如何突破网络攻击的生命周期?

说到网络安全，很多公司都会专注于防御，当你有足够的防御时，就很容易突破网络攻击生命周期的六个步骤；那些没有做好充分准备的组织当然会成为黑客的天堂。这六个网络攻击步骤对企业来说也越来越重要。所谓的网络攻击周期是指黑客组织从调查到渗透和提取数据的程序；面对网络攻击的生命周期，企业需要有一个全面的防御计划来处理每一层的攻击。早些时候，我们来自它PaloAltoNetworks系统工程师兼副总裁JosephGreen打破攻击生命周期的可行方法可分为六种：

第一步:检测(Reconnaissance)

攻击者经常使用一些钓鱼攻击技术或直接从企业员工的社交网络账户或公司网络中获取用户信息。通过充分利用这些信息，攻击者可以创建一些看似高度信任的内容和链接，并诱使企业员工按下相关链接。当员工按下相关链接时，恶意软件往往会无意识地下载，这些恶意软件主要会自动检测目标企业网络中的所有漏洞和弱点，以便黑客将来能够攻击。

组织需要采取一些措施来突破步骤1的攻击者检测行为URL过滤方案，通过这些方案，防止钓鱼网站和恶意连接，同时还应继续采用入侵和防御等相关方案，继续监控网络流量，预测和防止未知portscan及hostsweeps等动作。

第二步:植入恶意代码

攻击者还使用各种方法将一些恶意编码植入电子邮件或文件中，并引诱用户通过近期一些热门话题打开它们。

面对上述方法，企业可以使用一些新一代的防火墙(Next-generationfirewalls)预防。新一代防火墙将为企业提供最全面的监控信息，包括网络流量和封锁高风险应用；同时，企业可以配合包括部署在内的其他不同方案采取进一步的预防工作IPS、反恶意软件方案，anti-CnC、DNS监控以及sinkholing等技术;而最后再配合上档案及内容防御等方案，便可将一切已知的风险、恶意程式以及inbound的C&C通讯封锁。

步骤三：开发并夺取控制权

如果上述两个步骤成功发现了企业的弱点，黑客可以同时在企业网络中进一步使用攻击代码C&C伺服控制目标系统。在这方面，市场上有一些终端防御方案(Endpointprotection)足以应付。通过采用EndpointProtection大多数已知和未知的技术漏洞都可以被封锁Endpointprotection该方案主要采用一种名称Sandboxing该技术创造了一个独立的虚拟环境，所有恶意软件都将在这个独立的空间中打开和完成分析，以便防御系统能够理解恶意软件的动作，并进行封锁和进一步的防御工作。

步骤4：安装

攻击者通过获得最高权限或或rootkit等等，提高自己在目标系统中的权限，让监控软件永久隐藏在系统中。企业能做的就是采用endpointprotection技术，防止内部员工「贪方便」黑客可以利用最高权限的账户。新一代防火墙可以建立独立的安全区域，强制用户监控，全面监控进出流量，分析流量是否异常。

步骤五：C&C(Commandandcontrol)

在目标系统中安装攻击者C&C服务器可以随时连接黑客电脑，发动最新的入侵和攻击。面对上述情况，有几种方法可以使用。企业可以通过anti-CnCsignatures直接封锁outbound使用URL过滤可以封锁已知的恶意网站和企业系统C&C两者之间的连接；同时，恶意连接也可以转移到预先制造的内部Honeypot之中，从中分析以更新资料库及实时封锁。

第六步:黑客的最终目标

攻击者有许多不同的目的，但大多数都是通过入侵目标进一步入侵的。例如，入侵目标系统，获取用户信息，破坏主要基础设施等。企业可以制定文件传输政策，并将其应用于防御计划，以防止黑客使用指令或非企业允许的工具传输文件。使用适当的防火墙，anti-malware以及endpointprotection可以突破黑客网络攻击生命周期，恶意连接，C&C防御服务器等。