基于Cyber Kill Chain的鐵路信息網絡安全防御研究

楊鈺杰，霍云龍

（中國鐵路濟南局集團有限公司 信息技術所，濟南 250001）

隨著信息化技術的發展，企業面臨的網絡安全威脅日益增加[1]。近年來，各類網絡安全事件造成的破壞和損失，讓政府、企業和個人愈發重視網絡安全。我國于2017年實行《中華人民共和國網絡安全法》，2019年實施網絡安全等級保護2.0系列標準，增加了個人信息保護、云計算擴展等要求[2]，從法律法規層面對網絡安全保護給予支撐。但各企業因行業特點和規模需求的不同，面臨的網絡安全威脅不同，導致所需的防護措施也不盡相同[3]。

作為國民經濟大動脈，鐵路的重要性和特殊性決定了其對安全有更高的需求。鐵路信息系統作為關鍵基礎設施支撐了鐵路業務的高效運轉。大數據、云計算等新技術的應用，對鐵路信息系統的網絡安全防護提出了更高的要求。在網絡安全防護過程中，鐵路領域傾向依賴既有安全設備，對網絡攻擊認識不夠深入、全面，導致在網絡安全規劃中處于被動地位。

Cyber Kill Chain是一種網絡攻擊模型，它將攻擊者的任務劃分為7個階段，增強了攻擊的可見性，豐富了對攻擊戰術、技術和程序的理解，也可用于識別和預防網絡入侵活動。本文圍繞Cyber Kill Chain模型的7個階段，提出相應的網絡安全防御措施，以實現全方位、深層次的網絡安全防御體系。

1 鐵路信息網絡安全風險現狀

目前，鐵路企業信息網絡由外部服務網和內部服務網構成，外部服務網對外連接互聯網，對內通過安全平臺及網閘連接內部服務網，形成了層次分明的網絡安全縱深防御結構，對內部信息起到了必要的防護作用。但隨著網絡攻擊技術手段的發展，鐵路企業網絡安全仍面臨諸多風險。

1.1 網絡安全意識

牢固的網絡安全意識是做好網絡安全防護的基礎條件。本文分別從非信息類和信息類工作人員角度分析。

（1）非信息類工作人員。鐵路企業組織龐大、分工復雜，各專業工作內容差異較大，崗位信息化程度各不相同，職工的網絡安全風險意識也不同，部分職工存在網絡安全意識不足的情況。

（2）信息類工作人員。在用信息系統的某些網絡安全問題的修復會影響其高效運轉，甚至造成系統不可用，導致信息類工作人員有時為保證鐵路業務高效運轉而忽略網絡安全問題，或寄希望于其他手段來規避問題，而不是從根源上解決。

1.2 準入管控

準入管控[4]是鐵路企業信息網絡中最易受到網絡安全威脅的突破口。準入管控的風險主要包括以下幾個方面。

（1）終端、網絡相關設備的各種端口的使用。目前，鐵路企業對大部分終端的USB、藍牙等接入端口的使用僅從規章制度層面進行約束，并未從根源上有效切斷非法接入途徑，導致未經授權的U盤、手機等移動設備能夠接入的概率顯著增加。例如，近年來發生的“一機兩網”操作，導致計算機木馬病毒的傳播。

（2）接入終端的安全審查。鐵路企業信息網絡終端、服務器數量眾多，所搭載的操作系統、預裝軟件情況各有不同，安全情況也存在差異，如果在入網時未進行安全審查，易導致網絡安全隱患。

（3）用戶弱口令。為方便記憶，用戶往往會把用戶名及密碼設置成有規律、易猜測的簡單密碼，給網絡攻擊留下可乘之機，造成信息泄露。

1.3 技術手段應用

技術手段的應用是做好網絡安全防護工作的重要保障，合理的技術手段應用能起到事半功倍的作用。

（1）技術手段缺失或失效。網絡安全威脅種類繁多，組合多樣，針對不同的網絡安全威脅，需要使用有針對性的技術手段進行防護，若相應的技術手段缺失，就難以形成有效的網絡安全防護體系；網絡威脅是不斷變化、發展的，若技術手段升級不及時，面對新的網絡攻擊手段，則無法起到作用。

（2）技術手段應用不合理。網絡安全防護工作要根據實際需求來選擇相應的技術手段，合理規劃各種技術手段間的配合應用，還應在相應技術手段應用后進行相關安全防護的檢驗測試，避免脫離實際網絡環境情況生搬硬套技術手段。

2 Cyber Kill Chain概述

Cyber Kill Chain[5]網絡攻擊模型將攻擊者為實現其目標而必須完成的任務劃分為偵察跟蹤、武器構建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成7個階段。學習理解這7個攻擊階段對識別和預防網絡入侵活動有較大幫助。

2.1 偵察跟蹤

攻擊者在該階段搜尋目標的弱點，搜集信息包括硬件、軟件、網絡拓撲等信息。偵察跟蹤主要分為主動和被動2種方式。主動方式包括主動掃描、探測等，主動掃描可以掃描到目標開放的端口和服務；被動方式包括從企業泄露的合同、文件中獲取信息。

