基于Cyber Kill Chain的铁路信息网络安全防御研究

2021-12-09杨钰杰霍云龙

铁路计算机应用 2021年11期

杨钰杰，霍云龙

（中国铁路济南局集团有限公司信息技术所，济南 250001）

随着信息化技术的发展，企业面临的网络安全威胁日益增加[1]。近年来，各类网络安全事件造成的破坏和损失，让政府、企业和个人愈发重视网络安全。我国于2017年实行《中华人民共和国网络安全法》，2019年实施网络安全等级保护2.0系列标准，增加了个人信息保护、云计算扩展等要求[2]，从法律法规层面对网络安全保护给予支撑。但各企业因行业特点和规模需求的不同，面临的网络安全威胁不同，导致所需的防护措施也不尽相同[3]。

作为国民经济大动脉，铁路的重要性和特殊性决定了其对安全有更高的需求。铁路信息系统作为关键基础设施支撑了铁路业务的高效运转。大数据、云计算等新技术的应用，对铁路信息系统的网络安全防护提出了更高的要求。在网络安全防护过程中，铁路领域倾向依赖既有安全设备，对网络攻击认识不够深入、全面，导致在网络安全规划中处于被动地位。

Cyber Kill Chain是一种网络攻击模型，它将攻击者的任务划分为7个阶段，增强了攻击的可见性，丰富了对攻击战术、技术和程序的理解，也可用于识别和预防网络入侵活动。本文围绕Cyber Kill Chain模型的7个阶段，提出相应的网络安全防御措施，以实现全方位、深层次的网络安全防御体系。

1 铁路信息网络安全风险现状

目前，铁路企业信息网络由外部服务网和内部服务网构成，外部服务网对外连接互联网，对内通过安全平台及网闸连接内部服务网，形成了层次分明的网络安全纵深防御结构，对内部信息起到了必要的防护作用。但随着网络攻击技术手段的发展，铁路企业网络安全仍面临诸多风险。

1.1 网络安全意识

牢固的网络安全意识是做好网络安全防护的基础条件。本文分别从非信息类和信息类工作人员角度分析。

（1）非信息类工作人员。铁路企业组织庞大、分工复杂，各专业工作内容差异较大，岗位信息化程度各不相同，职工的网络安全风险意识也不同，部分职工存在网络安全意识不足的情况。

（2）信息类工作人员。在用信息系统的某些网络安全问题的修复会影响其高效运转，甚至造成系统不可用，导致信息类工作人员有时为保证铁路业务高效运转而忽略网络安全问题，或寄希望于其他手段来规避问题，而不是从根源上解决。

1.2 准入管控

准入管控[4]是铁路企业信息网络中最易受到网络安全威胁的突破口。准入管控的风险主要包括以下几个方面。

（1）终端、网络相关设备的各种端口的使用。目前，铁路企业对大部分终端的USB、蓝牙等接入端口的使用仅从规章制度层面进行约束，并未从根源上有效切断非法接入途径，导致未经授权的U盘、手机等移动设备能够接入的概率显著增加。例如，近年来发生的“一机两网”操作，导致计算机木马病毒的传播。

（2）接入终端的安全审查。铁路企业信息网络终端、服务器数量众多，所搭载的操作系统、预装软件情况各有不同，安全情况也存在差异，如果在入网时未进行安全审查，易导致网络安全隐患。

（3）用户弱口令。为方便记忆，用户往往会把用户名及密码设置成有规律、易猜测的简单密码，给网络攻击留下可乘之机，造成信息泄露。

1.3 技术手段应用

技术手段的应用是做好网络安全防护工作的重要保障，合理的技术手段应用能起到事半功倍的作用。

（1）技术手段缺失或失效。网络安全威胁种类繁多，组合多样，针对不同的网络安全威胁，需要使用有针对性的技术手段进行防护，若相应的技术手段缺失，就难以形成有效的网络安全防护体系；网络威胁是不断变化、发展的，若技术手段升级不及时，面对新的网络攻击手段，则无法起到作用。

（2）技术手段应用不合理。网络安全防护工作要根据实际需求来选择相应的技术手段，合理规划各种技术手段间的配合应用，还应在相应技术手段应用后进行相关安全防护的检验测试，避免脱离实际网络环境情况生搬硬套技术手段。

2 Cyber Kill Chain概述

Cyber Kill Chain[5]网络攻击模型将攻击者为实现其目标而必须完成的任务划分为侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成7个阶段。学习理解这7个攻击阶段对识别和预防网络入侵活动有较大帮助。

2.1 侦察跟踪

攻击者在该阶段搜寻目标的弱点，搜集信息包括硬件、软件、网络拓扑等信息。侦察跟踪主要分为主动和被动2种方式。主动方式包括主动扫描、探测等，主动扫描可以扫描到目标开放的端口和服务；被动方式包括从企业泄露的合同、文件中获取信息。

