什麼是網路攻擊鏈？

在 2011 年，Lockheed Martin 為網路安全性產業引進了一項稱為攻擊鏈的軍事概念，並命名為網路攻擊鏈。就像攻擊鏈一樣，網路攻擊鏈會識別攻擊的階段，並讓防禦者獲得見解，瞭解每個階段內敵人所採取的一般策略和技術。這兩個模型也都是線性模型，預期攻擊者會循序進行每個階段。

自網路攻擊鏈概念首次引入後，網路威脅執行者的策略已經過不斷演化，而且不一定會遵循網路攻擊鏈的每個階段。作為回應，安全性產業也隨之更新防禦方法，並開發新模型。MITRE ATT&CK® 矩陣是以真實攻擊為基礎的詳細策略和技術清單。。該矩陣使用與網路攻擊鏈類似的階段，但不遵循線性順序。

在 2017 年，Paul Pols 與 Fox-IT 和 Leiden University 合作開發了另一個架構，即整合攻擊鏈，將 MITRE ATT&CK 矩陣和網路攻擊鏈的元素結合成具有 18 個階段的模型。

偵察

網路攻擊鏈會定義一系列網路攻擊階段，目標是了解網路攻擊者的思維，包括其動機、工具、方法和技術、決策方式，以及攻擊者如何規避偵測。了解網路攻擊鏈如何運作，協助防禦者在最早期階段阻止網路攻擊。

在武器化階段，惡意執行者會使用在偵察期間發現的資訊來建立或修改惡意程式碼，以充分利用目標組織的弱點。

網路攻擊者會在建置惡意程式碼後嘗試發動攻擊。其中一個最常見的方法是使用社交工程技術 (例如網路釣魚)，誘騙員工交出登入認證。惡意執行者也可能利用不安全的公用無線網路，或是在偵察期間發現的軟體或硬體弱點進行入侵。

網路威脅執行者在侵入組織之後，會使用存取權在系統之間的橫向移動。惡意執行者的目標是尋找可利用的敏感資料、其他弱點、系統管理帳戶或電子郵件伺服器，進而對組織造成損害。

在安裝階段中，惡意執行者會安裝能夠控制更多系統和帳戶的惡意程式碼。

在網路攻擊者取得大量的系統控制權之後，就會建立一個可用於遠端操作的控制中心。在這個階段中，攻擊者會使用混淆手段來覆蓋蹤跡並規避偵測。攻擊者也會使用阻斷服務攻擊來分散安全性專業人員的注意，藉此隱藏自身的真正目標。

在這個階段中，網路攻擊者會採取步驟來達成其主要目標，其中包括供應鏈攻擊、資資料外流、資料加密或資料毀損。

雖然 Lockhead Martin 的原始網路攻擊鏈只包含七個步驟，但許多網路安全性專家已將其擴充為八個步驟，藉此說明惡意執行者為了從攻擊中獲得利潤所採取的活動，例如使用勒索軟體向受害者勒索款項，或在暗網上銷售敏感資料。

瞭解網路威脅執行者如何規劃及進行攻擊，協助網路安全性專業人員找出並減輕整個組織的弱點。同時也可協助網路安全性專業人員識別網路攻擊初期階段的入侵指標。許多組織使用網路攻擊鏈模型來主動實施安全措施，並指導事件回應流程。

威脅情報

保護組織不受網路威脅的其中一項最重要的工具是 威脅情報。良好的威脅情報解決方案可整合組織環境中的資料，並提供可行的見解，協助安全性專業人員早期偵測網路攻擊。

一般來說，惡意執行者會透過猜測或竊取密碼來侵入組織。在得逞後，惡意執行者會嘗試提高權限，以取得敏感資料和系統的存取權。身分識別與存取解決方案可協助偵測異常活動，這可能表示未經授權的使用者已取得存取權。該解決方案也會提供控制和安全性措施 (例如雙重要素驗證)，提升使用遭竊認證進行登入的難度。

在安全性資訊與事件管理 (SIEM) 解決方案的協助下，許多組織得以防範最新的網路威脅。SIEM 解決方案會匯總整個組織和第三方來源的資料，為安全性團隊揭露重大網路威脅，進而分類和解決此類安全性問題。許多 SIEM 解決方案也會自動回應部分已知威脅，減少團隊需要調查的事件數目。

任何一個組織中都有著上百或上千個端點。公司幾乎不可能將用於推動業務的伺服器、電腦、行動裝置和物聯網 (IoT) 裝置全部保持在最新狀態。而惡意執行者熟知這一點，這也是許多網路攻擊都是從遭入侵端點開始的原因。端點偵測及回應解決方案可協助安全性團隊監視威脅，並快速在發現裝置的安全性問題時做出回應。

延伸偵測及回應 (XDR) 解決方案使用可保護端點、身分識別、雲端應用程式和電子郵件的單一解決方案，額外加強端點偵測及回應。

並非所有公司都有內部資源可用於有效偵測和回應威脅。為強化現有的安全性團隊，這些組織會求助於提供受控偵測和回應的服務供應商。這些服務供應商會接下監視組織環境及回應威脅的負責。

雖然了解網路攻擊鏈可協助公司與政府主動準備並回應複雜的多重階段網路威脅，但完全依賴網路攻擊鏈可能會讓組織容易遭受其他類型的網路攻擊。下列為針對網路攻擊鏈的一些常見評論：

• 專注於惡意程式碼。原始的網路攻擊鏈架構是專為偵測和回應惡意程式碼所設計，且無法有效抵禦其他類型的攻擊，例如未經授權的使用者透過遭入侵認證取得存取權。

• 適用於周邊安全性。網路攻擊鏈模型強調保護端點，在需要保護單一網路周邊時表現良好。現在因為存在許多遠端工作者和雲端，而且存取公司資產的裝置數量不斷增加，所以幾乎不可能解決每一項端點弱點。

• 無法應對內部威脅。網路攻擊鏈模型難以偵測已經可以存取部分系統的內部人員。相對地，組織需要監視和偵測使用者活動的變化。

• 過於線性。雖然許多網路攻擊皆遵循網路攻擊鏈中概述的八個階段，但許多網路攻擊並非如此，又或是會將數個步驟結合成單一動作。過度專注於每個階段的組織，可能會無法察覺這類網路威脅。

自 2011 年 Lockhead Martin 第一次引進網路攻擊鏈的概念起，技術和網路威脅領域已出現眾多變化。雲端運算、行動裝置和 IoT裝置改變了人們工作和企業的運作方式。網路威脅執行者已透過自身的創新來對這些新興技術做出回應，包括使用自動化和 AI 來加速並改善網路攻擊。 網路攻擊鏈為開發主動式安全性策略提供了一個很好的起點，該策略會考慮網路攻擊者的想法和目標。Microsoft 安全性提供統一的 SecOps 平台，能夠將 XDR 和 SIEM 整合成一個具有調適能力的解決方案，協助組織開發多層式防禦，保護網路攻擊鏈的所有階段。此外，組織也透過投資適用於網路安全性解決方案的 AI (例如 Microsoft 安全性 Copilot)，以預防採用 AI 技術的新興網路威脅。