企业级重大情景构建 之 勒索软件攻击事件的分阶段模型
企业在开展情境构建或进行演练设计时,如何将攻击者视角(Kill Chain)和防守者视角(Incident Response Lifecycle)有效耦合,形成清晰、完整、有结构的事件演化路径。这对于像勒索软件攻击这类多阶段、高互动的攻击尤其重要。
1. 如何融合 Kill Chain 和 Incident Response
Kill Chain:攻击者视角(“他们怎么进来的”)
Kill Chain 模型主要分为以下阶段:
- Reconnaissance(侦查)
- Weaponization(武器化)
- Delivery(投递)
- Exploitation(利用)
- Installation(安装)
- Command and Control(C2)
- Actions on Objectives(达成目标,比如加密、窃取数据)
Incident Response:防守方视角(“我们如何响应”)
Incident Response生命周期通常包括以下阶段:
- Preparation(准备)
- Detection & Analysis(发现与分析)
- Containment, Eradication, and Recovery(遏制、清除和恢复)
- Post-Incident Activity(事后回顾)
2. 构建勒索软件事件的分阶段模型(双视角融合)
将勒索软件攻击情境分为六个阶段,在每个阶段用”双视角”呈现攻击者与企业的互动逻辑,如下表所示:
| 阶段 | 攻击者视角(Kill Chain) | 企业方视角(Incident Response) |
|---|---|---|
| 1 潜伏与准备 | Recon / Weaponization / Delivery: - 网络扫描、社会工程、钓鱼邮件等 - 准备恶意载荷 | Preparation: - 是否存在有效的钓鱼防护、SOC监测、用户培训? - 有无资产基线、异常识别机制? |
| 2 初始入侵与权限获取 | Exploitation / Installation: - 利用漏洞或凭据进入终端 - 安装后门,横向移动 | Detection & Analysis(初始失败): - 企业未及时发现行为异常 - 安全日志无效、SIEM无规则 |
| 3 扩展与内网渗透 | C2 / Actions on Objectives(初期): - 横向移动,提权,域控渗透,识别关键资产 | Detection & Analysis(尝试开始): - 零星检测告警触发 - 安全团队分析但未联想为整体攻击 |
| 4 加密与勒索行为启动 | Actions on Objectives(正式): - 加密数据,删除备份,发出勒索通知 | Containment: - 发现勒索信息,启动应急流程 - 隔离受影响资产,初步遏制传播 |
| 5 外部沟通与决策 | 与企业沟通勒索要求,威胁泄露数据,谈判阶段 | Eradication & Recovery: - 判定影响范围,是否支付赎金? - 开始数据恢复,系统清除,法律合规响应 |
| 6 善后调查与防御强化 | 可尝试再次渗透或出售数据 | Post-Incident: - 根因分析、修复漏洞 - 与执法机构合作,内部复盘,更新BCP/IR计划 |
3. 整合模型:用”事件时间线 + 双视角互动”方式呈现
将上述分阶段模型整理为一张事件时间线,横轴为事件阶段(如上六阶段),纵轴为”攻击者行动”与”企业反应”,形成如下结构:
| 阶段 | 阶段1 | 阶段2 | 阶段3 | 阶段4 | 阶段5 | 阶段6 |
|---|---|---|---|---|---|---|
| 攻击者行为 | 钓鱼邮件、钓鱼网站、伪装供应商 | 利用漏洞入侵,部署恶意DLL | 横向移动,提权,获取AD控制权 | 加密文件、删除备份、弹出勒索 | 发出赎金要求,谈判威胁外泄 | 退出,或继续控制残留后门 |
| 企业反应 | 用户未警觉,邮件系统无拦截 | 无日志告警,EDR未启用 | 零星告警未关联,缺乏事件关联分析 | 启动应急流程,隔离网络 | 法务介入,是否支付?与执法/监管机构沟通 | 修补漏洞,更新IR计划与培训 |
在这个模型中,阶段4(加密与勒索行为启动)和阶段5(外部沟通与决策)对应于Kill Chain的第7步“Actions on Objectives(达成目标,比如加密、窃取数据)”和Incident Response的第3步“Containment, Eradication, and Recovery(遏制、清除和恢复)”,在使用时需要注意。在现实中,情况可能会更复杂,各阶段不是线性推进的,如在2024年的CDK Global遭勒索攻击事件中,发生了二次攻击。
4. 实际应用建议:用于演练、BIA、或演练设计中
无论怎么说,这个简要的分阶段模型结合了攻击者行为和企业反应两重视角,并用事件时间线呈现了事件剖面图和两者的互动逻辑,有助于我们理解勒索软件攻击事件。这个模型可用于:
- 勒索软件攻击场景的剧本演练设计(Tabletop/Simulation)
- 事件驱动型BIA建模(即反推业务影响)
- 应急响应成熟度评估(在哪一阶段暴露出问题)
- 演练辅助平台中场景模块的事件流定义
在接下来的企业级重大事件情景构建中,我将用这个模型来分析一些重大的勒索软件攻击事件。
总结一句话: Kill Chain让我们知道”他们是怎么打进来的”,Incident Response让我们知道”企业是怎么挨打的”,把两者结合起来,你就能知道——你到底哪一步掉链子了,相应地,也就能知道,该如何改进。
原文发表于公众号”王曙说”