杀伤链模型与防御思路

by ww
on 25 4 月, 2026

上一节我们学习了零信任架构,它从访问控制层面构建了现代企业的防御体系;而杀伤链模型则从攻击者的视角出发,完整还原了一次攻击从准备到落地的全流程。本节我们将拆解杀伤链的每个阶段,理解攻击者的攻击路径,并为每个环节匹配对应的防御思路,帮你构建 “知己知彼” 的蓝队防御思维。

一、什么是杀伤链?—— 从攻击者视角理解攻击全流程

1. 基础定义与核心思想

杀伤链(Cyber Kill Chain),是由洛克希德・马丁(Lockheed Martin)公司提出的经典攻击生命周期模型,它将一次完整的网络攻击拆解为 7 个连续的阶段,清晰展示了攻击者从 “准备攻击” 到 “达成目标” 的每一步动作。

它的核心思想很简单:网络攻击不是一步到位的,而是一条由多个环节组成的 “链条”。蓝队的目标,就是在这条链条的任意一个环节阻断攻击,让攻击者无法达成最终目标。

2. 为什么蓝队必须学习杀伤链?

很多企业的防御体系,只关注 “攻击发生后怎么处置”,却忽略了 “攻击前的准备、攻击中的投递与利用”,结果攻击者突破防线后,企业毫无还手之力。而杀伤链模型,让蓝队可以:

  • 提前识别攻击者的早期行为,在攻击萌芽阶段就阻断它
  • 针对攻击的每个环节,部署对应的防御措施,实现全链路防护
  • 当攻击突破某一层防线时,依然可以在后续环节发现并处置攻击
  • 站在攻击者的视角,优化企业的防御体系,找到之前忽略的防御短板

二、拆解杀伤链的 7 个阶段(攻击者动作 + 蓝队防御思路)

杀伤链的 7 个阶段,从攻击者的视角看是连续的攻击流程;从蓝队的视角看,则是 7 个可以部署防御的关键节点。我们按攻击的时间线,拆解每个阶段的攻击者动作与对应的蓝队防御思路:

1. 侦察(Reconnaissance):攻击者的 “踩点” 阶段

  • 攻击者在做什么?攻击者通过公开信息搜集、端口扫描、目录爆破等方式,收集目标企业的信息,比如域名、IP 地址、开放端口、使用的服务版本、员工邮箱等,为后续攻击做准备。
  • 蓝队防御思路:减少暴露面,监控侦察行为
    • 企业落地动作:
      • 限制公开信息泄露,比如避免在公网暴露过多的企业服务器信息
      • 部署 IDS/IPS 或端口扫描检测工具,识别并阻断大规模端口扫描行为
      • 关闭不必要的公网服务与端口,缩小企业的攻击暴露面
  • 关键防御点: 侦察阶段是攻击的起点,阻断侦察可以让攻击者 “找不到目标”,从根源上减少攻击的可能性。

2. 武器化(Weaponization):攻击者的 “造武器” 阶段

  • 攻击者在做什么?攻击者根据侦察到的信息,制作对应的恶意载荷,比如针对目标系统漏洞的利用脚本、带宏病毒的 Office 文档、绑定了木马的钓鱼软件、勒索软件加密程序等。
  • 蓝队防御思路:阻断恶意载荷生成与分发,检测恶意文件
    • 企业落地动作:
      • 部署邮件网关、沙箱检测工具,对邮件附件、下载文件进行恶意代码检测
      • 配置终端杀毒软件,实时监控恶意文件的创建与执行
      • 对 Office 文档禁用宏,防止宏病毒在企业内部传播
  • 关键防御点: 武器化阶段是攻击的 “准备环节”,虽然还没直接接触企业,但恶意载荷已经生成,做好文件检测可以在投递阶段前提前发现威胁。

