Що таке ланцюг кібер-вбивств та як його ефективно використовувати

Щоденник безпеки "Inside Out" »Безпека даних» Що таке ланцюг кіберзахисту та як його ефективно використовувати

Ланцюг кіберзахисту - це низка етапів, які простежують етапи кібератаки від ранніх етапів розвідки до вилучення даних. Ланцюжок вбивств допомагає нам зрозуміти та боротися з вимогами, порушеннями безпеки та розширеними постійними атаками (APT).

Lockheed Martin вивів структуру ланцюга вбивств з військової моделі - спочатку створеної для ідентифікації, підготовки до атаки, атаки та знищення цілі. З моменту свого створення ланцюжок вбивств еволюціонував, щоб краще передбачати та розпізнавати інсайдерські загрози, соціальну інженерію, вдосконалене вимагальне програмне забезпечення та інноваційні атаки.

Отримайте безкоштовну електронну книгу для тестування середовищ Active Directory

Як працює ланцюжок Cyber Kill

Існує кілька основних етапів у ланцюгу кібер-вбивств. Вони варіюються від розвідки (часто перша стадія атаки шкідливого програмного забезпечення) до бічного переміщення (переміщення по боці по всій мережі, щоб отримати доступ до більшої кількості даних) до розширення даних (виведення даних). Усі ваші загальні вектори атаки - будь то фішинг, груба сила чи найновіший штам зловмисного програмного забезпечення - викликають активність на ланцюжку кібер-вбивств.

Кожен етап пов'язаний з певним видом діяльності в кібер-атаці, незалежно від того, є це внутрішня чи зовнішня атака:

Нижче ми детальніше вивчимо кожну фазу ланцюга кіберзахисту.

8 фаз ланцюжка кібер-вбивств

Кожна фаза ланцюга вбивств - це можливість зупинити кібератаку, що триває: маючи відповідні інструменти для виявлення та розпізнавання поведінки кожного етапу, ви можете краще захиститися від порушення системи або даних.

Розвідка

У кожному пограбуванні вам потрібно спочатку розглянути об’єднання. Той самий принцип застосовується і в кіберкраді: це попередній крок атаки, місія збору інформації. Під час розвідки зловмисник шукає інформацію, яка може виявити вразливі місця та слабкі місця в системі. Брандмауери, системи запобігання вторгненню, захист периметра - в наші дні навіть акаунти соціальних мереж - отримують ідентифікаційні дані та проводяться розслідування. Інструменти розвідки сканують корпоративні мережі для пошуку точок входу та вразливостей, які слід використати.

Вторгнення

Після того, як ви отримали інформацію, настав час проникнути. Вторження - це момент, коли атака стає активною: зловмисники можуть надсилати шкідливі програми - включаючи програми-вимагателі, шпигунське та рекламне - до системи, щоб отримати доступ. Це етап доставки: його можна доставити за допомогою фішинг-електронної пошти, це може бути скомпрометований веб-сайт або справді чудова кав’ярня на вулиці з безкоштовним Wi-Fi, схильним до хакерів. Вторгнення - це точка входу для нападу, введення зловмисників всередину.

Експлуатація

Ви всередині дверей, і периметр порушений. Етап експлуатації атаки ... ну, використовує систему, за відсутності кращого терміну. Тепер зловмисники можуть потрапити в систему та встановити додаткові інструменти, змінити сертифікати безпеки та створити нові файли скриптів для підлих цілей.

Ескалація пільг

Який сенс потрапляти в будівлю, якщо ви застрягли у вестибюлі? Зловмисники використовують ескалацію привілеїв, щоб отримати підвищений доступ до ресурсів. Методи ескалації привілеїв часто включають атаки грубої сили, полювання на вразливості паролем та використання вразливостей нульового дня. Вони змінюватимуть налаштування безпеки GPO, файли конфігурації, змінюватимуть дозволи та намагатимуться витягувати облікові дані.

Бічний рух

Ви закінчили роботу, але вам все одно потрібно знайти сховище. Зловмисники будуть переходити від системи до системи, побічним рухом, щоб отримати більше доступу та знайти більше активів. Це також вдосконалена місія виявлення даних, де зловмисники шукають важливі дані та конфіденційну інформацію, доступ адміністратора та сервери електронної пошти - часто використовуючи ті самі ресурси, що й ІТ, використовуючи вбудовані інструменти, такі як PowerShell - і позиціонують себе, щоб завдати найбільшої шкоди.

Затуманення (антикриміналістика)

Покладіть камери безпеки на петлю та покажіть порожній ліфт, щоб ніхто не бачив, що відбувається за лаштунками. Кібер-зловмисники роблять те саме: приховують свою присутність та маскують діяльність, щоб уникнути виявлення та зірвати неминуче розслідування. Це може означати стирання файлів і метаданих, перезаписування даних з помилковими позначками часу (встановлення часу) та введення в оману інформації або зміна критичної інформації, щоб, здається, дані ніколи не торкалися.

Відмова в обслуговуванні

Заглушіть телефонні лінії та вимкніть електромережу. Ось де зловмисники націлені на мережу та інфраструктуру даних, щоб законні користувачі не могли отримати те, що їм потрібно. Атака відмови в обслуговуванні (DoS) порушує та призупиняє доступ, може призвести до аварійного завершення роботи систем та повені служб.

Екфільтрація

Завжди майте стратегію виходу. Зловмисники отримують дані: вони копіюють, передають або переміщують конфіденційні дані в контрольоване місце, де вони роблять із даними те, що хочуть. Викупіть, продайте на ebay, надішліть на wikileaks. Видалення всіх даних може зайняти кілька днів, але як тільки вони вийдуть, вони знаходяться під їх контролем.

Винос

Різні методи безпеки висувають різні підходи до ланцюга кіберзахисту - кожен, починаючи від Gartner і закінчуючи Lockheed Martin, визначає етапи дещо по-різному. Альтернативні моделі ланцюга кіберзахисту поєднують декілька з перерахованих вище етапів у стадію C&C (командування та управління, або C2), а інші - у стадію „Дії з ціллю”. Деякі поєднують бічний рух та ескалацію привілеїв у стадію розвідки; інші поєднують вторгнення та експлуатацію у стадію "точки входу".

Цю модель часто критикують за те, що вона зосереджується на безпеці периметра та обмежується запобіганням шкідливим програмним забезпеченням. Однак у поєднанні з вдосконаленою аналітикою та прогнозним моделюванням ланцюг кіберзахисту стає критично важливим для безпеки даних.

З вищезазначеним розподілом ланцюжок вбивств структурований, щоб виявити активний стан порушення даних. Кожен етап ланцюга вбивств вимагає спеціальних засобів для виявлення кібератак, і Varonis має готові моделі загроз для виявлення цих атак на кожному етапі ланцюга вбивств.

Вароніс відстежує атаки на вході, виході та скрізь між ними. Відстежуючи зовнішні дії, такі як VPN, DNS та проксі, Varonis допомагає захищати основні способи входу та виходу з організації. Відстежуючи активність файлів та поведінку користувачів, Varonis може виявляти активність атак на кожному етапі ланцюжка вбивств - від атак kerberos до поведінки шкідливих програм.

Хочете побачити це в дії? Подивіться, як Вароніс звертається до кожного етапу ланцюга вбивств у демонстрації 1: 1 - і дізнайтеся, як можна запобігти та зупинити поточні атаки до нанесення шкоди.

Заснована в Брукліні, штат Нью-Йорк, Сара зосереджується на стратегії вирішення проблем безпеки даних. Вона займається технологіями більше 20 років, маючи досвід роботи в програмному, апаратному та криптографічному режимі.