基于Cyber Kill Chain的鐵路信息網(wǎng)絡(luò)安全防御研究

楊鈺杰，霍云龍

（中國鐵路濟南局集團有限公司 信息技術(shù)所，濟南 250001）

隨著信息化技術(shù)的發(fā)展，企業(yè)面臨的網(wǎng)絡(luò)安全威脅日益增加[1]。近年來，各類網(wǎng)絡(luò)安全事件造成的破壞和損失，讓政府、企業(yè)和個人愈發(fā)重視網(wǎng)絡(luò)安全。我國于2017年實行《中華人民共和國網(wǎng)絡(luò)安全法》，2019年實施網(wǎng)絡(luò)安全等級保護2.0系列標準，增加了個人信息保護、云計算擴展等要求[2]，從法律法規(guī)層面對網(wǎng)絡(luò)安全保護給予支撐。但各企業(yè)因行業(yè)特點和規(guī)模需求的不同，面臨的網(wǎng)絡(luò)安全威脅不同，導致所需的防護措施也不盡相同[3]。

作為國民經(jīng)濟大動脈，鐵路的重要性和特殊性決定了其對安全有更高的需求。鐵路信息系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施支撐了鐵路業(yè)務(wù)的高效運轉(zhuǎn)。大數(shù)據(jù)、云計算等新技術(shù)的應(yīng)用，對鐵路信息系統(tǒng)的網(wǎng)絡(luò)安全防護提出了更高的要求。在網(wǎng)絡(luò)安全防護過程中，鐵路領(lǐng)域傾向依賴既有安全設(shè)備，對網(wǎng)絡(luò)攻擊認識不夠深入、全面，導致在網(wǎng)絡(luò)安全規(guī)劃中處于被動地位。

Cyber Kill Chain是一種網(wǎng)絡(luò)攻擊模型，它將攻擊者的任務(wù)劃分為7個階段，增強了攻擊的可見性，豐富了對攻擊戰(zhàn)術(shù)、技術(shù)和程序的理解，也可用于識別和預防網(wǎng)絡(luò)入侵活動。本文圍繞Cyber Kill Chain模型的7個階段，提出相應(yīng)的網(wǎng)絡(luò)安全防御措施，以實現(xiàn)全方位、深層次的網(wǎng)絡(luò)安全防御體系。

1 鐵路信息網(wǎng)絡(luò)安全風險現(xiàn)狀

目前，鐵路企業(yè)信息網(wǎng)絡(luò)由外部服務(wù)網(wǎng)和內(nèi)部服務(wù)網(wǎng)構(gòu)成，外部服務(wù)網(wǎng)對外連接互聯(lián)網(wǎng)，對內(nèi)通過安全平臺及網(wǎng)閘連接內(nèi)部服務(wù)網(wǎng)，形成了層次分明的網(wǎng)絡(luò)安全縱深防御結(jié)構(gòu)，對內(nèi)部信息起到了必要的防護作用。但隨著網(wǎng)絡(luò)攻擊技術(shù)手段的發(fā)展，鐵路企業(yè)網(wǎng)絡(luò)安全仍面臨諸多風險。

1.1 網(wǎng)絡(luò)安全意識

牢固的網(wǎng)絡(luò)安全意識是做好網(wǎng)絡(luò)安全防護的基礎(chǔ)條件。本文分別從非信息類和信息類工作人員角度分析。

（1）非信息類工作人員。鐵路企業(yè)組織龐大、分工復雜，各專業(yè)工作內(nèi)容差異較大，崗位信息化程度各不相同，職工的網(wǎng)絡(luò)安全風險意識也不同，部分職工存在網(wǎng)絡(luò)安全意識不足的情況。

（2）信息類工作人員。在用信息系統(tǒng)的某些網(wǎng)絡(luò)安全問題的修復會影響其高效運轉(zhuǎn)，甚至造成系統(tǒng)不可用，導致信息類工作人員有時為保證鐵路業(yè)務(wù)高效運轉(zhuǎn)而忽略網(wǎng)絡(luò)安全問題，或寄希望于其他手段來規(guī)避問題，而不是從根源上解決。

1.2 準入管控

準入管控[4]是鐵路企業(yè)信息網(wǎng)絡(luò)中最易受到網(wǎng)絡(luò)安全威脅的突破口。準入管控的風險主要包括以下幾個方面。

（1）終端、網(wǎng)絡(luò)相關(guān)設(shè)備的各種端口的使用。目前，鐵路企業(yè)對大部分終端的USB、藍牙等接入端口的使用僅從規(guī)章制度層面進行約束，并未從根源上有效切斷非法接入途徑，導致未經(jīng)授權(quán)的U盤、手機等移動設(shè)備能夠接入的概率顯著增加。例如，近年來發(fā)生的“一機兩網(wǎng)”操作，導致計算機木馬病毒的傳播。

（2）接入終端的安全審查。鐵路企業(yè)信息網(wǎng)絡(luò)終端、服務(wù)器數(shù)量眾多，所搭載的操作系統(tǒng)、預裝軟件情況各有不同，安全情況也存在差異，如果在入網(wǎng)時未進行安全審查，易導致網(wǎng)絡(luò)安全隱患。