社会工程学也是侦察跟踪的一种手段。攻击者通过虚假的网络社交账号与受害者建立联系，刺探内部信息和服务，诱使目标点开恶意链接或附件[6]。

2.2 武器构建

攻击者通过发现的漏洞制作一个可以发送的武器载体，即恶意文件，还可针对性地提升恶意文件的隐匿性，使其在投递时减少被发现和被拦截的可能性。

2.3 载荷投递

向目标投递载荷，可针对对方开放的服务进行，也可配合社会工程学进行，例如恶意电子邮件附件、USB移动设备、水坑攻击等。

2.4 漏洞利用

载荷投递并成功运行后，攻击者将通过这个载荷中利用的一个或一组漏洞获取目标机器权限。

2.5 安装植入

攻击者得手后，为持久化控制，在目标机器上安装、植入一些带有持续性质的后门或恶意软件。通过计划任务、开机自启动、感染常用文件的方式，让后门看起来就是目标本身熟悉的一部分。

2.6 命令与控制

后门、恶意软件安装后，若没有被及时发现、阻断并清除，意味着攻击者在较长时间内拥有了目标机器的控制权，恶意软件将向攻击者的服务器发起通信并建立信道，用来接收、执行攻击者的命令。

2.7 目标达成

为达成目的，攻击者可在该阶段或前期就通过提升权限来适配后续操作。攻击者利用受控制的设备向企业内部网络发起侦察探测、横向渗透、窃取信息等一系列操作。

3 防护措施

针对Cyber Kill Chain的不同阶段，我们有着不同的防护措施。

3.1 侦察跟踪阶段的防护措施

在侦察跟踪阶段，攻击方一般会采取主动探测的方式。

（1）可通过防火墙、入侵预防系统（IPS，Intrusion Prevension System）等识别攻击者特征并做出拒绝响应的措施。

（2）为限制被外部扫描探测，可通过配置相关网络设备的访问控制列表来限制允许访问的地址，如果攻击者使用的IP在互联网环境中有多次对外扫描探测的记录，可对其IP打上标签，凡来自该IP的访问都予以拒绝。

（3）可部署蜜罐来引诱攻击者进行攻击，若引诱成功，将有机会对攻击者进行行为分析并展开溯源工作。

（4）对于社会工程攻击，要提高铁路职工的网络安全意识，防止攻击者得逞。

3.2 武器构建及载荷投递阶段的防护措施

攻击方在此阶段开始尝试使用已发现的漏洞制作武器并进行投递，一般情况下使用构建工具会有一定特征。这时特征检测显得尤为重要，布置一套和其他网络安全设备进行联动的威胁分析系统，可实现特征匹配、记录并自主进行阻断等功能。

3.3 漏洞利用和安装植入阶段的防护措施

攻击者进行漏洞利用时，防御侧重点应放在被攻击的终端上，要对存在漏洞的系统、应用及时进行修复，并利用防恶意软件进行防护。内网环境中基于特征的恶意软件检测效果一般，基于行为的恶意软件检测则比较适用，通过检测应用发起的行为可以推断该应用是否为恶意应用。

对攻击者的恶意程序还可通过其安全证书进行判别，系统将拒绝安全证书不被认可的软件的运行。供应链安全的引入可有效解决这一问题，凡是不满足安全要求的应用一律不予以安装许可。

3.4 命令与控制和目标达成阶段的防护措施

基于网络流量的威胁分析系统在这一阶段作用较大，可对检测到的异常流量进行分析，若存在异常可执行阻断的策略动作。防火墙过滤也具有一定作用，可过滤掉不必要的发包、回包，阻止信息回显。基于主机的入侵防护系统、防恶意程序也可通过行为检测、特征匹配来阻止其运行，查杀用来连接攻击者服务器的进程。

4 其他网络安全建议

4.1 架构记录和审查

为快速了解企业资产状况，需对相关系统进行架构记录和审查，不但可为后续系统组件的查询提供便利，且在获得漏洞信息后可有针对性的进行整改。当系统中的任一组件出现供应方终止服务等情况时，都需要对系统的安全性做出风险研判，做好应对防护措施。当发现系统存在问题时，应按系统重要性和问题严重性综合判定系统风险等级，根据不同的等级来调整对应的安全策略。

4.2 自动化分析

铁路企业各类网络设备每天都会产生大量的数据和日志信息，不可能单靠人为分析，自动化分析至关重要。自动化分析可进行初步的筛选，完成对绝大部分数据的判断。态势感知、威胁分析系统[7]具备此类功能，只需将镜像流量和日志信息传输给审计服务器做汇聚，由其做出分析判断。对审计服务器筛选后的流量和日志，还可进行进一步的人为判断，为查看网络中所有的流量与日志信息，企业人员需要精心布置探针的位置，用最少的探针和日志源达到最大的覆盖效果。