社會工程學也是偵察跟蹤的一種手段。攻擊者通過虛假的網絡社交賬號與受害者建立聯系，刺探內部信息和服務，誘使目標點開惡意鏈接或附件[6]。

2.2 武器構建

攻擊者通過發現的漏洞制作一個可以發送的武器載體，即惡意文件，還可針對性地提升惡意文件的隱匿性，使其在投遞時減少被發現和被攔截的可能性。

2.3 載荷投遞

向目標投遞載荷，可針對對方開放的服務進行，也可配合社會工程學進行，例如惡意電子郵件附件、USB移動設備、水坑攻擊等。

2.4 漏洞利用

載荷投遞并成功運行后，攻擊者將通過這個載荷中利用的一個或一組漏洞獲取目標機器權限。

2.5 安裝植入

攻擊者得手后，為持久化控制，在目標機器上安裝、植入一些帶有持續性質的后門或惡意軟件。通過計劃任務、開機自啟動、感染常用文件的方式，讓后門看起來就是目標本身熟悉的一部分。

2.6 命令與控制

后門、惡意軟件安裝后，若沒有被及時發現、阻斷并清除，意味著攻擊者在較長時間內擁有了目標機器的控制權，惡意軟件將向攻擊者的服務器發起通信并建立信道，用來接收、執行攻擊者的命令。

2.7 目標達成

為達成目的，攻擊者可在該階段或前期就通過提升權限來適配后續操作。攻擊者利用受控制的設備向企業內部網絡發起偵察探測、橫向滲透、竊取信息等一系列操作。

3 防護措施

針對Cyber Kill Chain的不同階段，我們有著不同的防護措施。

3.1 偵察跟蹤階段的防護措施

在偵察跟蹤階段，攻擊方一般會采取主動探測的方式。

（1）可通過防火墻、入侵預防系統（IPS，Intrusion Prevension System）等識別攻擊者特征并做出拒絕響應的措施。

（2）為限制被外部掃描探測，可通過配置相關網絡設備的訪問控制列表來限制允許訪問的地址，如果攻擊者使用的IP在互聯網環境中有多次對外掃描探測的記錄，可對其IP打上標簽，凡來自該IP的訪問都予以拒絕。

（3）可部署蜜罐來引誘攻擊者進行攻擊，若引誘成功，將有機會對攻擊者進行行為分析并展開溯源工作。

（4）對于社會工程攻擊，要提高鐵路職工的網絡安全意識，防止攻擊者得逞。

3.2 武器構建及載荷投遞階段的防護措施

攻擊方在此階段開始嘗試使用已發現的漏洞制作武器并進行投遞，一般情況下使用構建工具會有一定特征。這時特征檢測顯得尤為重要，布置一套和其他網絡安全設備進行聯動的威脅分析系統，可實現特征匹配、記錄并自主進行阻斷等功能。

3.3 漏洞利用和安裝植入階段的防護措施

攻擊者進行漏洞利用時，防御側重點應放在被攻擊的終端上，要對存在漏洞的系統、應用及時進行修復，并利用防惡意軟件進行防護。內網環境中基于特征的惡意軟件檢測效果一般，基于行為的惡意軟件檢測則比較適用，通過檢測應用發起的行為可以推斷該應用是否為惡意應用。

對攻擊者的惡意程序還可通過其安全證書進行判別，系統將拒絕安全證書不被認可的軟件的運行。供應鏈安全的引入可有效解決這一問題，凡是不滿足安全要求的應用一律不予以安裝許可。

3.4 命令與控制和目標達成階段的防護措施

基于網絡流量的威脅分析系統在這一階段作用較大，可對檢測到的異常流量進行分析，若存在異常可執行阻斷的策略動作。防火墻過濾也具有一定作用，可過濾掉不必要的發包、回包，阻止信息回顯。基于主機的入侵防護系統、防惡意程序也可通過行為檢測、特征匹配來阻止其運行，查殺用來連接攻擊者服務器的進程。

4 其他網絡安全建議

4.1 架構記錄和審查

為快速了解企業資產狀況，需對相關系統進行架構記錄和審查，不但可為后續系統組件的查詢提供便利，且在獲得漏洞信息后可有針對性的進行整改。當系統中的任一組件出現供應方終止服務等情況時，都需要對系統的安全性做出風險研判，做好應對防護措施。當發現系統存在問題時，應按系統重要性和問題嚴重性綜合判定系統風險等級，根據不同的等級來調整對應的安全策略。

4.2 自動化分析

鐵路企業各類網絡設備每天都會產生大量的數據和日志信息，不可能單靠人為分析，自動化分析至關重要。自動化分析可進行初步的篩選，完成對絕大部分數據的判斷。態勢感知、威脅分析系統[7]具備此類功能，只需將鏡像流量和日志信息傳輸給審計服務器做匯聚，由其做出分析判斷。對審計服務器篩選后的流量和日志，還可進行進一步的人為判斷，為查看網絡中所有的流量與日志信息，企業人員需要精心布置探針的位置，用最少的探針和日志源達到最大的覆蓋效果。

4.3 成立網絡安全實驗室

因為鐵路行業的特殊性，一般的網絡安全架構或工具可能不適配鐵路網絡環境。為此鐵路行業需要成立屬于自己的網絡安全實驗室，通過不斷訓練網絡攻擊能力和防御能力來保護自身不受侵害[8]。為保持受到攻擊時的發現防護能力和受到攻擊后的應急處置能力，需要熟悉攻擊者可能用到的現成工具和鐵路企業內部的系統種類。

5 結束語

在鐵路企業面臨日益嚴峻的網絡安全威脅背景下，本文結合Cyber Kill Chain模型，分析了當前網絡攻擊的主要步驟及手段，提出了相應的防護措施，并針對鐵路企業的特殊性，提出了網絡安全相關建議，有效降低網絡安全風險，對構建安全、穩定、高效的網絡安全防御體系具有一定意義。