（3）用戶弱口令。為方便記憶，用戶往往會把用戶名及密碼設(shè)置成有規(guī)律、易猜測的簡單密碼，給網(wǎng)絡(luò)攻擊留下可乘之機，造成信息泄露。

1.3 技術(shù)手段應(yīng)用

技術(shù)手段的應(yīng)用是做好網(wǎng)絡(luò)安全防護工作的重要保障，合理的技術(shù)手段應(yīng)用能起到事半功倍的作用。

（1）技術(shù)手段缺失或失效。網(wǎng)絡(luò)安全威脅種類繁多，組合多樣，針對不同的網(wǎng)絡(luò)安全威脅，需要使用有針對性的技術(shù)手段進行防護，若相應(yīng)的技術(shù)手段缺失，就難以形成有效的網(wǎng)絡(luò)安全防護體系；網(wǎng)絡(luò)威脅是不斷變化、發(fā)展的，若技術(shù)手段升級不及時，面對新的網(wǎng)絡(luò)攻擊手段，則無法起到作用。

（2）技術(shù)手段應(yīng)用不合理。網(wǎng)絡(luò)安全防護工作要根據(jù)實際需求來選擇相應(yīng)的技術(shù)手段，合理規(guī)劃各種技術(shù)手段間的配合應(yīng)用，還應(yīng)在相應(yīng)技術(shù)手段應(yīng)用后進行相關(guān)安全防護的檢驗測試，避免脫離實際網(wǎng)絡(luò)環(huán)境情況生搬硬套技術(shù)手段。

2 Cyber Kill Chain概述

Cyber Kill Chain[5]網(wǎng)絡(luò)攻擊模型將攻擊者為實現(xiàn)其目標而必須完成的任務(wù)劃分為偵察跟蹤、武器構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成7個階段。學習理解這7個攻擊階段對識別和預防網(wǎng)絡(luò)入侵活動有較大幫助。

2.1 偵察跟蹤

攻擊者在該階段搜尋目標的弱點，搜集信息包括硬件、軟件、網(wǎng)絡(luò)拓撲等信息。偵察跟蹤主要分為主動和被動2種方式。主動方式包括主動掃描、探測等，主動掃描可以掃描到目標開放的端口和服務(wù)；被動方式包括從企業(yè)泄露的合同、文件中獲取信息。

社會工程學也是偵察跟蹤的一種手段。攻擊者通過虛假的網(wǎng)絡(luò)社交賬號與受害者建立聯(lián)系，刺探內(nèi)部信息和服務(wù)，誘使目標點開惡意鏈接或附件[6]。

2.2 武器構(gòu)建

攻擊者通過發(fā)現(xiàn)的漏洞制作一個可以發(fā)送的武器載體，即惡意文件，還可針對性地提升惡意文件的隱匿性，使其在投遞時減少被發(fā)現(xiàn)和被攔截的可能性。

2.3 載荷投遞

向目標投遞載荷，可針對對方開放的服務(wù)進行，也可配合社會工程學進行，例如惡意電子郵件附件、USB移動設(shè)備、水坑攻擊等。

2.4 漏洞利用

載荷投遞并成功運行后，攻擊者將通過這個載荷中利用的一個或一組漏洞獲取目標機器權(quán)限。

2.5 安裝植入

攻擊者得手后，為持久化控制，在目標機器上安裝、植入一些帶有持續(xù)性質(zhì)的后門或惡意軟件。通過計劃任務(wù)、開機自啟動、感染常用文件的方式，讓后門看起來就是目標本身熟悉的一部分。

2.6 命令與控制

后門、惡意軟件安裝后，若沒有被及時發(fā)現(xiàn)、阻斷并清除，意味著攻擊者在較長時間內(nèi)擁有了目標機器的控制權(quán)，惡意軟件將向攻擊者的服務(wù)器發(fā)起通信并建立信道，用來接收、執(zhí)行攻擊者的命令。

2.7 目標達成

為達成目的，攻擊者可在該階段或前期就通過提升權(quán)限來適配后續(xù)操作。攻擊者利用受控制的設(shè)備向企業(yè)內(nèi)部網(wǎng)絡(luò)發(fā)起偵察探測、橫向滲透、竊取信息等一系列操作。

3 防護措施

針對Cyber Kill Chain的不同階段，我們有著不同的防護措施。

3.1 偵察跟蹤階段的防護措施

在偵察跟蹤階段，攻擊方一般會采取主動探測的方式。

（1）可通過防火墻、入侵預防系統(tǒng)（IPS，Intrusion Prevension System）等識別攻擊者特征并做出拒絕響應(yīng)的措施。

（2）為限制被外部掃描探測，可通過配置相關(guān)網(wǎng)絡(luò)設(shè)備的訪問控制列表來限制允許訪問的地址，如果攻擊者使用的IP在互聯(lián)網(wǎng)環(huán)境中有多次對外掃描探測的記錄，可對其IP打上標簽，凡來自該IP的訪問都予以拒絕。

