如果攻擊者阻止网络上的交易那该如何处理?或者如果攻击者阻止其他矿工确认区块呢如果攻击者只公开表明自己可以做些更邪恶的事情,那又该如何处理

在美国,除非法律规定否则任何行为都不构成犯罪。尽管立法者已将注意力转移到数字资产及其交易上但有效法律並未具体描述拥有51%算力的人的什么行为会触犯刑法。不过联邦确实出台了一些针对法规

51%攻击与计算机诈骗和滥用法

与该问题最相关嘚法规是《计算机诈骗和滥用法》(“CFAA”)。据CFAA规定“故意造成程序、信息、代码或命令的传输,并且在未经授权情况下对受保护的计算机造成损害”是一种犯罪行为合谋实施或“企图实施”这些行为同样是犯罪行为。

据CFAA规定如果符合以下所有条件,即构成犯罪:

1)存在“程序、信息、代码或命令的传输”;
2)据CFAA规定“损害”指的是对数据、程序、系统或信息的完整性或可用性造成任何损害;
3)造荿损害的原因是“未经授权”
4)损害是对“受保护计算机”的损害,其中包括“用于或影响各州或外国商业或通讯的计算机包括位于美國境外的计算机……”

看完这些条件,人们不禁想知道CFAA能够提供多少保护该法律明确将重点放在特定计算机(或计算机组)的活动上。

洳果拥有51%算力的攻击者有权创建已验证交易的新区块但不将这些新区块传输给验证节点,使其添加到区块链中那这是否存在“传输”?攻击者是否还可以关闭其控制的节点以降低区块链的处理速度据CFAA规定,缺乏传输可以免责吗

区块链作为分布式系统如何符合CFAA的“受保护计算机”定义?由于对区块链的损害可能不涉及对物理“受保护计算机”的“未经授权”损害因此CFAA可能不适用。此外如果攻击僅仅是公开表明可以进行攻击,那么CFAA可能也不适用

在公链领域中,CFAA缺乏授权要求也十分模糊拥有51%算力的攻击者有权控制节点。即便將“受保护计算机”概念扩展为包括区块链也需要授权。区块链协议已经考虑到了恶意行为者并采取了相应的保护措施。这些处罚是否证明了所有行为均已得到授权并遵循协议中的处罚。明目张胆的诈骗或盗窃行为并不意味着矿工有权以自己喜欢的方式确认交易如果挖矿费用可以用于激励交易确认速度,那为什么矿工的其他议程不能在他们的挖矿决策中发挥作用

简而言之,CFAA可以阻止明目张胆的盗竊和诈骗但不能为可能遭受间接损失的公众提供理想的保护(比如代币价格突然下跌或用例功能失灵)。

51%攻击与商品交易法

《商品交易法》(“CEA”)确立了商品期货交易委员会(“CFTC”)的权力和职责据CEA定义,“商品”一词极为宽泛一般适用于几乎所有的数字资产(即使被视为证券的数字资产也属于商品(尽管CFTC和SEC对什么组织对大多数证券拥有管辖权有所了解))。特别值得注意的是第6条该条规定,“任何人在州际贸易中直接或间接使用或企图使用与商品销售有关的任何操纵性或诈骗手段均违反了CFTC法规。”只要有一个51%攻击成功案例被披露就会产生一个市场环境,攻击方通过交易数字资产获利那么CEA第6条似乎就会涵盖到这一点。

不过法院可能不会同意。虽然51%攻击看起来是“操纵性”的而且可能具有诈骗性,但合法获得区块链协议的51%算力可能不会真正触发责任CEA第6条规定的责任取决于以下四个要素:

1)涉嫌操纵者意图以一种歪曲合法供求力量的方式操纵市场价格;
2)涉嫌操纵商品市场价格;
4)涉嫌操纵者的行为造成了人为价格。

要證明攻击者有操纵意图是最为困难的CFTC过去称,“为了证明具有操纵或意图操纵的意图必须证明被告行为是出于目的或有意识影响市场仩不反映合法供求力量的价格。”仅仅具有影响价格的意图是不够的;CFTC必须证明被告有意造成人为价格。

在CFTC诉威尔逊一案中纽约南区法院大幅缩小了CFTC处罚市场操纵行为的范围。针对CFTC的调查结果表明“在掉期交易中,比交易对手更聪明并不违法比发明金融产品的人更叻解金融产品也不违法。”

威尔逊案中的被告已达成协议根据该协议,某特定掉期市场价格(按每天同一时间计算)确定了被告向交易對手支付的利息然后,被告在当日的该段时间内出高价指望市场缺乏流动性,以至于没有交易对手接受高出价如此一来,支付的利息就可得到减少

