黑客攻击链v.s.零信任【专业正规黑客24小时在线QQ】

这是我的第12篇零信任文章。全文3700字，预计阅读时间22分钟。

美国最大的军火商，也是，提出的“攻击链”模型认为，一次成功的黑客攻击一般都会经历以下这7个步骤：

1、侦察

2、准备武器

3、投放武器

4、渗透攻击

5、植入后门

6、控制

7、目标行动

这7步环环相扣，完整地描述了黑客进攻的一般规律。

了解攻击链模型，可以帮助我们了解如何防御黑客的进攻。

从防御的角度看，如果想阻止一次网络攻击，那就必须打断攻击链中的一步或几步。打断的步骤越多，防御体系越全面，黑客攻击的成功率就越低。最新一代的综合多层防御体系就是“零信任”体系。

下面就来介绍攻击链模型中，黑客每一步会如何攻击，我们一般要如何防御，以及零信任在不同阶段如何发挥其独特的作用。

1、侦察

任何攻击的第一步都是收集信息，了解目标的弱点。

攻击

黑客可以从公开渠道收集信息。例如，

（1）WHOIS查询域名注册信息

（2）百度、信息

（3）SHODAN上搜索目标服务器信息

（4）官网

息搜集完成，下一步就是直接去扫描目标的服务器。

（1）NMAP扫描IP段和开放的端口

（2）Banner信息抓取

（3）漏洞扫描（通常漏洞扫描行为都太明显了，所以目前很多黑客都会缩小范围、降低扫描速度，以防被发现）

防御

公开渠道的保密工作：

（1）不在招聘网站、微博上暴露自家的机密

（2）不在官网的错误提示中暴露服务器信息

服务器的防护措施：

（1）服务器上不必要的端口一定要关掉。端口开的越少，攻击者可以利用的入口就越少

（2）采用蜜罐产品，可以用来吸引黑客，转移攻击目标，让黑客暴露自己

（3）带IPS（入侵防御）的防火墙产品可以过滤一些威胁，监测黑客的扫描行为

（4）一些黑客会通过TOR网络连接或多层跳转连接过来，大多数下一代防火墙都可以阻断一些已知的恶意IP

零信任

之所以黑客可以侦察到信息，是因为服务器对陌生人是默认信任的，除非发现异常才进行防御。

而零信任默认对任何人都不信任，陌生人必须验证自己的身份之后，才能看到服务器的信息。所以，在合适的场景下，零信任体系可以完美地对抗攻击者的侦察行动。

（1）零信任体系中一般有一个零信任**作为网络的统一入口。

（2）零信任**平时不对外映射任何端口，合法用户通过私有协议通知**，**验证用户身份后，才会对合法用户的IP开放指定端口。

（3）对没有合法身份的人来说，零信任网络是完全不暴露任何端口的。

黑客一般都会寻找有价值的目标下手。如果使用了零信任体系，那么正在寻找目标的攻击者很可能会发现侦察不到什么信息，然后转向其他目标。

2、准备武器

知道目标的弱点之后，就可以针对弱点准备攻击用的工具了。

攻击

制作攻击工具的方式很多，下面是一些常见的：

（1）用Metasploit框架编写一些攻击脚本

（2）Exploit-DB上查询已知的漏洞

（3）用Veil框架生成可以绕过杀毒软件的木马

（4）用各类社会工程学工具制作钓鱼网站

（5）其他如CAINANDABEL、SQLMAP、AIRCRACK、MALTEGOWEBAPP、WAPITI、BURPSUIT、FRATRAT等等不一一说明了。

防御

黑客可以准备攻击工具，我们可以准备防御工具：

（1）补丁管理：时至今日，大部分的攻击还是针对漏洞的，补上就没漏洞了，没漏洞就不会被攻击了

（2）禁用office宏，浏览器插件等等

（3）安装杀毒软件，部署防毒墙

（4）IPS上设置检测规则，以便检测攻击行为

（5）邮件安全产品，检测钓鱼邮件

（6）敏感系统开启多因子认证

（7）开启服务器的日志审计功能

零信任

零信任需要部署客户端和**，为后续的攻击做好准备

（1）零信任需要部署**，作为网络的统一入口

（2）零信任一般会要求用户安装一个客户端，以便进行设备检测

（3）还可以提前收集数据，分析用户行为习惯，建立行为基线

3、投放武器

有针对性地将武器（恶意代码）输送至目标环境内。

攻击

不同的投放方式：

（1）网站：感染用户常用的网站，以便传播木马或病毒

（2）邮件：侦察阶段有合作伙伴的话，黑客可以伪装成合作伙伴发送邮件，邮件附带病毒，公司的小白员工很可能就上当了

（3）USB：U盘病毒越来越少见了

防御

（1）邮件安全检测产品，可以识别垃圾邮件，把来自恶意IP邮件会被屏蔽掉，把没有合法数字签名的邮件屏蔽掉，这样可以减少病毒的传播

（2）上网行为管理产品，屏蔽恶意网站，避免员工乱下载东西

（3）关闭USB，或者不给用户管理员权限，可以避免大部分USB病毒传播的情况

（4）DNS过滤，在DNS解析时过滤恶意域名，可以阻断病毒利用Https协议通信

零信任

零信任客户端持续对用户进行检测，检测合格了才允许接入零信任网络。

电脑上如果存在恶意代码或者可疑进程，零信任会对用户的可信等级进行降级。信任等级低的用户不能连接敏感度高的业务系统。

这样，就可以大大降低病毒木马在企业内部传播的可能性。

4、渗透攻击

利用漏洞或缺陷触发已经投放的恶意代码，获得系统控制权限。

攻击

（1）缓存溢出攻击

（2）SQL注入攻击

（3）运行木马、恶意软件

（4）在客户端执行Javascript恶意代码

防御

如果黑客已经到了可以执行恶意代码这一步了，那么我们剩下的防御手段也就不多了

（1）DEP（数据执行保护）可以检测内存中是否有恶意代码正在执行

（2）有些杀毒软件会监测内存，拦截恶意的漏洞利用行为

（3）检测沙箱技术，可以让软件在模拟环境里运行，通过对软件的行为进行分析，进而识别恶意软件

零信任

零信任的主要针对网络内连接的管控，端上的安全需要与传统产品进行集成。

5、植入后门

植入恶意程序及后门，以后即使漏洞被修复了或者系统重启了，黑客还可以利用后门进来持续获得控制权限。

攻击