（3）可部署蜜罐來引誘攻擊者進行攻擊，若引誘成功，將有機會對攻擊者進行行為分析并展開溯源工作。

（4）對于社會工程攻擊，要提高鐵路職工的網(wǎng)絡(luò)安全意識，防止攻擊者得逞。

3.2 武器構(gòu)建及載荷投遞階段的防護措施

攻擊方在此階段開始嘗試使用已發(fā)現(xiàn)的漏洞制作武器并進行投遞，一般情況下使用構(gòu)建工具會有一定特征。這時特征檢測顯得尤為重要，布置一套和其他網(wǎng)絡(luò)安全設(shè)備進行聯(lián)動的威脅分析系統(tǒng)，可實現(xiàn)特征匹配、記錄并自主進行阻斷等功能。

3.3 漏洞利用和安裝植入階段的防護措施

攻擊者進行漏洞利用時，防御側(cè)重點應(yīng)放在被攻擊的終端上，要對存在漏洞的系統(tǒng)、應(yīng)用及時進行修復，并利用防惡意軟件進行防護。內(nèi)網(wǎng)環(huán)境中基于特征的惡意軟件檢測效果一般，基于行為的惡意軟件檢測則比較適用，通過檢測應(yīng)用發(fā)起的行為可以推斷該應(yīng)用是否為惡意應(yīng)用。

對攻擊者的惡意程序還可通過其安全證書進行判別，系統(tǒng)將拒絕安全證書不被認可的軟件的運行。供應(yīng)鏈安全的引入可有效解決這一問題，凡是不滿足安全要求的應(yīng)用一律不予以安裝許可。

3.4 命令與控制和目標達成階段的防護措施

基于網(wǎng)絡(luò)流量的威脅分析系統(tǒng)在這一階段作用較大，可對檢測到的異常流量進行分析，若存在異?？蓤?zhí)行阻斷的策略動作。防火墻過濾也具有一定作用，可過濾掉不必要的發(fā)包、回包，阻止信息回顯?；谥鳈C的入侵防護系統(tǒng)、防惡意程序也可通過行為檢測、特征匹配來阻止其運行，查殺用來連接攻擊者服務(wù)器的進程。

4 其他網(wǎng)絡(luò)安全建議

4.1 架構(gòu)記錄和審查

為快速了解企業(yè)資產(chǎn)狀況，需對相關(guān)系統(tǒng)進行架構(gòu)記錄和審查，不但可為后續(xù)系統(tǒng)組件的查詢提供便利，且在獲得漏洞信息后可有針對性的進行整改。當系統(tǒng)中的任一組件出現(xiàn)供應(yīng)方終止服務(wù)等情況時，都需要對系統(tǒng)的安全性做出風險研判，做好應(yīng)對防護措施。當發(fā)現(xiàn)系統(tǒng)存在問題時，應(yīng)按系統(tǒng)重要性和問題嚴重性綜合判定系統(tǒng)風險等級，根據(jù)不同的等級來調(diào)整對應(yīng)的安全策略。

4.2 自動化分析

鐵路企業(yè)各類網(wǎng)絡(luò)設(shè)備每天都會產(chǎn)生大量的數(shù)據(jù)和日志信息，不可能單靠人為分析，自動化分析至關(guān)重要。自動化分析可進行初步的篩選，完成對絕大部分數(shù)據(jù)的判斷。態(tài)勢感知、威脅分析系統(tǒng)[7]具備此類功能，只需將鏡像流量和日志信息傳輸給審計服務(wù)器做匯聚，由其做出分析判斷。對審計服務(wù)器篩選后的流量和日志，還可進行進一步的人為判斷，為查看網(wǎng)絡(luò)中所有的流量與日志信息，企業(yè)人員需要精心布置探針的位置，用最少的探針和日志源達到最大的覆蓋效果。

4.3 成立網(wǎng)絡(luò)安全實驗室

因為鐵路行業(yè)的特殊性，一般的網(wǎng)絡(luò)安全架構(gòu)或工具可能不適配鐵路網(wǎng)絡(luò)環(huán)境。為此鐵路行業(yè)需要成立屬于自己的網(wǎng)絡(luò)安全實驗室，通過不斷訓練網(wǎng)絡(luò)攻擊能力和防御能力來保護自身不受侵害[8]。為保持受到攻擊時的發(fā)現(xiàn)防護能力和受到攻擊后的應(yīng)急處置能力，需要熟悉攻擊者可能用到的現(xiàn)成工具和鐵路企業(yè)內(nèi)部的系統(tǒng)種類。

5 結(jié)束語

在鐵路企業(yè)面臨日益嚴峻的網(wǎng)絡(luò)安全威脅背景下，本文結(jié)合Cyber Kill Chain模型，分析了當前網(wǎng)絡(luò)攻擊的主要步驟及手段，提出了相應(yīng)的防護措施，并針對鐵路企業(yè)的特殊性，提出了網(wǎng)絡(luò)安全相關(guān)建議，有效降低網(wǎng)絡(luò)安全風險，對構(gòu)建安全、穩(wěn)定、高效的網(wǎng)絡(luò)安全防御體系具有一定意義。