3. 投递(Delivery):攻击者的 “送武器” 阶段

  • 攻击者在做什么?攻击者通过钓鱼邮件、恶意网站、挂马链接、U 盘传播、供应链攻击等方式,把制作好的恶意载荷投递到目标企业的终端或服务器上。
  • 蓝队防御思路:阻断投递渠道,检测投递行为
    • 企业落地动作:
      • 配置邮件安全策略,过滤恶意附件、钓鱼链接,同时给员工做钓鱼邮件识别培训
      • 部署 WAF 防护网站,防止网站被挂马、植入恶意脚本
      • 限制终端 U 盘使用,防止恶意软件通过物理介质传播
  • 关键防御点: 投递阶段是攻击从 “外部” 进入 “企业内部” 的关键节点,也是蓝队防御的核心战场之一,阻断投递可以让攻击者的恶意载荷 “送不进来”。

4. 利用(Exploitation):攻击者的 “破门” 阶段

  • 攻击者在做什么?攻击者利用目标系统、应用或服务的漏洞,执行恶意代码,突破系统的安全防护,获取系统的初始访问权限。比如利用系统漏洞提权、利用 Web 漏洞上传恶意脚本、利用弱口令暴力破解登录等。
  • 蓝队防御思路:修复漏洞,阻断漏洞利用行为
    • 企业落地动作:
      • 定期漏洞扫描与补丁修复,及时修复高危系统漏洞、应用漏洞
      • 部署 WAF/IDS/IPS,阻断针对 Web 漏洞、系统漏洞的攻击行为
      • 配置账户锁定策略、复杂密码,防止弱口令暴力破解
  • 关键防御点: 利用阶段是攻击的 “突破环节”,一旦攻击者利用漏洞成功,就获得了系统的访问权限,因此修复漏洞、阻断漏洞利用是这一阶段的核心防御动作。

5. 安装(Installation):攻击者的 “安家” 阶段

  • 攻击者在做什么?攻击者在被攻陷的主机上安装后门、木马、恶意软件,实现持久化控制,确保即使系统重启、漏洞被修复,攻击者依然能再次访问主机。比如添加隐藏账户、修改启动项、植入后门服务等。
  • 蓝队防御思路:检测持久化行为,阻断后门安装
    • 企业落地动作:
      • 监控主机的启动项、服务、计划任务,发现异常的持久化配置
      • 部署 EDR(端点检测与响应),实时监控恶意进程、后门程序的运行
      • 定期检查主机的用户账户,发现隐藏账户、异常账户并及时清理
  • 关键防御点: 安装阶段是攻击者实现 “长期控制” 的关键,及时发现并清理后门,可以避免攻击者长期潜伏在企业内部。

6. 指挥控制(Command & Control, C2):攻击者的 “遥控” 阶段

  • 攻击者在做什么?攻击者通过被攻陷的主机,和自己的 C2(Command & Control)服务器建立通信连接,接收攻击者的指令,比如窃取数据、执行后续攻击、横向移动到其他主机等。
  • 蓝队防御思路:阻断 C2 通信,检测异常外联
    • 企业落地动作:
      • 配置防火墙出站规则,限制主机的异常外联行为,阻断和已知恶意 IP、域名的通信
      • 部署 IDS/IPS 或流量分析工具,检测 C2 通信流量(比如加密的异常流量、固定频率的心跳包)
      • 监控主机的网络连接,发现异常的外联行为并及时阻断
  • 关键防御点: C2 阶段是攻击者和被攻陷主机的 “生命线”,阻断 C2 通信,攻击者就无法对主机进行控制,攻击也就失去了后续的动作能力。

