網路攻擊殺傷鏈

「網路攻擊殺傷鏈」（Cyber Kill Chain）是由洛克希德・馬丁公司（Lockheed Martin）為應對進階持續性威脅（APT）所提出的資安框架。此模型將一次典型的網路攻擊解構為七個連續階段：偵察、武裝、傳遞、漏洞利用、安裝、指揮與控制、以及目標行動。其核心理念在於，防禦方只要能成功阻斷鏈條中的任何一個環節，就能瓦解整個攻擊行動。雖然殺傷鏈本身並非國際標準，但其概念與 ISO/IEC 27001:2022 的控制項（如 A.5.7 威脅情資、A.8.16 監控活動）及 NIST 網路安全框架（CSF）的「識別」、「保護」、「偵測」、「應對」等功能高度契合。在風險管理體系中，它作為一種威脅分析模型，協助企業在風險評鑑階段識別攻擊路徑並部署對應的控制措施，與著重「如何攻擊」的 MITRE ATT&CK 框架形成互補。

在企業風險管理中，網路攻擊殺傷鏈的應用主要分為三步驟： 1. 威脅情資整合與分析：收集與企業相關的威脅情資，並利用殺傷鏈框架將情資分類對應到各攻擊階段。例如，將釣魚郵件樣本歸類到「傳遞」階段，將惡意軟體特徵歸類到「安裝」階段。 2. 防禦控制措施映射與缺口分析：盤點企業現有的資安防護措施（如防火牆、入侵偵測系統），並將其映射到殺傷鏈的七個階段，以評估在每個階段的防禦能力，從而清晰地揭示防禦缺口。 3. 建立偵測與應變劇本：針對每個階段設計具體的偵測規則與應變程序（Playbook）。例如，在「指揮與控制」階段，建立規則以偵測與已知惡意中繼站（C2）的通訊。 許多金融機構與高科技製造業導入此模型後，平均威脅偵測時間（MTTD）與平均應變時間（MTTR）降低約30-50%，並顯著提升對 ISO/IEC 27001 稽核的合規證明能力。

台灣企業導入網路攻擊殺傷鏈常面臨三大挑戰： 1. 威脅情資品質與整合不足：中小企業普遍缺乏預算訂閱高品質威脅情資，或不知如何有效整合。對策是優先利用開源威脅情資平台（如 MISP），並加入產業資安資訊分享與分析中心（ISAC），獲取針對性情資。 2. 資安人才與分析能力短缺：缺乏能理解攻擊手法的專業分析師。解決方案為導入資安資訊與事件管理系統（SIEM）或安全協排與自動化應變（SOAR）平台，利用其內建規則自動化部分分析工作，並搭配委外專業託管服務（MSSP）。 3. 防禦工具各自為政，缺乏聯防：各資安工具間缺乏資訊共享與聯動。應建立以 SIEM/SOAR 為核心的資安監控中樞，整合各端點、網路的日誌與告警。優先行動項目是定義跨工具的應變劇本，預期在6個月內可見到初步成效。

積穗科研股份有限公司專注台灣企業cyber kill chain相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact