网络攻防学习笔记 Day80

网络安全杀伤链是一种安全模型，组织使用该模型来跟踪和防止不同阶段的网络入侵。杀伤链在对付勒索软件、黑客企图和高级持续性威胁（Advanced PersistentThreats，APT）方面取得了不同程度的成功。

侦察这是杀伤链的第一步。在网络攻击中，威胁行为者会花费一些时间收集可以用来攻击目标的信息。此信息包括网络上连接的主机，以及网络或连接到网络的任何设备中的漏洞。侦察技术有两种：主动信息收集和被动信息收集。

武器化是创建或使用工具攻击受害者的过程。创建受感染的文件并将其发送给受害者是杀伤链的一部分。

权限提升发生在威胁行为者已经确定目标，并使用前面讨论的工具和扫描工具扫描并利用其漏洞之后。

垂直权限提升是指威胁行为者进入组织的 IT 基础架构并设法向自己授予更高权限的方式。这是一个复杂的过程，因为用户必须执行一些内核级操作来提升其访问权限。水平权限提升更简单，因为它允许用户使用从初始访问中获得的相同权限。

渗出这是主攻击开始的阶段。一旦攻击到达此阶段，就认为攻击取得成功。威胁行为者通常拥有畅通无阻的自由，可以在受害者的网络中移动并访问其所有系统和敏感数据。威胁行为者将从组织中提取敏感数据，可能包括商业秘密、用户名、密码、个人身份数据、绝密文档以及其他类型的数据。

袭击是网络攻击中最令人畏惧的阶段。它是威胁行为者造成损害的主要方式，这种损害超出了数据和软件的范围。威胁行为者可能会永久禁用或更改受害者硬件的功能。威胁行为者专注于摧毁由受危害的系统和计算设备控制的硬件。

威胁生命周期管理六个阶段包含从取证数据收集到发现、鉴定、调查、消除和恢复等阶段。