7. 行动(Actions on Objectives):攻击者的 “收割” 阶段

  • 攻击者在做什么?攻击者完成所有前置环节后,开始达成最终的攻击目标,比如窃取企业核心数据、用勒索软件加密主机、破坏业务系统、植入挖矿程序等。
  • 蓝队防御思路:及时发现并阻断攻击行为,减少损失
    • 企业落地动作:
      • 核心数据定期备份,遵循 “3-2-1 备份原则”,防止数据被窃取或加密后无法恢复
      • 监控主机的异常行为,比如大量文件加密、数据外发、异常 CPU 占用(挖矿)等
      • 安全事件应急响应流程,发现攻击后及时隔离主机、阻断攻击,减少损失
  • 关键防御点: 行动阶段是攻击的最终环节,虽然攻击已经发生,但及时的应急响应和数据备份,可以大幅降低攻击对企业造成的损失。

三、杀伤链的防御核心:越早阻断,成本越低

从蓝队的视角看,杀伤链的每个阶段都有对应的防御价值,但在攻击链的早期阶段阻断攻击,成本最低、效果最好

  • 阻断侦察 / 武器化阶段:攻击者还没接触企业,几乎没有损失,防御成本也最低
  • 阻断投递 / 利用阶段:恶意载荷无法进入企业或无法执行,攻击无法继续推进
  • 阻断安装 / C2 阶段:攻击者虽然获得了初始权限,但无法持久化控制或无法接收指令,攻击很快会被终止
  • 阻断行动阶段:攻击已经发生,只能通过应急响应减少损失,防御成本和企业损失都最高

因此,企业的防御资源,应该优先向杀伤链的 ** 前 4 个阶段(侦察、武器化、投递、利用)** 倾斜,实现 “攻击早发现、早阻断”。

四、杀伤链与其他蓝队模型的结合

杀伤链模型不是孤立的,它可以和之前学习的 P2DR、纵深防御模型完美结合,构建更完整的防御体系:

表格

蓝队模型和杀伤链的结合方式
P2DR 模型防护环节对应杀伤链的前 4 个阶段(侦察、武器化、投递、利用),提前筑牢防线;检测环节对应安装、C2 阶段,发现突破防线的攻击;响应环节对应行动阶段,处置已发生的攻击
纵深防御模型纵深防御的每一层,都可以对应杀伤链的不同阶段:网络层防御对应投递、利用阶段,主机层防御对应安装、C2 阶段,数据层防御对应行动阶段,实现多层设防

五、企业落地杀伤链防御的常见误区

很多企业学习了杀伤链模型,但落地时依然踩了这些坑:

  1. 误区 1:只重视最后一步的应急响应,忽略早期防御很多企业把大部分精力放在攻击发生后的处置上,却忽略了侦察、投递、利用阶段的防御,结果攻击者突破防线后,企业只能被动挨打。
  2. 误区 2:防御措施只针对某一个阶段,没有覆盖全链路比如只防投递阶段的钓鱼邮件,却没修复服务器的高危漏洞,攻击者依然可以通过漏洞直接利用主机,绕过钓鱼邮件的防御。
  3. 误区 3:只防技术,不防人的因素投递阶段的钓鱼邮件,是攻击者最常用的投递方式,但很多企业只靠邮件网关过滤,却不做员工的钓鱼邮件识别培训,攻击者依然可以通过社工方式突破防线。
  4. 误区 4:把杀伤链当成一次性的防御方案杀伤链的防御不是 “搭好就完事”,而是要随着攻击者的攻击手段变化,持续优化每个阶段的防御措施,比如新的钓鱼手段、新的漏洞利用方式出现后,要及时更新防御规则。

📝 本节小结

杀伤链模型的核心,不是让你 “跟着攻击者的步骤被动防御”,而是让你站在攻击者的视角,构建覆盖攻击全链路的主动防御体系。通过在杀伤链的每个阶段部署对应的防御措施,让攻击者 “找不到目标、送不进载荷、破不了防线、控不住主机、达不成目标”,这就是蓝队防御的核心思路。

Categories:

首页

Tags:

No Tag

No responses yet

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

© 2026 世文的网络技术&蓝队安全学习小站
滇ICP备2026006758号-1 | 网安备