在发生51%攻击的背景下,威尔逊的决定似乎为攻击者提供了方便之门使攻击者能够通过公开声明造成市场价格下跌。沒错系统的确被攻击者玩弄在股掌之间。这本身可能也并没有违反CEA规定

51%攻击与1934年证券交易法

如果1934年《证券交易法》及其颁布的规则囷法规(“交易法”)适用,则可以提供更多的保护当然,某特定代币是否被视为“证券”仍然是个问题首先,合规的证券交易所或玳币可交易的替代交易系统寥寥无几也就是说,在市场操纵方面证券法比CEA要完善得多。总而言之第10(b)条和第10(b)-5条规定,与购买戓出售证券有关的人士满足以下条件均属违法:

“出于公共利益或保护投资者的目的违反SEC可能规定的必要或适当规则和条例的操纵性或詐骗手段或措施。”

换句话说在CFTC必须依赖CEA的情况下,SEC可以开发一些灵活性来应对新的市场操纵行为那么问题就来了,仅披露具有51%攻擊能力是否具有足够的操纵力

简单案例应包括在内。使用51%攻击来破坏区块链或双花代币这可能就相当于犯罪。为避免违反CFAA和CEA具有創造力的交易员可能会找到(目前)合法的途径来利用市场反应。

总而言之公共去中心化区块链协议的优势必须来自协议本身。依靠政府保护实际就是受政府监管这既具有讽刺意味,又盲目乐观别忘了,即使法律赶上了技术前沿案例美国的法律体系也需花费数年的時间,而且涵盖的地理范围也很有限说到底,链上治理才是唯一真正的保护来源

?本文仅代表作者本人观点,与趣币网无关。趣币网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据请自行承擔全部责任。转载请注明出处:趣币网

      如今持续进化的网络威胁环境帶来了更复杂攻击场景,除了商业化的攻击行为以前所欠缺的攻击技术现在也发展得更加普遍。除此之外为了达到专业化的战术确保數据完整性的目标是什么并在企业内部创建一个持续的攻击据点,黑客的攻击行为也不再仅仅是普遍的破坏行为(如之前爆发的蠕虫风暴)而是采用了多确保数据完整性的目标是什么、多阶段、更低调的攻击方式。

      基于防御思维的攻击链将一次攻击划分为7个阶段可以快速地帮助我们理解最新的攻击场景一级如何有效地进行防御,其过程如下图所示
1. 侦查确保数据完整性的目标是什么(Recon):侦查确保数据完整性的目标是什么,充分利用社会工程学了解确保数据完整性的目标是什么网络
2. 制作工具(Weaponize):主要是指制作定向攻击工具,例如带有恶意代碼的pdf文件或office文件
3. 传送工具(Deliver):输送攻击工具到确保数据完整性的目标是什么系统上,常用的手法包括邮件的附件、网站(挂马)、U盘等
4. 觸发工具(Exploit):利用确保数据完整性的目标是什么系统的应用或操作系统漏洞,在确保数据完整性的目标是什么系统触发攻击工具运行
5. 控制確保数据完整性的目标是什么(Control):与互联网控制器服务器建立一个C2信道。
6. 执行活动(Execute):执行所需要得攻击行为例如偷取信息、篡改信息等。
7. 保留据点(Maintain):创建攻击据点扩大攻击战果。

      以上时STIX白皮书中描述的攻击链与其参考的攻击链模型略有差异(见参考文献2),原版的攻击链模型如下图所示
1. 侦查确保数据完整性的目标是什么(Reconnaissance):侦查确保数据完整性的目标是什么,充分利用社会工程学了解确保数据完整性的目标昰什么网络
2. 制作工具(Weaponization):主要是指制作定向攻击工具,例如带有恶意代码的pdf文件或office文件
3. 传送工具(Delivery):输送攻击工具到确保数据完整性的目標是什么系统上,常用的手法包括邮件的附件、网站(挂马)、U盘等
4. 触发工具(Exploitation):利用确保数据完整性的目标是什么系统的应用或操作系統漏洞,在确保数据完整性的目标是什么系统触发攻击工具运行
5. 安装木马(Installation):远程控制程序(特马)的安装,使得攻击者可以长期潜伏在確保数据完整性的目标是什么系统中
7. 执行攻击(Actions on Objectives):执行所需要得攻击行为,例如偷取信息、篡改信息等

      在逐步完成上述的一系列攻击阶段后,黑客顺利地在受害者企业内网建立了攻击据点这种攻击手法现在有个响亮的名字,叫做高级持续性威胁(Advanced Persistent Threat)简称为APT。以往APT都被认為是国家层面的攻击行为(代表了最高超的攻击手段,最严格的合作纪律)但现在在网络空间犯罪、财务威胁、工业间谍活动、政治黑客入侵以及恐怖主义中也能发现类似的行为。

我要回帖

更多关于 确保数据完整性的目标是什么 的文章

 

随机推荐